暗渡陈仓：披着图片外衣的特洛伊木马.docVIP

暗渡陈仓：披着图片外衣的特洛伊木马 InfoStealer是一种木马，功能为收集受害计算机系统用户的敏感信息，并将其转发到一个预定的位置，而搜集的信息包含财务信息，登录凭据，密码或者都有，这些信息可能被出售在黑市上。AVAST将其命名为MSIL:Agent-AKP。 AD： InfoStealer是一种木马，功能为收集受害计算机系统用户的敏感信息，并将其转发到一个预定的位置，而搜集的信息包含财务信息，登录凭据，密码或者都有，这些信息可能被出售在黑市上。AVAST将其命名为MSIL:Agent-AKP。 下面，我们就来看看一个通过exploit kit(全自动攻击工具)部署在受害者电脑上的恶意.NET文件。用反编译器打开该文件后，发现资源中只包含如下干扰图片： 以位图方式打开图片，一个像素一个像素的处理。对于每个像素，它并不是非黑即白(ARGB不等于0,3种颜色提取并保存在一个列表中，一个值接着一个值，一列接着一列。 当我们提取出整张列表后，得到如下的结果。注意MZ标识，正是可执行文件的开头： 很明显，我们正在对付一个obfuscator(混淆器)，它从位图中转换数据，构造可执行文件。 单单的查看这个位图文件，并不能立即意识到它还存储着可执行文件。对照BITMAPINFOHEADER和它的bitHeight项，我们可以看到它的值是0X134。 根据文档，如果biHeight是正值，相应的位图就是自底而上的DIB(与设备无关的位图)，它的起始点在较低的靠左的位置。 下图展示了这个可执行文件的前9个字符是如何隐藏在位图中的。一个像素包含3个字符，随后的下一列是下一组3字符(自底高山美人茶 而上)。我们发现红色标识的字符正是可执行文件的MZ特征：4D5A90 000300 000004。 仔细观察Payload Payload从位图中被提取出来，原始文件有两个位图，其中一个解析后是用.NET写的加载器，装载进内存并执行第二个二进制文件。第一个二进制文件通过修改zone.identifier 来修改数据流。 硬盘上的任何文件都或有无被赋予了:zo玛瑙 ne:identifier的数据流，它包含了这个原始文件的zone信息。如果文件来自Internet，它的zone值是3;如果来自本地，zone值就是0。 这里的恶意文件试图将zone值设为2，表明是URLZONE_TRUSTED。 这个区域的存在是由于安全原因考虑。某些程序操作系统可能会报告与此类文件有关的安全信息。 第二个汇编码是从第二个位图源文件中提取的。它通过创建Win7zip注册表Uuid值来生成。 通过创建[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，运行之后将禁用几个安全方案，将调试器的值设置成一个不存在的exe文件路径，每当用户试图使用受影响的程序时，Windows将运行 调试 出来的值来代替原本的值，这样就可以成功的禁用此类程序。下图显示了通过修改此注册表项禁用的程序的列表。 同样利用修改注册表项禁用安全组件： [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]。将HideSCAHealth的值设置成1来禁用Action Center。Notification balloons的禁用可以通过修改TaskbarNoNotification的注册表项来达成。 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup]，修改DisableMonitoring注册表项，可以禁用Windows备份通知。 通过对注册表项2500键值进行设置，设置为3-禁用，就可以关闭Internet Explorer的保护模式。 如果发现装有如下的FTP软件，就会窃取它们的认证日志： FileZilla SmartFTP CoreFTP FlashFXP WinSCP FTP Commander 可以在它的body中看到下列字符： FileZilla\sitemanager.xml SmartFTP\Client 2.0\Favorites SmartFTP Software\FTPWare\CoreFTP\Sites FlashFXP Sites.dat Quick.dat Software\Martin Prikryl\WinSCP 2\Sessions %s\FTP Commander %s\FTP Commander Deluxe Ftplist.txt 它