快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

ATBroker.exe:一个被病毒行使的微软进程

*

一 媒介

一般情形下,病毒会行使添加启动项、计划义务、服务的方式来完成开机启动,达到以及活跃的目的。然而,行使atbroker.exe体系进程,完成病毒开机启动的方式并不常见。虽然该伎俩在2016年7月已经有被暴光,然则被发现的在野攻击却不久不多。不久前,某网友机子上的某杀毒软件不停的提示有挖矿(zec币)程序在运行,删除恶意程序后,下次开机照样会不停的出现。在一番苦心挖掘下,终究摸清了病毒的自启、藏避杀软的攻击伎俩。

本次抓到的样本,通过行使atbroker.exe自启病毒母体,然后通过rundll32加载恶意模块,最后完成文件的md5修改、开释以及执行挖矿程序。

二 手艺违景

2.1 atbroker.exe违景先容

atbroker.exe(C:\Windows\System32目录下),源于微软的“轻松走访中心”。”轻松走访中心”的一项功能是帮助用户启动辅助功能应用程序,经常使用的包括讲述人,屏幕键盘以及放大镜。同时,这象征着第三方程序也能够通过注册“轻松走访中心”的方式来启动。这一机制使得病毒可以通过写注册表的方式,行使atbroker.exe启动恶意程序。

atbroker.exe的文件信息以下:

image.png

2.2  atbroker.exe 攻击手段

早在2016年7月22就暴光了行使atbroker.exe运行恶意程序的要领,然则网上对行使该伎俩进行恶意攻击的文章不久不多。详情请戳:

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

亲测,触发atbroker.exe启动,有下列几个场景

(1)锁屏或者登录时

(2)开机启动时

(3)运行atbroker.exe时

(4)按下Ctrl+Alt+Del时

(5)触发UAC时

下面用一个藐视频演示Win10 下UAC触发atbroker.exe启动恶意程序(以notepad.exe为例)的场景,感兴致的可自行测试

三 zec币挖矿攻击

3.1 攻击流程

从病毒母体的自启动,到终极的挖矿程序执行,中间用了多层伎俩,用此要领有首要两个目的:

(1)隐躲母体,让病毒长期驻存以及活跃;

(2)不断改变MD5逃避杀软查杀。

这里用红色字体标注恶意文件,用蓝色字体标注体系进程,流程如图所示

image.png

3.2 自启动

样机上的atbroker.exe行使的注册表信息:

注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs下创建了一个Zlocal39的项,其中StartExe的值指向病毒母体,StartParams的内容是运行参数 woshiyizhixiaomaolv(我是一只小毛驴?)

image.png

注册表HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Session1下的Configuration的值为Zlocal39

image.png

通过processmon 的开机监控发现,体系登录时会启动atbroker.exe,数据库黑客,然后atbroker.exe接着执行恶意程序Zloc.exejPnAtDoPy.exe,参数 woshiyizhixiaomaolv

image.png

3.3 样本阐发

IDA 关上Zloc.exejPnAtDoPy.exe(MD5:27d6209b6e10183a126906a714390577),pdb路径暴露了作者的QQ号。是有心留名?照样无心之举。

image.png

Zloc.exejPnAtDoPy.exe主若是在temp目录下开释文件名随机,后缀名为lbll的模块并加载

image.png

image.png

开释并加载ibll文件后,接着起rundll32加载idTemp.data,函数入口CgvSEcXgGkbWwkFa。(这里的vCTemp.data(MD5:27d6209b6e10183a126906a714390577) 实在就是Zloc.exejPnAtDoPy.exe)

image.png

image.png

IDA关上idTemp.data(MD5:201136f459c3982bc75d440f8afe40c4),该模块主若是创建线程以及开释挖矿文件到C:\ProgramData\GTOrigin 目录下,并解压挖矿文件到%appdata%/Wtrl目录下

image.png

Sub_10004A20( )症结代码

image.png

开释文件

image.png

image.png

进入到该目录下查看这些文件,其中ini的文件为加密的设置文件,Wtrl.cab是包含挖矿模块(后来证明是antpool的zec挖矿模块)的压缩包

image.png

Wtrl.cab的文件最后被开释到%appdata%/Wtrl目录下

image.png

接着rundll32调起Mine.exe(MD5:c849f42721cc0a0d66f405602126ecf0),运行参数 woshiyizhixiaomaolv

image.png

Mine.exe调起ThundCloud.exe(d9c6ab06dd0ea7703eff952d40c4e4ce),运行参数依然是 woshiyizhixiaomaolv

image.png 

ThundCloud.exe最后加载同目录下的挖矿模块,用wireshark 抓包得到矿池地址,账号名以及矿工名

image.png

五 溯源

根据pdb路径暴露的QQ号,查到作者于12年毕业,活跃于看雪论坛,善于windows驱动开发

image.png

image.png

六 总结

通过本次事故的阐发,atbroker.exe 是病毒很好的躲身之地。病毒再通过改变MD5以及白+黑伎俩,能绕过大部分杀软的查杀。触发atbroker.exe来启动病毒的场景很多,包括开机自启、锁屏、UAC以及参数运行等。行使该机制,使得病毒能够轻松拉活本人并长期驻存在体系中。

IOCs

27d6209b6e10183a126906a714390577

05b5f526631cb3c63ae45061dbac316a

201136f459c3982bc75d440f8afe40c4

c849f42721cc0a0d66f405602126ecf0

d9c6ab06dd0ea7703eff952d40c4e4ce

参考文章

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

*

您可能还会对下面的文章感兴趣: