技術點
通過TDI過濾、DNS劫持、HTTP(s)注入、HOSTS重定向等技術手法篡改用戶系統網絡數據包,將正常網頁訪問劫持引流至指定私服網站,並利用安全軟件雲查殺數據包屏蔽、關機回調重寫等手段實現對抗查殺。
技術細節
- A、注冊TDI回調函數,過濾收發包
病毒驅動加載后,對TDI_SEND和TDI_SET_EVENT_HANDLER進行了處理,前者主要是負責網絡數據的發包,后者則是負責對接收到網絡數據進行處理,對這兩個地方進行過濾處理之后,帶來的效果就是訪問A域名,實際打開的卻是B網站。
在TDI_SEND中,通過檢測360與其雲端的通訊時的關鍵字段“x-360-ver:”,中斷雲查詢,從而造成雲查殺的失效。在TDI_SET_EVENT_HANDLER中,收到符合規則的請求響應數據后,病毒直接修改數據包,嵌入相應的HTML框架代碼進行劫持
- B、設置IE代理,劫持HTTP訪問
設置IE代理的目的,猜測是為了在病毒驅動被殺軟清理后,依舊能夠長期劫持網站訪問所用。IE的代理配置信息由雲端實時下發。
- C、創建關機回調,劫持DNS和自更新
下載劫持的DNS配置信息,然后在關機回調中設置電腦的DNS,從而完成DNS的修改劫持
- D、 創建映像加載回調,攔截其它病毒運行
在映像加載回調中,為了確保被感染的電腦能夠被自己成功劫持,當檢測到當前加載的是驅動程序時,還會對比簽名是否為黑名單中的簽名(黑名單從106.14.47.210:11054/bctlist.dat下載而來),若符合攔截規則,則直接禁止加載。
- E、 創建注冊表回調,保護自身啟動
在注冊表回調中,若發現有對IE代理設置和驅動服務類注冊表項的操作,則直接拒絕訪問,防止相關注冊表項被修改。
除此之外,病毒還會循環枚舉注冊表回調函數的地址,若檢測到被刪除,則會再次注冊回調函數,這么做為了防止用戶利用pchunter之類的ARK工具對回調函數進行刪除操作,使病毒難以被手動清除。但如果是病毒程序自身升級需要修改相關的注冊表項時,則會利用開關標記來暫停對相關注冊表項的保護。
- F、 下載配置信息,實時更新劫持信息
無需與3環進程交互,完全由0環的驅動實現,而相關的配置信息,也統一從遠程服務器下載。
參考
私服暗藏殺機,亡靈病毒肆虐江湖
https://www.freebuf.com/articles/system/198869.html