• :
  • 病毒分析|一款名为“老裁缝“的激活工具捆绑薅羊毛-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] 病毒分析 | 一款名为“老裁缝“的激活工具捆绑薅羊毛

    [复制链接]

    该用户从未签到

    发表于 2017-11-30 15:52:09 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    一、前言

        激活工具打着”激活成功率最高“,”完美激活各个版本的系统“的旗号,使得该类激活工具病毒在短时间之内大范围传播。最近金山毒霸实验室发现,一款名叫“老裁缝激活工具”,借助着”小马激活”的名字活跃在“系统之家”、”软件下载器”、“网盘”。

    PS:因C&C通信服务器中包含laocaifeng字符串,所以通篇文章中,病毒以“老裁缝”命名。

        “老裁缝激活工具”从2015年就已经开始制作病毒,但是由于核心模块都是内存加载,文件不落地,从而很难被发现,”老裁缝激活工具” 会按照制作者的计划,通过云端规则下发任务的方式,对电商进行劫持,劫持的电商有京东,天猫、淘宝、唯品会、国美、蘑菇街。

        另外“老裁缝激活工具”也会对自媒体视频进行播放量暗刷,视频网站包括优酷、PPTV、爱奇艺、搜狐几大站点。根据统计显示”老裁缝”进行暗刷的自媒体视频广告条目有208条,平均每一条视频总的访问量约在2.5W/访问量,最高的一条达57W/访问量。

    二、样本分析

    母体分析
    1.png
    图1:病毒行为流程图

    当“老裁缝激活工具“的激活按钮被点击后,会联网请求去下载执行inst.exe (hxxp://xz.tujingdy.com:8001/Inst.exe),该文件是整个病毒的母体,然后请求访问hxxp://xz.tujingdy.com/rule.lce去下载rule.lce并解密文件。rule.lce是一个自定义文件格式的“模块包集合”,接下来inst.exe对rule.lce文件结构偏移进行读取,解析并解密出PE文件,解密完后的PE文件会进行CRC值校验,如果校验无误则释放成文件到%ProgramData%\LCFApp目录下,自定义格式如下:
    2.png
    图2:rule.lce文件结构

    “模块包”包含8个文件(驱动,配置文件,升级模块等,版本覆盖x86和x64):
      
    文件名
      
    功能说明
    版本
    LCFGuard.sys
    注入系统进程、文件过滤、注册表过滤
    x86
    LCFGuard64.sys
    注入系统进程、文件过滤、注册表过滤
    x64
    LCFInst.dll
    被注入winlogon的dll模块用于自更新
    x86
    LCFInst64.dll
    被注入winlogon的dll模块用于自更新
    x64
    loader_32.dll
    被注入到explorer用于劫持浏览器
    x86
    loader_64.dll
    被注入到explorer用于劫持浏览器
    x64
    rule.mpc
    主页、浏览器进程配置文件

      
    rule
    文件配置信息

             
    根据不同版本的系统,从rule.lce中读取x86或者x64位驱动。然后以Vq开头的随机命名的方式生成驱动文件和创建注册表信息,最后把核心模块备份一份到注册表中。
      
    键值
    说明
    LCF
    老裁缝驱动文件
    RRUL
    Rule.lce
    RUI
    所有文件名配置信息
    RMP
    浏览器劫持配置信息

    3.png
    图3:老裁缝注册表配置信息

    浏览器劫持配置信息如下,病毒会将主页劫持到hxxp://www.2345.com/?k91340730
    4.png
    图4:劫持的浏览器和导航地址

    5.最后将用户的信息进行上报统计

    http://www.tujingdy.com/client/detail?main_channel=%s&child_channel=%s&event=%s&version=%s&guid=%s¶ms=%s&sign=%s

    驱动分析
       
         病毒驱动加载时,将自已挂到Fltmgr驱动的设备链表里,然后将自己的驱动对象从系统链表里给擦除掉,使得系统中的其他进程(如pchunter)在遍历系统驱动设备对象时无法找到该驱动,并且通过病毒驱动的设备(LCFGuard)找到的驱动也是Fltmgr,我们通过图5可以看到病毒驱动信息。由于此功能,使得分析人员在系统中较难发现该病毒驱动。
    5.png
    图5:过滤驱动将病毒重定向到FltMgr.sys

    然后,病毒驱动会创建4个系统回调:注册表回调、进程回调、镜像回调、关机回调。
    6.png
    图6:病毒驱动注册的系统回调

    1.注册表回调:隐藏自身注册表键值避免被“肉眼”发现。

    2.关机回调&进程创建回调:当这两个回调函数被系统调用后,会枚举当前进程是否为winlogon.exe,如果是winlogon.exe,则会去注册表查找病毒驱动注册表是否完整,如果注册表中的键值被删除或者破坏将会读取%ProgramData%\ LCFApp目录下的文件并对注册表键值进行修复。
    7.png
    图:7 进程回调函数

    3.镜像回调:作者目前未实现镜像回调函数。
    8.png
    图8:LoadImage回调函数

        老裁缝驱动会根据rule.lce文件中的文件结构信息获取到要将哪些模块注入到winlogon和explorer中,注入部分使用了开源的BlackBone项目代码。如图9所示,老裁缝驱动中的shellcode代码和BlackBone完全一致。
    9.png
    图9:BlackBone项目代码

    10.png
    图10:被注入后的explorer和winlogon

    病毒驱动与R3环通信的控制码说明:
      
    控制码
      
    功能说明
    0x222000
    读取老裁缝注册表RRUL键值恢复文件,并重新APC注入winlogon和explorer
    0x2220C0
    通过构造IRP的方式去删除文件

    11.png
    图11:如果通过 ZwDeleteFile删除失败,则通过自己构造IRP的方式去删除文件。

    完成以上工作后,老裁缝驱动会绑定TDI设备,通过http协议将再次进行上报统计。

    www.tujingdy.com /client/detail?main_channel=50000&child_channel=00001&event=status&version=87&guid=8FD58835A3A8586B¶ms={"OMV":0x00000006,"OIV":0x00000001,"OBN":0x00001DB0,"OSP":0x00000000,"LBV":0x00000008,"LDO":0x00000000,"LPN":0x00000000,"LSN":0x00000000,"LLI":0x00000000,"LRC":0x00000000,"LIN":0x00000000,"LMS":0x00000000,"LFP":0x00000000,"LIRD":0xC0000002,"LRDT":0xC000004B,"LRD":0x00000000,"LIRT":0xC000004B,"LIR":0x00000000,"LRV":0x00000057,"LRU":0x00000055,"LIDT":0xC000004B,"LID":0x00000000,"LCS":0x00000000,"LNS":0xC0000002,"LNST":0xC0000002,"LDF":0xC0000002,"LDST":0x00000000,"LHP":0xC0000002,"LCD":0x00000000,"LIC":0x00000000}&sign=f2e73b563c5d8fce1cc1d171898e0a4d
    12.png
    图12:直接在驱动中进行上报统计

    3、Loader分析

        Loader.dll是通过驱动层被注入到explorer.exe中的,该模块主要负责向服务器发送mac、channel、tag等信息,服务器端根据这些信息相应的返回不同的渠道的xml配置,根据目前发现的来看一共有9个不同的渠道,每个渠道的任务大致相同。我们对几个不同版本、渠道号的老裁缝任务进行了分析,整理了出以下C&C通信服务器地址
      
    C&C 服务器地址
      
    说明
    laocaifengxitong.cc:8746
    下载模块功能配置文件
    下载模块功能配置文件
    任务配置文件任务号从0101~0109

    13.png
    图13:任务下发逻辑示意图

        首先,会将mac=000C29C5B50E&sys=32&channel=0101&tag=20150714以rc4 算法加密(key =rtLgHdkP3ArnlIk4), 然后再经过2次base64编码转换将最终加密后的参数与C&C通信服务器地址进行字符串拼接,发往服务端,服务端收到请求后返回的配置文件。如图14:
    14.jpg
    图14:自定义的tlv下载协议

        服务器返回的xml配置文件经过RC4算法加密,密钥为:t^%^mbVuKT]lWf$J。解密后的配置文件中包含模块文件(电商劫持模块、傀儡进程、广告刷量)下载连接,选择磁盘存储还是内存加载、文件MD5,是否注入等信息。如图15:
    15.jpg
    图15:解密后的xml配置文件

    接下来病毒会根据xml中的res 字段去下载另外的任务模块。
    16.jpg
    图16:任务模块下载数据包

    下载的数据保存到注册表HKCU\Software\Microsoft\Windows Media\componentx下:
    17.jpg
    图17:注册表中保存解密前的任务模块

    经rc4解密得到fake_svchost.exe, md5为e3ad53da1032df55f26c51e7bfe0584b。
    fake_svchost.exe也是一个loader,会根据硬编码链接下载任务模块。

    下载连接:sap://dl.laocaifengxitong.cc:9090/brow/data7.1101
    18.jpg
    图18:fake_svchost.exe下载任务模块adshow.exe

    数据保存到注册表HKCU\software\Microsoft\Windows\CurrentVersion\plugins下
    19.jpg
    图19:注册表中保存解密前的任务模块

    解密后得到adshow.exe,该模块主要负责进行自媒体视频刷量,它集成了webkit浏览器引擎。通过创建傀儡进程的方式启动。

    四、电商劫持

    上文提到不同的渠道号会获取到不同的配置文件,经过分析我们发现,其中渠道号为:0103、0104、0105、0107的配置文件带有电商劫持功能。

    只要将mac=000C29C5B50E&sys=32&channel=0101&tag=20150714 中的channel改为对应的值并构造出链接,即可获取到模块文件,如:
    hxxp://rl1.w7q.net/Api/Index/index/code/M0E4L2NIK2N2U2tJSGJKbENmZTdTM0huOFRIRU02aFZPdTNtd29YYlpVaVZDbTMrNzdiNmZ4YldiNVByaFFLSkpRPT0=
    20.png
    图20:解密后的配置文件

    选择将模块注入浏览器列表有:

    2345*.exe|firefox.exe|360chrome.exe|liebao.exe|baidu*.exe|baidurender.exe|chrome.exe|sogouex*.exe|maxthon.exe|115chrome.exe|qqbrowser.exe||UCBrowser.exe

    当发现有如下调试工具和抓包工具进程时,则不进行电商劫持。
    21.png
    图21:检测的分析和调试工具进程名

        当电商劫持模块被注入到浏览器后,病毒会通过本地自建Web服务器作为代理,当用户访问电商网址,代理模块会进行电商域名的匹配,然后通过配置信息,向页面中插入html代码。如图22:
    22.png
    图22:通过代理劫持电商流程

    我们根据任务配置信息,整理了出被劫持的电商链接。
      
    jd.com
      
    temai.taobao.com
    1212.mogujie.com
    shop.mogujie.com
    www.mogujie.com
    www.vip.com
    s.click.tmall.com
    1111.tmall.com
    www.gome.com.cn

        病毒劫持不同的电商使用的方法也不同,有向html中插入script脚本的,也有替换pid值的。最典型的如淘宝,病毒会插入或者替换自己的PID。以蘑菇街劫持为例,当用户访问蘑菇街时,电商劫持模块将会在向html里插入一段javascript脚本。如图23所示:
    23.png
    图23:蘑菇街的劫持js代码

    并将当前访问的URL和hxxp://www.hl21.net/?a=m&u=拼接并请求访问,这时www.hl21.net服务端会返回一个新的跳转连接:
    http://www.mogujie.com/cps/open/track?target=&uid=14djfje&channel=&feedback="
    其中包含uid,channel等信息,这样就完成了劫持。
    24.png
    图24:蘑菇街劫持数据包

    五、广告刷量

        除了上述所说的电商劫持外,病毒还会进行一些自媒体视频的刷量和网站访问刷量行为。自媒体视频覆盖YouKu、PPTV、爱奇艺、搜狐几大站点。根据统计显示自媒体视频广告条目有208条,平均每一条视频总的访问量约为2.5W,最高的一条达57W访问量。

        经过分析,它会创建一个隐藏的IE Frame控件(或是集成的webkit浏览器引擎),因为视频中会存在视频声音,为不让用户发现有莫名的声音出现,病毒会“屏蔽”音媒体设备,防止在刷流量时发出声音。
    25.png
    图25:屏蔽音频相关函数

        通过tlv://ePeTsVWo.laocaifengxitong.tv:8746/去请求服务端广告配置文件,返回数据通过RC4算法解密后得到xml。然后对该xml文件进行解析,并提取要刷量的视频链接地址。用隐藏的IE Frame控件(或是集成的webkit浏览器引擎)去浏览这些页面。
    26.png
    图26:刷量的视频链接

        经过分析目前所有的视频资源网站(YouKu、PPTV、爱奇艺、搜狐)均会根据内容类型进行相应的合作并给予相当不菲的回报。以爱奇艺为例子,给的价格区间为0.5~2.5元,如果说该视频是“独家”播放,最高价格可达2.5元/有效播放量(为期6个月时间)。这也让黑产人员另辟蹊径找到了一条发财致富之路。
    27.png
    图27:爱奇艺合作分成模式

    六、溯源

        做了这么多事情的“老裁缝激活工具”,也有百密一疏的时候,经过我们的搜索发现,早在2015开始“老裁缝激活工具”就已经开始作案。开发人员竟然将框架代码上传至Github。
    28.png
    图28:Github上的病毒框架代码

    作者QQ : 329****63,作者名叫:dongkun(董坤?)
    29.png
    图29:Github上病毒代码提交者的qq邮箱

    30.png
    图30:疑似作者的QQ信息

    七、总结

        “老裁缝激活工具”,从云端下载核心并内存加载达到文件不落地,并且进行了多层的文件加密,所有的任务也是通过云配下发,自定义的网络传输协议。这也是以后病毒木马的技术发展趋势。金山毒霸安全专家建议用户搜索Win7激活工具、Win8激活工具、Win10激活工具时,注意开启杀毒软件保护系统。若杀毒软件报毒,切莫继续使用该激活工具破解系统。
    毒霸.png
    图31:金山毒霸拦截该病毒



    QQ图片20170310085531_副本.jpg

    使用道具 举报 回复
    发表于 2017-11-30 20:33:23 只看该作者
    激活工具打着”激活成功率最高“,”完美激活各个版本的系统“的旗号,使得该类激活工具病毒在短时间之内大范围传播。最近金山毒霸实验室发现,一款名叫“老裁缝激活工具”,借助着”小马激活”的名字活跃在“系统之家”、”软件下载器”、“网盘”。
    使用道具 举报 回复 支持 反对
    了解了               
    使用道具 举报 回复 支持 反对
    居然没有人向2345举报他这个恶意推广链接?
    使用道具 举报 回复 支持 反对
    http://www.dayanzai.me/re-loader-activator.html

    可以看一下这一款有没有什么危害吗
    使用道具 举报 回复 支持 反对
    特来看看,从没有用过激活工具。
    使用道具 举报 回复 支持 反对
    学习一下!
    使用道具 举报 回复
    继续学习!
    使用道具 举报 回复
    问题是有些会在安装时提示要关闭所有防护软件
    使用道具 举报 回复 支持 反对
    提示: 作者被禁止或删除 内容自动屏蔽
    使用道具 举报 回复 支持 反对
    “老裁缝激活工具”从2015年就已经开始制作病毒,但是由于核心模块都是内存加载,文件不落地,从而很难被发现,”老裁缝激活工具” 会按照制作者的计划,通过云端规则下发任务的方式,对电商进行劫持,劫持的电商有京东,天猫、淘宝、唯品会、国美、蘑菇街。
    使用道具 举报 回复 支持 反对
    学习了,金山毒霸不错,好用。
    使用道具 举报 回复 支持 反对
      除了电商劫持外,病毒还会进行一些自媒体视频的刷量和网站访问刷量行为。自媒体视频覆盖YouKu、PPTV、爱奇艺、搜狐几大站点。根据统计显示自媒体视频广告条目有208条,平均每一条视频总的访问量约为2.5W,最高的一条达57W访问量。
    使用道具 举报 回复 支持 反对
    起名想半年 发表于 2017-12-1 00:49
    http://www.dayanzai.me/re-loader-activator.html

    可以看一下这一款有没有什么危害吗

    里面评论都说报毒了,一解压就没了!

    用Qwins吧!
    使用道具 举报 回复 支持 反对
    分析发现,目前所有的视频资源网站(YouKu、PPTV、爱奇艺、搜狐)均会根据内容类型进行相应的合作并给予相当不菲的回报。
    使用道具 举报 回复 支持 反对
    统计显示,”老裁缝”进行暗刷的自媒体视频广告条目有208条,平均每一条视频总的访问量约在2.5W/访问量,最高的一条达57W/访问量。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则