编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
一、谶曰
生物课本:寄生是指一种生物生于另一种生物的体内或体表,并从后者摄取养分以维持生活的现象。
东哥:恶意代码隐藏在脚本文件中,利用 AutoIt 解释器调用自身。
小白:揪出这条寄生脚本!
二、病毒通缉令
小白:喔~今天是神奇的魔术先生~~你举手~你抬头~你说选我选我~~
大东:AutoIt 可不是什么魔术先生,更不会给你变钞票。
小白:啥?Au 什么 t?
大东:它是一种使用 AutoIt 编写的蠕虫程序,样本运行后会将自身复制到系统目录下,是自身随机启动,修改注册表键值,禁用任务管理器,会对目标地址的计算机系统不断发送病毒数据包,并试图利用局域网进行传播。
小白:原来又是蠕虫啊……
三、寄生虫病毒
小白:大东东,这个 AutoIt 是啥呀?
大东:AutoIt 其实是一个自动化的 Windows 界面交互的脚本语言,使用灵活,容易学习。而 AutoIt 解释器属于合法程序,使得黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件。
小白:喔~又是一个被坏人利用的好东西!
大东:AutoIt 蠕虫的样本颇多,我给你举个例子吧。
小白:瓜子板凳儿就位~
-
暗藏神秘照片
大东:那咱就讲这个样本:[AutoIt3.exe] 71D8F6D5DC35517275BC38EBCC815F9F,[googleupdate.a3x] E58C5E3F461089CA9688D3ACA204EA70。
小白:@#%¥……%¥&*)#¥……这什么东西啊?
大东:这样本信息,你可以忽略不看。
小白:还没开讲就晕了。
大东:别急~AutoIt3.exe 是 AutoIt 脚本解释器,它带有正规数字签名。真正的病毒体其实是 googleupdate.a3x。
AutoIt3.exe数字签名
小白:听起来像是 AutoIt3.exe 身上的寄生虫。
大东:样本执行时,依靠 AutoIt3.exe 调用 googleupdate.a3x 脚本,以此执行其中的恶意代码。
小白:恶意代码长啥样?
大东:喏,大概长这样。
脚本中的恶意代码
如果你在网上搜索代码中的“ C:\Google\ googleupdate.a3x ”,可以找到不少中招用户的反馈。
中招用户的反馈
像这位用户,就是在使用杀毒软件清理 AutoIt 木马脚本后,电脑中仍残留文件,所以开机时就会弹出这个错误框。
小白:搜嘎~
大东:互联网安全分享网站 Freebuf 上有好奇宝宝对样本代码进行了分析。代码总共接近3300行,前约1300行像是复制了一个通用代码,里面有大量的常量的声明,封装了大量的微软操作系统相关的函数,并定义了大量的字符串、数组操作函数,甚至有限制鼠标活动范围的函数。
小白:为接下来的搞事儿做准备吗?
大东:其实,这些预定义好的常量和函数在后面代码中用到的很少。可能是出于作者习惯,所以每个脚本都要带上这段通用代码方便随时调用。
小白:黑客也懒癌……
大东:代码中间1582行是在拼一个很大的变量,其内容用 base64 编码过。
编码后的变量
变量解码后
变量储存的小帅哥照片
有趣的是,解开之后的变量是一个不明身份的小帅哥照片。从照片信息能看出,这张照片是用三星手机拍摄的,并经过 PS 处理,但没找到其他有用的信息,我们无法推断这人是谁……并且病毒执行后也没有调用这段数据,完全是一段垃圾数据。
小白:嗯,这颜值跟我有得一拼~
大东:得了吧你。
小白:嘿嘿~
大东:总共3300行代码中,只有最后的400行是真正的病毒代码。这部分代码主要做了四部分的工作:
-
检查自身运行环境
-
创建开机自启动
-
感染全部磁盘
-
驻留内存并与服务器通信实现远程控制
小白:什么?!我电脑都这么卡了它还想开机自启动?!!
大东:开机自启是个挺常见的病毒感染症状,此样本的手法也比较常规,就是写注册表的 run 项,并向“启动”目录添加快捷方式。
小白:除了这个,感染全部磁盘也很讨厌诶,我的文件啊……
大东:样本会遍历本地磁盘,在每个盘符下作如下操作:
-
在当前盘符根目录下新建名为“ skype ”的目录,将 autoit3.exe 和病毒脚本复制到该目录下,并设置该目录属性为“只读/系统/隐藏”。
-
遍历当前盘符根目录下所有文件夹,在每个文件夹下,创建一个与该文件夹同名的快捷方式文件指向 a 步骤中创建的病毒,并将快捷方式图标设置为文件夹图标。
-
如果当前盘符属性为“ removable ”(最常见的是U盘),则会在盘符根目录下额外创建其他快捷方式,指向 a 步骤中的病毒复制体,并将快捷方式图标设置为文件夹。常见的快捷方式名有:
mygames
mypictuers
myvideos
hot
downloads
movies
小白:看来电脑出现快捷方式就很危险啊。
大东:脚本在完成上述操作之后,会利用一个死循环代码常驻系统内存,并与远端服务器通信实现远程控制。成功后,会先将本地的机器名、用户名、所在国家、系统版本、当前存在的安全软件等信发送出去。然后等待远端指令进行进一步操作。接受的其他指令。
小白:其他指令是啥指令?
大东:就是以下这些了。
AutoIt 病毒远程控制指令
小白:大东东,那我要是被 AutoIt 缠上了,我的电脑有啥症状没有?
大东:如果你使用浏览器打开新主页时会出现广告和弹窗,甚至出现在桌面,那么你的电脑可能就中招了。其他的,网页加载速度变慢,电脑反应速度变慢,也存在中招几率。
小白:我的天!那我岂不是……
大东:你的电脑慢也可能是它老化啦。只要平常安全上网,不瞎开网页瞎下东西,何况你的电脑还有装了防护软件,定时进行全盘查杀,就没那么脆弱。
小白:呼~还好还好~
四、小白内心说
小白:这个其实是个被坏人利用的好蠕虫。
大东:怎么了?
小白:我立志要改变他!
大东:哇,这个志向不错。
小白:你以为。(得意)
大东:那你首先得好好学习了。
小白:那必须的。
大东:你还是先把你电脑上的病毒杀了吧。
小白:哎呀,差点忘了。
大东:哈哈(⊙o⊙)…
五、话说漫威
大东:小白,听过九头蛇吗?
小白:神话故事里的那个?
大东:我想说的不是,九头蛇(HYDRA)是漫威世界的超级反派组织,其标志为骷髅头与下方的蛇足。
小白:他们做啥的?
大东:九头蛇的口号是“砍掉一个头,再长出两个头取而代之”,与神话的海德拉形象契合,且以其无穷无尽的杂兵而实现这一个口号。
小白:噫~有点恶心!
大东:在现代,它是一种使用 AutoIt 编写的蠕虫程序,样本运行后会将自身复制到系统目录下,是自身随机启动,修改注册表键值,禁用任务管理器,会对目标地址的计算机系统不断发送病毒数据包,并试图利用局域网进行传播。
小白:在大东东的故事里,都进化了啊!
九头蛇
来源:中国科学院计算技术研究所
文章评论