在互聯(lián)網(wǎng)安全這場(chǎng)持久戰(zhàn)中，網(wǎng)絡(luò)攻擊者一直在不斷改進(jìn)自己的攻擊技術(shù)。安全研究人員發(fā)現(xiàn)，最新的Graftor木馬變種可以將惡意DLL文件內(nèi)嵌到PNG圖片中，然后以圖片為載體隱藏并將惡意DLL下載到目標(biāo)系統(tǒng)上，并能夠躲避殺毒軟件的檢測(cè)。針對(duì)本文中的樣本，惡意內(nèi)容被嵌入在了真實(shí)PNG圖片數(shù)據(jù)的末尾。

廣告軟件，甚至是綁定惡意軟件的正版軟件越來越多地被作為攻擊者用來初始訪問目標(biāo)用戶系統(tǒng)的手段。在這些情況下，用戶會(huì)被誘導(dǎo)訪問一些惡意網(wǎng)站或者安裝一些軟件。在這次所分析的樣本中，它訪問了系統(tǒng)之后，惡意軟件通過下載一個(gè)包含惡意DLL和其他可執(zhí)行內(nèi)容的PNG文件，并利用該P(yáng)NG文件進(jìn)行進(jìn)一步的漏洞利用。其中，PNG文件的下載發(fā)生在系統(tǒng)后臺(tái)，而無需與用戶進(jìn)行交互，并且會(huì)將惡意內(nèi)容隱藏在PNG文件的末尾，通過這種方法攻擊者試圖繞過系統(tǒng)和網(wǎng)絡(luò)的安全檢測(cè)。

意在竊取用戶輸入數(shù)據(jù)

在我們1月份分析的樣本中，惡意軟件首先試圖通過HTTP請(qǐng)求從http://174.128.244.58:808 toopu.png網(wǎng)站下載惡意PNG圖片，分析代碼如下圖所示。

在toopu.png文件的末尾附加了一個(gè)DLL文件，該DLL并未以任何方式混淆或隱藏，而只是附加到PNG文件中IEND標(biāo)志的后面，通常IEND標(biāo)記表明圖像文件的結(jié)束。

搜索VirusTotal，就能發(fā)現(xiàn)toopu.png同時(shí)還與一千多個(gè)樣本聯(lián)系密切，這些樣本也都使用到了該P(yáng)NG文件中的惡意內(nèi)容。通過檢測(cè)最近的很多樣本，我們發(fā)現(xiàn)toopu.png文件從192.253.234.50處下載。此外，我們也發(fā)現(xiàn)攻擊者還使用了其他PNG文件，例如khbgvkh.png和test.png文件。在我們分析的這個(gè)樣本中，VT表明它hook了鍵盤和鼠標(biāo)操作的相關(guān)函數(shù)。簡(jiǎn)單地查看test.png文件中添加的內(nèi)容可以發(fā)現(xiàn)一些字符串，例如“ActiveOfflineKeyLogger”和“UnActiveOfflineKeyLogger”，表明惡意軟件確實(shí)試圖獲取用戶輸入的鍵盤數(shù)據(jù)。

修改主機(jī)文件

通過檢測(cè)VirusTotal上其他下載toopu.png文件的樣本，還發(fā)現(xiàn)攻擊者使用的另一個(gè)常見的技巧，即修改本地主機(jī)文件內(nèi)容，將不同反病毒廠商的網(wǎng)址鏈接指向本地主機(jī)，從而防止本機(jī)訪問這些網(wǎng)址。在其中一個(gè)樣本中，惡意軟件修改主機(jī)文件(hosts)的內(nèi)容如下所示：

分析用于構(gòu)建獲取惡意PNG文件的HTTP請(qǐng)求的函數(shù)，可發(fā)現(xiàn)似乎該它缺少一些功能。它有大多數(shù)HTTP頭的格式化字符串，但只提供了一個(gè)用戶代理(User-Agent)和接受語(yǔ)言(Accept-Language)值，且對(duì)toopu.png的請(qǐng)求中只有空的referrer和cookie頭。

惡意軟件執(zhí)行流程

如果該函數(shù)獲取PNG文件失敗，它將休眠一段時(shí)間然后再次請(qǐng)求。一旦獲取到PNG文件，檢索函數(shù)將執(zhí)行一些基本的驗(yàn)證操作，以確保獲取的是正確的圖像文件。樣本檢測(cè)“200 OK”響應(yīng)并核對(duì)文件長(zhǎng)度是否為0x41EA9(269993)，然后移動(dòng)到嵌入的DLL文件開始偏移0xEA9(3753)。

嵌入的DLL文件實(shí)際上包含一些C&C功能，函數(shù)中的參數(shù)type和cr都被硬編碼成了“loadall”和“yes”。

UPX加殼文件內(nèi)容

PNG文件中還包含了一個(gè)UPX加殼文件，該文件中包含一個(gè)域名列表和用戶代理列表，C&C對(duì)應(yīng)的域名包括：

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

加殼文件中包含的用戶代理都是獨(dú)一無二的，其中一個(gè)列出了Chrome瀏覽器的過時(shí)版本，兩個(gè)列出了兩個(gè)版本的IE瀏覽器，還有一個(gè)列出了IE11瀏覽器和火狐瀏覽器。

Chrome用戶代理(Chrome的當(dāng)前版本是41)是：

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US)AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.612.1

Safari/534.15

兩個(gè)IE用戶代理分別為：

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ; Maxthon/3.0)

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.1; SV1) ; 360SE)

火狐用戶代理為：

Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101Firefox/24.0

IOC哈希值:

331177e4fbde6c98620f1c9927962c79d4c027807357f42002a14a2dc22b4044

b4cb0490afa7da6647dc7f255a6c4c742b649fe4ff853b83f7dd2f948b8686be

1fc6034b3ec99a01e3b2cde22846772656481d7374209ca0f068c8ab181bc8d9

4124a533037373a922b01421caca3821af36099d98b7d6aa534ad9a2c4f40d2b

域名：

niudoudou.com

fxxx114.com

wlkan.cn

it885.com.cn

aquametron.com

IP地址：

174.128.244.58

192.253.234.50

結(jié)論

捆綁惡意軟件和其他廣告軟件正在變成越來越常見的攻擊手段。這些嵌入惡意代碼的PNG文件最初的檢出率很低，本文分析的樣本也是如此。所以，用戶必須時(shí)刻保持警惕，提防攻擊者安裝其他軟件或者訪問惡意網(wǎng)站。此外，一個(gè)分層的安全方法有助于降低這種威脅，它可以限制軟件后臺(tái)訪問惡意網(wǎng)站，并能在惡意軟件運(yùn)行之前阻止它們。