吃雞玩家的一曲涼涼:「荒野行動」加速器木馬攻擊已達10萬+
隨著絕地求生、荒野行動等遊戲大火,不少玩家會下載各種加速器用來加速遊戲,而這些利用玩家求勝心理傳播的加速器等外掛,卻很快成了木馬活躍的溫床。近期,360安全中心發現一款藉助「荒野行動」外掛擴散的驅動級木馬十分活躍,傳播量迄今已超10萬次。
該加速器運行後界面顯示正常,但是後台會靜默注入桌面進程,下載各種惡意木馬運行。木馬會通過修改驅動結構體隱藏自身文件及驅動對象,創建進程回調對瀏覽器實施監控,藉機劫持並篡改玩家所有瀏覽器的主頁。值得注意的是,該木馬的查殺難度極高,能夠關機回寫自身服務項,確保自身在開機最初運行,並做多重註冊表保護。
下面是對該加速器惡意行為詳細分析。
1 安裝改首頁驅動部分
圖1
而後在線程函數中檢測惡意驅動設備是否存在:
圖2
打開查找設備名:
圖3
讀取驅動下載配置:
圖4
然後解密配置, 檢測改主頁驅動安裝雲標記是否打開。
打開是1,並且根據操作系統x86 x64分別使用不同地址。
下載安裝驅動:
圖5
調用 URLDownloadToFileW 下載驅動文件:
圖6
啟用該驅動:
圖7
2 改主頁驅動
2.1驅動入口函數
判斷是否支持的系統:
圖8
是否已經載入上:
圖9
判斷是否為第一次隨機名載入:
圖10
如果是隨機名載入,則重新載入驅動並且將自身設置為System Reserved組:
圖11
調用ZwLoadDriver重新載入該驅動:
圖12
重新載入自身後創建符號鏈接:
圖13
而後註冊關機回調, 初始化瀏覽器進程數組 ,進程回調(用來判斷瀏覽器改主頁)。
圖14
通過進程名稱獲取進程Pid:
圖15
而後註冊DriverReinitializationRoutine。
2.2 初始化保護函數
首先鎖定自身文件,防止被殺軟讀取,保存驅動全路徑並且隱藏自身驅動對象:
圖16
查詢系統所有模塊:
圖17
挑選其中的系統模塊 然後複製其中驅動文件名和驅動文件路徑:
圖18
之後系統就會多出兩個一模一樣的驅動文件。
然後註冊文件MiniFilter註冊表回調保護自身註冊表和禁止殺軟模塊載入:
圖19
註冊文件過濾防止模塊載入:
圖20
註冊註冊表回調保護服務項目:
圖21
然後創建系統線程等待桌面進程啟動後保護自身註冊表項目:
圖22
等待桌面進程啟動後保護註冊表項目:
圖23
註冊表回調發現一旦設置或者刪除自身註冊表項目 就返回拒絕並且通過開關控制。
圖24
文件過濾中:
圖 25
判斷是否為瀏覽器進程:
圖26
如果是這些進程中且為以下模塊則返回STATUS_NO_SUCH_FILE。
圖27
圖28
2.3 修改瀏覽器主頁
主要是在進程回調中實。 判斷是否為瀏覽器進程,然後通過修改命令行方式強行跳轉:
圖29
判斷瀏覽器進程:
圖30
通過遍歷瀏覽器進程名數組實現:
圖31
瀏覽器進程列表為:
圖32
獲取進程命令行:
圖33
通過獲取PEB中相關結構實現:
圖34
獲取進程命令行:
圖35
而後 SafeChangeProcessCommandLine 修改瀏覽器進程命令行:
圖 36
判斷哪些窗口名或者是進程命令行跳過然後拼接命令行參數:
圖37
實現瀏覽器主頁修改:
圖38
修改命令行函數:
圖39
2.4 關機回調
會清理調所有其他的註冊表回調,並且重新回寫自身服務項目。
圖40
先摘除自身保護:
圖41
而後根據系統硬編碼摘除其他的註冊表回調便於將自身寫入:
圖42
然後重新寫入註冊表項目:
圖43
3 中毒現象和查殺
主頁被修改
圖44
多了兩個一樣的模塊:
圖45
近期在上述站點下載過軟體的玩家,都有可能被該驅動木馬感。建議玩家一旦發現瀏覽器主頁被反覆篡改現象時,儘快使用安全軟體 對設備進行掃描查殺。
360安全衛士於國內率先實現對該頑固驅動木馬的查殺清理,在此也提醒玩家盡量不要使用外掛,更不要聽信外掛誘惑關閉殺軟,給惡意木馬可趁之機。
圖46
※專家研究警示:人工智慧或成未來犯罪與政變的新手段
※十分鐘看懂比特幣,矽谷密探帶來區塊鏈最強音
TAG:威客安全 |