# 移花接木大法：新型“白利用”华晨远控木马分析

0x00 前言
=======

* * *

“白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件，之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。

随着安全软件对“白利用”的防御机制日益完善，木马也在花样翻新。近期，360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术：该木马利用白文件加载dll文件后，再次启动白文件并卸载白进程内存空间，然后重新填充病毒代码执行。

这种“移花接木”的手法，使得病毒代码均通过白进程主模块执行，能够绕过多数安全软件的主动防御规则，具有较强的存活能力。以下是对此木马详细的技术分析：

0x01 木马分析
=========

* * *

该木马伪装成“美女图片”通过社交软件、电子邮件等方式传播，一旦中招，电脑将被黑客发送指令执行摄像头监控、屏幕监控等远程控制行为。目前已知该木马主要变种达到22个。

![enter image description here](http://drops.javaweb.org/uploads/images/1734521fd2eef1b21d63fa895deed9fee5ed673a.jpg)

图：“华晨同步专家”远控木马及变种

![enter image description here](http://drops.javaweb.org/uploads/images/01c5c15883b9f88a77fab6ff863083d5ffae953b.jpg)

图：木马执行过程

“华晨同步专家”木马文件：

![enter image description here](http://drops.javaweb.org/uploads/images/99034a42ed83f44d04d47913c68f59cee71256d5.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/8a1faef703c51b9aa903e09bce941cc566d8f16e.jpg)

美女图片.exe：运行后会释放update.exe、ETComm.dll、wc.dat这三个文件，并运行update.exe。这种“三合一”的打包方式相比压缩包更利于木马传播。

1.  update.exe：盛大网络的ET语音启动程序
2.  ETComm.dll：用于劫持盛大程序的木马dll文件
3.  wc.dat：zlib压缩加密的远程控制木马

我们首先从ETComm.dll入手分析：

**_ETComm.dll分析过程_**

DllMain中首先获取模块完整路径

![enter image description here](http://drops.javaweb.org/uploads/images/e44ad034964a3d26015060135a55ee10656f643b.jpg)

比较自身完整路径是否为`C:\$WinBackUP.H1502\BinBackup\Images\update.exe`如果不在`C:\$WinBackUP.H1502\BinBackup\Images`目录下则将`ETComm.dll`、`wc.dat`、`update.exe`拷贝过去，接下来直接进入`100016A0`

![enter image description here](http://drops.javaweb.org/uploads/images/d3a8a2da419b14b74ba2c6e7c32bb5f1b9218f97.jpg)

100016A0进来以后首先访问C:\$WinBackUP.H1502\BinBackup\Images\wc.dat

![enter image description here](http://drops.javaweb.org/uploads/images/7c3022d9c6d2efe623a60efb06283816f1ddaca8.jpg)

申请一段内存后将wc.dat的内容读进去

![enter image description here](http://drops.javaweb.org/uploads/images/dd2f0617e88dda0ade35405f6c2f311f261f579e.jpg)

将读出来的文件内容的前四位与0x36异或，得出0x14E00

![enter image description here](http://drops.javaweb.org/uploads/images/b70738014bb35ee7b811ab6b64003f15380cd635.jpg)

将解密出来的0x14e00给到一个变量

紧接着就申请出来一块0x14E00大小的内存

之后将这些数据作为参数传递到Zlib的解压函数中

![enter image description here](http://drops.javaweb.org/uploads/images/4dd9321b288ed23823e95f097b825bc5c1cf8962.jpg)

解出来的数据如下

![enter image description here](http://drops.javaweb.org/uploads/images/481ef3feed7533cf25365622b7668b30019d0f13.jpg)

由此我们可以得出wc.dat的结构，第一个DWORD存放的是UnpackFileSize，之后的数据存放的是压缩后的文件数据，此时是最好的dump时机。

Dump出来的文件：

![enter image description here](http://drops.javaweb.org/uploads/images/6850d53eaf0180c91bf5615fcace772c822f01cb.jpg)

**_接下来是为内存运行exe做准备了_**

alignPEToMem函数主要作用为加载PE到内存，该函数主要内容为对其exe节数据进行初始化操作。AttachPE主要作用为创建外壳进程（盛大网络ET语音启动程序），并替换进程数据然后执行真正的病毒代码

![enter image description here](http://drops.javaweb.org/uploads/images/9b9e2ded4b230fc2e38f6e071dd35bbac87baba5.jpg)

我们重点来看下AttachPE函数的行为：

首先挂起模式再次运行`C:\$WinBackUP.H1502\BinBackup\Images\update.exe`

![enter image description here](http://drops.javaweb.org/uploads/images/737c8362b165b75f25332ca489dbd42f5a9b827d.jpg)

调用GetThreadContext获取信息目标进程的线程句柄

![enter image description here](http://drops.javaweb.org/uploads/images/52eff979a830784adc8cf80365da6665a7a4b8b4.jpg)

得到的信息存放在结构体`lpContext`中，接着读取了目标进程的`lpContext`结构体中`Ebx+8`的数据。

`[lpContext.Ebx+8]`处存的是外壳进程的加载基址，该目标进程的基址为`0x00400000`

![enter image description here](http://drops.javaweb.org/uploads/images/795d548bf08547834fa2a4b7ae0c8230e9f5e5c9.jpg)

动态获取`ntdll`的`ZwUnmapViewOfSection`并调用，卸载目标进程原外壳内存数据

![enter image description here](http://drops.javaweb.org/uploads/images/860df1a2d230374768b85958133ef16e8a8a1c75.jpg)

重新在目标傀儡进程中申请傀儡代码用到的内存，`0x00400000`大小为`2C000`

![enter image description here](http://drops.javaweb.org/uploads/images/9ff28ee3b6f1795f922a80272c1d2074c44d7494.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/c9220ef953ab9146709561f12e12ad7ba4eb816a.jpg)

内存申请成功后在傀儡进程的`Context.ebx+8`中写入新的基址（因为两个文件基址都为`0x400000`，所以这一步并没有什么用，但是如果对于两个基址不一样的文件这一步就非常必要了）

![enter image description here](http://drops.javaweb.org/uploads/images/a5f3484c60f54db61d4b38cb25bc47eaef6ae9e5.jpg)

然后在新申请的内存中写入已经展开了所有节数据的病毒代码，大小为0x2C000

![enter image description here](http://drops.javaweb.org/uploads/images/85556182b3753c044fb1f2355aeb88fba8997b0e.jpg)

重置运行环境中的入口地址，新的OEP为基址+0x0002A820

![enter image description here](http://drops.javaweb.org/uploads/images/0537546f294f2e12066e4a650d289329f2f43837.jpg)

更新傀儡进程运行环境后恢复傀儡进程运行

![enter image description here](http://drops.javaweb.org/uploads/images/f6c6ac7c705a53be624910f7ec57fd96c8b6b536.jpg)

至此ETComm.dll的任务已经完成，直接退出了进程

![enter image description here](http://drops.javaweb.org/uploads/images/6e3493ca933b748db49bbb95ccde716fb662429b.jpg)

**_接下来我们来分析被偷梁换柱的update.exe进程_**

从入口点我们可以看出是UPX加壳

![enter image description here](http://drops.javaweb.org/uploads/images/445da85adf2eb3426f03b25d55ee076fcad16520.jpg)

直接ESP定律到程序OEP，入口点代码可以看出是VC6.0所编译

![enter image description here](http://drops.javaweb.org/uploads/images/03099ef825e390bea05b694e64f2d2d50e6d7e6f.jpg)

来到Main函数我们可以看到先是调用了一些sleep(0)

![enter image description here](http://drops.javaweb.org/uploads/images/fe201897289032e520b79f88a0648cbaae8b59ee.jpg)

后面有一些字符串单字节赋值，我们可以看出他拼出来的字符串是Kernel32.dll和GetMoudleFileNameA，分别给到了变量LibFileName和ProcName

![enter image description here](http://drops.javaweb.org/uploads/images/c6ec01adb1296b97478f80f6db9c2eb0beb5a960.jpg)

动态获取GetMoudleFileNameA

![enter image description here](http://drops.javaweb.org/uploads/images/2f965a8e7f3644577cc8d5745677e114f9b03efe.jpg)

通过GetMoudleFileNameA获取到文件所在路径后，将该路径写入注册表作为启动项，启动项名称为“Realtek高清晰音频管理器”

![enter image description here](http://drops.javaweb.org/uploads/images/2af525f3917253a685fd8449eddce87166fd9424.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/8ed759965b571b4c98b3054b556816b4ec28b564.jpg)

获取资源中的名为“dll”的资源

![enter image description here](http://drops.javaweb.org/uploads/images/bf25d8c44616056452c4e0f4c11495e988df7555.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/df039bb3be593c87c624b3af82d80009bff9dc35.jpg)

解密算法为

```
xor 0xF1
add 0xF1

```

中间有很多sleep(0)做干扰

![enter image description here](http://drops.javaweb.org/uploads/images/4b135b2bc79e9b5153873213a87b5c3520f84bea.jpg)

解出来的文件

![enter image description here](http://drops.javaweb.org/uploads/images/981f560c82c347a9d52dad644fadc0e7494de1fc.jpg)

Dump出来是dll简单观察发现是华晨远控（Gh0st修改）

![enter image description here](http://drops.javaweb.org/uploads/images/f8387ed451629c0af2f49bb44c238f9bf11bffdd.jpg)

继续往下就是内存加载dll。抛弃系统的LoadLibrary和GetProcAddress来自己实现则会使dll不用落地，其目的是躲避安全软件的云查杀。

LoadLibrary的实现过程如下：

申请内存，写入PE头数据

![enter image description here](http://drops.javaweb.org/uploads/images/11cff9ba4ea442539a0a6b3c91a255d598eb4891.jpg)

循环拷贝各个节数据

![enter image description here](http://drops.javaweb.org/uploads/images/14193c3f48959e7d192e64c62f1933799ee13a5e.jpg)

处理重定位

![enter image description here](http://drops.javaweb.org/uploads/images/6d2099ffce0f4b6aa00416c5f1f01b975ed9b89a.jpg)

读取dll的引入表部分，加载引入表部分需要的，并填充需要的函数入口的真实地址

![enter image description here](http://drops.javaweb.org/uploads/images/e060a51bb7c7ddc53535911f09cc6a2c824becf4.jpg)

dll

![enter image description here](http://drops.javaweb.org/uploads/images/22089fe18bb43464d0d353df431fd4acd7c15f48.jpg)

修改各个节内存属性，单独设置其对应内存页的属性

![enter image description here](http://drops.javaweb.org/uploads/images/f3cb287447973c23fa0c1146f4b739f73619caf1.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/2057851ab38eac557825bd561aac23bd06121213.jpg)

执行DllMain函数

![enter image description here](http://drops.javaweb.org/uploads/images/63eb340a7b9df7517b1773b37247dc7cef9780b8.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/b087d2d17a5b2f9832550657b98ab6eff062f69b.jpg)

GetProcAddress实现过程：

![enter image description here](http://drops.javaweb.org/uploads/images/033dbed3239303da502fea3618782e22bbd9b7db.jpg)

调用自写GetProcAddress获取“Fi”导出函数并调用

![enter image description here](http://drops.javaweb.org/uploads/images/b41ad36287ddd38599310b5cd90db802dfa8e6c8.jpg)

Fi函数负责将整个远控执行起来了。

以下是远控基本信息：

```
远控上线地址：dddd.ndiii.com
端口：2012
分组名称：Default
远控官网：http://www.jinjingltsh.com/

```

“华晨同步专家”官网号称“拥有国家政府机关认证，与众多安全厂商均有合作”，实际上完全是其捏造的。

![enter image description here](http://drops.javaweb.org/uploads/images/be587fa6d70baf61b80d646c51c73b94c9b0c4b4.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/72fb3edb129a4b28a786c5388d3af54d0b41d388.jpg)

0x02 总结
=======

* * *

通过以上分析我们看出，“华晨同步专家”远控木马的新颖之处，在于利用白进程内存运行exe，内存运行dll，真正的病毒文件并不落地，仅存活在内存当中，具有较强的免杀能力。

根据VirusTotal对此木马较新变种样本的扫描结果，57款杀毒软件中有17款可以将其检出，检出率约为30%：

![enter image description here](http://drops.javaweb.org/uploads/images/55dbb0a8f874b8a0662150e115a2a5cd0de4ae36.jpg)