深度剖析信息窃取工具DUQU2.docx

深度剖析信息窃取工具DUQU2.docx

ID:25754647

大小:4.37 MB

页数:25页

时间:2018-11-22

深度剖析信息窃取工具DUQU2.docx_第1页
深度剖析信息窃取工具DUQU2.docx_第2页
深度剖析信息窃取工具DUQU2.docx_第3页
深度剖析信息窃取工具DUQU2.docx_第4页
深度剖析信息窃取工具DUQU2.docx_第5页
资源描述:

《深度剖析信息窃取工具DUQU2.docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、深度剖析信息窃取工具DUQU2.0木马0x00前言今年年初,卡巴斯基实验室在安全扫描过程中,检测到了几个影响了自家内部系统的网络入侵行为。接着我们大范围调查了这些入侵事件。我们分析发现了一个全新的木马平台,这个平台出自DuquAPT小组之手。DuquAPT小组是世界上最神秘,水平最高的APT小组。这个小组从2012年开始销声匿迹,直到今天又卷土重来。我们分析了这新一轮攻击,结果表明这是2011年Duqu木马的升级版,怀疑与Stuxnet木马有关。我们把这个新木马和相关的平台命名为"Duqu2.0"。Duqu利用了0-d

2、ay漏洞CVE-2015-2360(WindowsKernel中的漏洞)和另外两个0-day漏洞,攻击了卡巴斯基实验室。微软在2015年6月9日修复了第一个漏洞,另两个漏洞在近期也得到了修复。0x01木马剖析Filename:随机/根据具体样本而定MD5(根据具体样本而定):14712103ddf9f6e77fa5c9a3288bd5eeSize:503,296bytes文件属性MSI文件具有一下属性CompositeDocumentFileV2DocumentLittleEndianOS:Windows,Versio

3、n6.1Codepage:1252Title:{7080A304-67F9-4363-BBEB-4CD7DB43E19D}(randomlygeneratedGUIDs)Subject:{7080A304-67F9-4363-BBEB-4CD7DB43E19D}Author:{7080A304-67F9-4363-BBEB-4CD7DB43E19D}Keywords:{7080A304-67F9-4363-BBEB-4CD7DB43E19D}Comments:{7080A304-67F9-4363-BBEB-4CD7D

4、B43E19D}Template:Intel;1033LastSavedBy:{7080A304-67F9-4363-BBEB-4CD7DB43E19D}RevisionNumber:{4ADA4205-2E5B-45B8-AAC2-D11CFD1B7266}NumberofPages:100NumberofWords:8NameofCreatingApplication:WindowsInstallerXML(3.0.5419.0)Security:4其他攻击中使用的MSI文件可能具有另外一些属性。例如,我们还发现了

5、另外几个字段:Vendor:MicrosoftorInstallShieldVersion:1.0.0.0or1.1.2.0or2.0.0.0在Windows资源管理器的文件属性对话框中,可以查看某些字段。这个MSI数据包中有两个二进制文件:ActionDll是一个dll文件,ActionData0是一个经过Camellia加密,LZJB压缩的数据payload(不同情况下的加密算法和压缩算法也不同)。实际上,经过加密或压缩的二进制数据块中,会有好几层可执行代码。在后面的文章中,我们详细地说明了这些组件。第一层:Act

6、ionDLL(msi.dll)原文件名:msi.dllMD5:e8eaec1f021a564b82b824af1dbe6c4dSize:17’920bytesLink时间:2004.02.1202:04:50(GMT)类型:64-bitPE32+executableDLLforMSWindows这个DLL只有一个StartAction导出函数,msiexec.exe进程的上下文会调用这个函数。当这个函数被调用时,这个函数就会获取一个MSI属性-PROP,并用这个值来解密actionData0包。接下来,这段代码会遍历1

7、2个需要解密并启动的payload。这些payload是MSI的一部分,可能会包含以下名称:ActionData0,ActionData1,ActionData2。我们的这个数据包中只包含一个paylioad-“ActionData0”。第二层:ActionData0主代码会被压缩和加密到这个二进制数据包中。这个二进制的组成包括可执行程序,位置无关代码块,和内嵌的数据对象。这些代码似乎遵循着某种框架,使用了很多辅助结构。辅助结构中包含了一些系统API的指针和内部数据块的偏移量。这些结构能反映出开发者的风格。当代码初始化

8、时,一个字段(一般是前四个字节)中的magic值就会识别结构的状态和类型。这名编码员还喜欢根据模块和输出名称的哈希来导入系统API。在可执行代码的很多层上都使用了这个哈希算法。通过两个DWORD常量就能识别:0x8A20C27和0x67F84FC6。一般情况下,ActionData0中的代码会在一个内嵌的可执行程序-“klif.d

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。