Fireball最近火了,这类软件在国内并不稀奇,今天曝一个去年就监测到的网吧行业后门软件, 堪称网吧版Fireball.

　　该软件主要用于网吧客户机系统维护 (安装系统补丁,更换壁纸,同步文件), 整体为C/S结构, Server(DBNT.exe/控制台.exe)运行在在网吧内网服务器, Client(DbntCli.EXE)运行在客户端. 对该软件多个不同版本的文件进行对比分析, 发现后门仅存在于8.3.x 以上版本.

　　后门的基础组件为一个下载者DLL,其通过UDP / TCP向云端上报运行终端信息, 云端则会回复配置文件,其中包含压缩包URL, “下载者” 将压缩包下载并解压, 然后加载其中的DLL. 软件大部分功能使用AU3脚本编写, 对其组件之一c_Smss.a3x进行反编译(a3x文件是AU3脚本预编译后的文件) :

　　下载者DLL在不同版本安装包中文件名不同, 早期版本释放到 c_kernel.dat, 在官网目前最新版中释放后文件名为StatClient.dll .

　　数据协议头为0×20150801,发送前会将数据包加密,云端服务器域名为 服务端口为8000 , 目前域名指向: 116.28.63.219.

　　得到URL后, 会在URL路径后面附加字符串“.crc” , 形成新的URL : 然后下载到临时文件. “.Crc”文件本质是个INI, 下载后会读取CRC字段以备校验, 然后再次生成随机文件路径, 开始下载

　　但从c_kernel.dat的代码中, 可以看出该后门开发时还考虑了下载并创建exe这种需求, 云端只需要在配置文件中加上exe_name, 并打包下发对应的exe即可.

　　101.dll!DLLMain创建线秒, 随后检测”环境”, 检测环境主要是检测系统内是否存在HIPS,系统监控,安全防护类软件.

　　当发现系统内正在运行HIPS/行为监控类软件的时候并不会退出, 而是循环检测, 每次等待6秒, 在100次的时候(即10分钟后), 会内存加载105.DLL,该DLL同样包含在资源段中, 资源ID为105.

　　105.dll主要是上报数据, 发送的数据包含当前系统内运行的进程列表,MAC,以及”agent”标记”slnew1_000”. 通信协议与c_kernel.dat类似, 只是协议头变为了 0×20161011, 数据同样是加密传送.

　　如果系统内不存在HIPS类软件, 符合其”运行环境”要求, 101.dll会加载其资源段ID为107的EXE文件.

　　在创建svchost进程时, 首先会遍历系统进程列表, 查找系统内已有的正常svchost.exe,并返回其PID , 该PID将被用于伪装父进程. 伪装后, 使用PCHunter等ARK工具查看傀儡进程的父ID为系统进程, 无法直接看出其与DBNT客户端进程之间的直接关联.

　　调用Openprocess打开刚才找到的svchost进程ID, 得到进程句柄, 后续创建僵尸svchost.exe时, 会将此句柄设置为僵尸进程的父进程句柄, 从而达到伪装父进程目的:

　　在XP上, 由于获取不到用于伪装父进程ID的API地址, 代码执行条件不成立, 导致其放弃创建svchost.exe,转而使用下述方法执行107.exe :

　　106.exe任务简单, 其逻辑为: 将共享内存中的数据拷贝到系统临时文件, 然后调用CreateProcess使该进程执行.

　　其中包含压缩包URL: 会使用先前相同的方式下载压缩包 - 内存加载DLL - 删除临时文件.

　　其中”rt1/rt”表示运行模式, 如果为1, 则会采用内存加载/傀儡进程方式执行代码,如果为0则会采用常规磁盘文件方式执行.

　　不同的DLL/EXE对应着不同的模块, 大多数以”插件”的形式加载, 代码执行也不再依赖DLLMain触发, 而是导出GetPlugProxy接口供其他模块调用, 各模块之间使用共享内存/命名event进行通信/控制运行状态.

　　3. NetPack.dll 则是流量劫持的核心控制模块,其资源中包含两个WFP驱动(X86+X64), 其会释放SYS, 并创建线程与驱动通信.

　　Netpack.dll在释放驱动文件时会从预置列表中随机选一个作为文件名, 这些预置文件名大多是在系统自带sys文件名的基础上做了少许改变:

　　当访问的URL匹配上rule_str时, 将会使用”repl”中的url构造302跳转, 以实现劫持推广ID目的, 并且能够控制劫持频率.

　　其在初始化时会导入一个根证书到系统信任区, 在网络驱动初始化完成后, 该劫持插件则变成中间人的角色, 使用浏览器打开https网站时, 证书均被替换, 甚至包括淘宝, 支付宝, 网银等. 但目前尚未发现其利用这些数据的证据.

　　刷量模块功能主要是创建隐藏窗口, 通过WebBrowser com接口以及JS控制网页动作.

　　并且其会根据系统整体资源状态,刻意控制自身CPU,内存占用, 以及进行”内存优化” , 避免被人察觉. 这个比较有良心.其实主页劫持也比较有良心, 并没有选取”主页”下手.

　　这些模块在运行时大多会使用UDP向云端server请求配置文件, 并且导出GetProxyPlug接口方便调用,可以看出该团队具有自己特有的劫持插件开发规范.

　　除流量劫持和刷量外, 还包含一些其他模块, 不再一一描述(freebuf编辑器要是能直接复制粘贴图片就好了), 有兴趣的可以自行下载样本分析,发文时相关URL仍然可用, c_kernel.dat固化在其软件安装包里面, 官网可下载.

　　除slanquan.com没有任何记录之外, 其他三个网站在搜索引擎均有记录,并且目前仍能打开. 其中9u2.com 的网站是”深蓝云维护”, 即本次分析的软件的云版本网页后台.

　　从其申请过的商标信息来看,该公司开发过”助手”, “管家”, “刷机”, “模拟器”类软件, 甚至”安全卫士”, 这些软件没找到下载地址, 无从分析, 如果这些软件中也包含恶意后门代码, 那该团队的运作方式就与Fireball基本一致.

　　此外, 在该公司著作权信息中, 可以发现本次分析的软件”深蓝维护通道”著作权即在该公司名下:

　　其中主要有三家公司: 深圳文不加点, 深圳艾达亮 , 深圳符熊网络. 此三家公司主要与两人有关: 熊华, 陈文. 徐向红在艾达亮公司占股2%, 应该是与作者卢建良关系比较亲近的人.

　　本次分析的软件深蓝维护通道,其占有开机启动优先权, 并且使用内存加载/傀儡进程隐藏自身,一旦恶意行为施展完毕, 即使上网用户自行安装杀毒软件,也无法有效查杀及追踪朔源. 并且该后门由云端控制, 如果云端不下发配置文件, 则不会有任何敏感行为, 在客户端进程运行后, 多款杀毒软件也均显示安全.

　　【FB TV】一周「BUF大事件」：《网络安全法》开始施行；首届TCTF线下决赛火热进行；Fireball全球肆虐

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　美国宣布：打死一名曾试图策划暗杀特朗普的伊朗高级军官！伊朗新任最高领袖将选出clash两元店节点，哈梅内伊之子受到普遍认可

　　内蒙古一200斤男子欠5000万不还，被债主装进铁笼沉入80米水库，谁料，2年后才被捞出...

　　母亲去世一年后与亲舅舅“登记结婚”，女子成年后继承母亲遗产发现只剩空壳：“舅舅 舅妈合谋 侵吞大量财产”

　　追问daily 怀孕永久改变大脑；不同类型的同伴如何决定青少年的行为？大模型“遗忘”自己或能提升回复质量