Ghost系統有毒！「蘇拉克」***詳細分析

　　引言

　　剛重裝的系統就中毒了，這是不少網友經常遇到的事，難道是中了引導區***？甚至bios中毒？其實沒那麼複雜，極可能是你安裝的系統自帶了***。

　　1、「蘇拉克」***簡介：

　　「蘇拉克」***是2015下半年來持續爆發的***，該***感染了大量的計算機，其主要傳播釋放是直接在ghost鏡像中植入***，而後將ghost鏡像上傳到大量網站提供給用戶下載，此外，近期也發現該***的win8、win10版本經過oem激活工具植入用戶電腦中。因爲該***的主要模塊名爲「surak.sys」，且經過分析得知該***的項目名稱即爲「surak」，所以將其取名「蘇拉克」***。

　　2、「蘇拉克」***特色：

　　一、傳播渠道隱蔽，因爲該***被直接植入到ghost鏡像中，用戶一安裝系統就自帶該***，而此時還沒有安裝任何安全軟件，所以***的傳播過程徹底不在監控中。

　　二、影響用戶多，因爲大量網站傳播該類ghost鏡像，且此類網站投入了大量推廣費進行推廣，普通用戶經過搜索引擎找到的鏡像下載站幾乎全是帶***的。此類鏡像涵蓋了「雨林木風」、「深度技術」、「電腦公司」、「蘿蔔家園」、「番茄花園」等主流ghost。

　　三、難以清除，因爲***進入系統時間比安全軟件早，掌握了主動權，對其後安裝的安全軟件作了大量的功能限制，使其大量功能沒法正常使用，如安全防禦沒法開啓、信任列表被惡意操做等，致使難以檢測和清除***。

　　四、對用戶電腦安全威脅大，「蘇拉克」***除了鎖定瀏覽器主頁獲利外，還會實時鏈接雲端獲取指令，可以下載其它***到本地執行，給系統安全形成了極大的威脅。此外，針對64位系統，該***還會修改系統內核文件，使得64位系統自帶的驅動簽名校驗、內核防鉤子等安全機制所有失效。

　　圖1. 「蘇拉克」***產業鏈示意圖

　　3、「蘇拉克」***行爲分析：

　　「蘇拉克」***的功能主要分爲4大模塊，即內核Rootkit模塊、應用層主體模塊、應用層加載器模塊、應用層上報模塊。模塊分工明確，可擴充性強，配置靈活，且全部的通信都使用高強度加密算法加密(AES & RSA)，該***有xp版、win7版、win8版、win10版，除xp版外其它版本又分爲32位版本和64位版本，每一個版本功能基本一致，如下以xp版本爲例進行分析，其它版本行爲相似。

　　經過各個模塊分工協做，該***完成了主頁鎖定、雲端控制、插件下載、對抗安全軟件等功能。

　　圖2. 「蘇拉克」***模塊分工示意圖

　　一、啓動模塊行爲：(MD5：a3c79b97bdea22acadf951e0d1b06dbf)

　　qidong32.dll的功能單一，其被註冊成系統組件，開機時隨系統啓動，由Explorer.exe進程加載執行。該文件被加載後首先判斷本身是否位於explorer.exe進程或者regsvr32.exe進程中，如果，則啓動system32\drivers\UMDF\boot.exe文件。該文件是***的主體文件，預置在帶毒的Ghost系統中。

　　圖3.

　　圖4.

　　二、主體模塊行爲：(MD5：bf47d80de3852e7ef6b86ac213e46510)

　　Boot.exe文件是該***的主體模塊，主要負責定時從雲端下載最新的配置信息及負責其它模塊的調度、插件下載、數據傳遞等。

　　1)運行後首先從雲端下載http://xp.xitongzhu.com/2.0xpFileList.dl文件，該文件使用AES加密，密鑰爲「DownloadKey」，顧名思義該配置文件與下載相關，解密後的該文件如圖5所示，主要包含要下載的文件列表、文件類型、本地存儲路徑等。

　　圖5.解密後的2.0xpFileList.dl

　　2)解析配置文件，並進行相應的下載，下載完成後根據類型進行Load或者Exec。

　　圖6.

　　3)完成以上行爲後，將下載成功後的文件路徑按必定格式存儲，並使用AES加密(密鑰：dl_encrypt)存儲在C:\Windows\System32\drivers\UMDF\dllist文件中，即插件列表。

　　圖7. 存儲插件列表

　　4)下載http://**.xitongzhu.com/2.0xpSurakConfig.cfg到內存中，該文件是***的配置文件，下載後計算配置文件的MD5值，並與C:\Windows\System32\drivers\UMDF\hash\config中存儲的值進行比較，以判斷配置文件是否更新，若是更新則將其傳給surak.sys。

　　圖8. 下載配置文件並比較MD5

　　5)該配置文件分爲三部分，分別使用AES進行加密，密鑰均爲「ConfigEncryptKey」，解密後的單個配置信息結構大體如圖9所示。

　　圖9. 配置信息數據結構

　　6)配置文件對應的***功能分別以下：

　　註冊表隱藏：阻止列表進程訪問指定的註冊表路徑(圖10)

　　文件隱藏攔截驅動加載：阻止列表進程訪問指定文件，攔截指定驅動加載(圖十一、13)

　　進程隱藏三部分：當列表進程枚舉系統進程列表時隱藏指定進程(圖12)

　　圖10. 註冊表相關的配置信息

　　圖11. 文件操做相關的配置信息

　　圖12. 進程隱藏相關配置信息

　　圖13. 阻止驅動加載的相關配置信息

　　7)解密完配置文件後，依次將其加密後傳遞給內核surak.sys完成相應功能。

　　圖14. 將配置信息傳遞給surak.sys

　　三、Rootkit模塊行爲：(MD5：8bb5cdc10c017d0c22348d2ada0ec1dc)

　　1)掛鉤NtQuerySystemInformation函數，對應隱藏進程功能。在win7等64位系統中，因爲「蘇拉克」***patch了系統的內核文件，所以掛鉤此函數也不會引發藍屏。

　　圖15.

　　2)註冊LoadImage回調，經過此回調函數，攔截指定sys文件加載，其攔截方式直接將DriverEntry初代碼改爲返回指令。

　　圖16.

　　3)註冊CmpCallback回調，對應註冊表隱藏功能。

　　圖17.

　　4)掛鉤IofCallDriver、IoCreateFileSpecifyDeviceObjectHint，對應文件隱藏功能。

　　圖18.

　　圖19. 在x64版本的系統中，爲了可以Hook內核，系統的內核文件被篡改

　　四、上報模塊行爲：(MD5：595738d7ca9291a3d3322039bb4dc960)

　　tj.dll文件主要用於上報，其主要功能是收集機器信息、***版本信息、***配置信息等，使用RSA作非對稱加密，將信息上傳到服務端。

　　圖20.

　　五、***其它模塊(插件)行爲：

　　1)ielock32.dll(MD5：fadb57ff6fbfaf5f7f09e83d0de4a2ed)用於鎖定瀏覽器主頁。該文件插入到explorer中，並經過掛鉤進程建立函數，以添加命令行的方式鎖主頁。

　　2)subooa.sys、suboob.sys、subooc.sys(MD5：e94faf79a7681b33b903cceb1580d7c4)這三個驅動文件都會被加載到內核中，但只是一個空的工程，未見惡意代碼。

　　4、傳播渠道探索

　　「蘇拉克」直接植入到ghost系統鏡像中，其傳播渠道主要是經過推廣ghost系統傳播擴散。從10月份以來，反病毒實驗室監控到大量的傳播帶毒鏡像的網站，此類網站通常假裝成「系統之家」網站，並經過搜索推廣或者直接刷搜索引擎來使自身排名靠前。此外各大裝機相關的論壇，佈滿了帶毒ghost系統的推廣帖，吸引大量網友上鉤。

　　圖21. 假裝成系統之家的帶毒ghost下載站

　　圖22. 經過廣告或者刷排名來使本身排名靠前

　　圖23. 經過論壇發帖推廣帶毒ghost系統

　　結語

　　隨着安全軟件的普及和防禦能力的強化，***想繞過安全軟件的防禦深刻用戶系統變得很是困難，所以黑產從業者們千方百計讓本身先於安全軟件進入用戶的系統，並借先入之機大肆破壞後來安裝的安全軟件，從而達到霸佔用戶電腦並利用用戶電腦實現盈利的目的。近期，反病毒實驗室對經過國內各大搜索引擎找「ghost」、「ghost xp」、「ghost win7」等關鍵詞排名前10的ghost鏡像所有進行下載安裝分析，發現90%以上的ghost鏡像都是帶有***的。建議用戶選擇正規渠道安裝操做系統，經過下載ghost鏡像安裝系統雖然快速省事，但其安全性，確實很使人擔心。

　　Ghost系統的確很是方便易用。可是網上流傳的衆多Ghost系統都是帶後門或者病毒。「良心」一點的也是一堆預裝流氓軟件和鎖定主頁。。。

　　本文也揭示了一些OEM激活工具也有這種病毒隱藏。因此小白使用的時候必定要注意