• :
  • 又是下载器:“Mint”木马再度来袭-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] 又是下载器:“Mint”木马再度来袭

    [复制链接]
  • TA的每日心情
    奋斗
    2019-4-27 09:58
  • 签到天数: 2 天

    [LV.1]初来乍到

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    0x1概述
    近期,毒霸安全团队通过“捕风“威胁感知系统监控发现“Mint木马”家族借助下载器再度活跃,该家族最早由毒霸团队于2018年发现并披露《Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络》,但是近两年该家族并未彻底灭绝,依旧存在于各大下载站,利用高速下载器进行传播。该木马主要以主页劫持、软件推广、广告弹窗和图标推广为主,因其早期会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。

    本次变种宿主是“土豆截图”,由“多特下载站”的高速下载器进行传播,由于目前国内安全厂商对于利用下载器进行传播的恶意软件进行全面打击,导致该木马执行更加隐蔽、检测也更加小心。本次木马变种为了更加隐蔽执行,仅执行模块嵌套加载就达六层以上,傀儡进程注入就有三次。所有的核心模块和配置文件都是从云端获取,注入系统进程执行,在地域规避上包含了各大安全公司和下载器厂商(北京、上海、深圳、广州、昆山、珠海、武汉、马鞍山、南京、苏州、天津),从本次获取的配置文件发现为了尽可能的减少受害用户的感知,减少了广告弹窗和图标推广。本次变种行为大致与上次报告相同,但本次变种着重于软件推广,所以这次就概述下云控配置和推广。


    执行流程
    流程图.png
    0x2详细分析
    环境检测
    母体下载器通过解密出来的模块执行cmd命令调起安装程序,再利用注册表、文件和进程关系来检测是否存在沙箱、虚拟机、调试和杀软环境,后通过父进程来检测是否是从浏览器启动安装程序,傀儡进程注入systray.exe。
    2.png


    云控模块下拉配置
    注册服务,设置开机启动服务,重启后服务组件加载之前释放的云控载体,载体释放云控模块并启动傀儡进程注入到svchost.exe内进行配置下拉解密。
    3).png

    以下为解密的配置文件Version.ini,在本次获取的配置文件中主要包含三类文件的下载地址,分别为推广配置文件、核心功能模块(按照配置文件执行推广操作)和云控载体(变异更新)。
    4.png

    解析配置文件各个字段,获取推广配置文件Config_xx.ini、核心执行模块Lsvt.dat和检测更新云控载体模块Lds.dat,并且将LSVT.dat解密注入到傀儡进程中执行。
    5.png


    更新变异
    云控模块从配置文件中获取最新载体的下载地址(demsvcurl=http://core.weintds.com/Lds.dat)保存到临时文件目录下,复制到系统目录下并通过劫持wuauserv系统服务的方式,实现自更新和启动,
    6.png


    核心功能模块Hsvt.dat
    篡改用户主页
    IE浏览器通过修改注册表来篡改用户主页,其它市面上的浏览器是通过遍历桌面快捷方式匹配浏览器的快捷方式,通过使用“CShellLink”接口修改"link"文件中默认打开网址,实现网页劫持。
    7.png


    针对篡改的浏览器​如下:
    8.png


    推广篡改页的配置信息,篡改URL最终跳转到“https://www.2345.com/?30308
    9.png


    软件推广
    本次变种共推广36款软件,同样规避北京,上海,深圳,广州,昆山,珠海,武汉,马鞍山,南京,苏州和天津,以下为推广配置中的部分配置信息。
    a.png


    以下为推广软件列表:
    b.png


    广告弹窗
    本次变种获取的推广配置文件中未发现弹窗链接,估计为了更加隐蔽不引起用户注意使用才没有推广弹窗。
    c.png

    图标推广
    图标推广并未开启,配置中的推广数据依旧停留再去年的双十一活动。
    d.png
    e.png

    0x3总结
    本次最大的传播渠道依旧是多特下载站,尽管现在各大安全厂商对高速下载器进行高度打击,依旧还是无法阻止各大下载站诱导用户下载安装,所以提出以下几点建议。
    • 不要在多特软件站下载任何软件,因为该网站大部分软件的安装包都被修改过,存在流氓推广行为
    • 下载所需要的软件时,尽可能的到软件的官方网站下载
    • 所需的软件如果没有找到官方网站,在使用其它三方下载站点时,尽量选择普通下载,切莫选择高速下载(多特软件站不适用此条),下载完之后检查文件签名是否正确
    • 毒霸的软件管家中的软件都是经过严格审核,可以放心下载
    f.png

    附录ICOs
    《Mint木马变种泛滥,伪装“抖音电脑版”肆虐网络》
    http://bbs.duba.net/thread-23530889-1-1.html

    URL:
    http://core[.]weintds[.]com/Lds[.]dat
    http://ver[.]lctgshzs[.]com/Version[.]ini
    http://core[.]weintds[.]com/Lsvt[.]dat
    http://cfg[.]nuosensujiao[.]com/Config_xx[.]ini
    https://url[.]cn/58dJPlw?dhruw84
    https://www[.]2345[.]com/?30308
    http://ip[.]ws[.]126[.]net/ipquery
    http://whois[.]pconline[.]com[.]cn/ip[.]jsp
    http://act[.]xiaochengwaimai[.]com
    http://plg[.]xw-wd[.]com/PopNews[.]dat
    http://down[.]cnmineral[.]cn/

    MD5:
    36148D65B011CB5D6AD4183B8A7857BD
    40084275658C193954556BFC7BACB62A
    033EB1C841378EF45148D1377030C3E7
    D2287F3E514A94B572C7C15CC919442C
    DF0A0638D28BEFC49E587A638A870B31
    B065447524B93838F6623B892F7F3200
    F4DB4EC7EE6D64AE90357522B7329586
    7690458D216B143E00AA2017FA299498
    DCDEC15483EAB9388DC5910E9CD6CD2A
    6318C2AC85CF940F6F6EFFC5358268A5
    09DD718451BD69D29F6C33946F0FB381
    928C5109D84924E9A0A3E930ABD7F2E3
    98B709508DEB915DDE3CE1547519217E
    C07B8FBCAEB326D755067495EDA45799
    5CE2C6877544C446C0F8C3CEAF267CC0
    FFE372C775F0333BB69854CD8A9648E4




    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则