多家企业网络入侵事件传言的同源木马样本分析报告

多家企业网络入侵事件传言的同源木马样本分析报告.txt男人的话就像老太太的牙齿，有多少是真的？！问：你喜欢我哪一点？答：我喜欢你离我远一点！执子之手，方知子丑，泪流满面，子不走我走。诸葛亮出山前，也没带过兵！凭啥我就要工作经验？文章链接：多家企业网络入侵事件传言的同源木马样本分析报告----安天实验室安全研究与应急处理中心（AntiyCERT）----2010-1-26目录第1章攻击事件源起第2章攻击采用的漏洞分析第3章攻击样本分析3.1PE可执行样本的本地行为3.2PE可执行样本的网络行为3.3衍生样本RASMON.DLL的功能分析3.4ACELPVC.DLL、VEDIODRIVER.DLL的同源关系确认3.5ACELPVC.DLL、VEDIODRIVER.DLL的功能分析3.6样本使用的域名分析第4章最终分析意见第5章安天的建议与思考附录第1章攻击事件源起根据有关事件传言，2009年12月至2010年1月间，多家国际大型企业网络遭受了入侵攻击，对此，相关报道、媒体、以及网络传言都有不同说法，从相关消息汇总来看，其中相对有依据的说法来自几家国际安全厂商，包括Symantec、Mcafee、TrendMacro等，综合根据各厂商已经发布的分析报告和有关报道，较多的结论是相关企业的工作人员受到针对客户端程序的0Day漏洞攻击（业内主要认为是IE浏览器相关漏洞，这个漏洞已经被命名为“极光”），并进而被植入了木马。第2章攻击采用的漏洞分析根据有关描述，安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE0day漏洞，并对有关代码采用了javascript加密变形，在常见的堆喷射技术的利用代码部分进行了变换，使得堆喷射代码只有在javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss[i]/7)手段对堆喷射代码进行变形成为数字数组形式，使静态检测堆喷射代码检测困难。但需要指出的是，脚本加密方法是当前网页木马的常规技术手段，整体来看这个攻击的代码的加密复杂程度有被夸大的倾向，实际上相关加密并不难于分析还原。关于有关漏洞的机理网上已经有较多的材料予以说明，用户可以自行搜索予以了解，并可以参靠本报告附录中的有关链接。第3章攻击样本分析安天实验室在此事件过程中并未与相关企业建立直接的联系，相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名，并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。截至到2010年1月26日，安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系，共筛选出关联样本13个进行细粒度分析（其中两个样本直接来自境外反病毒厂商提供），其中3个为PE可执性程序，10个为PE动态链接库。经关联分析确认，3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库；而有7个样本原始文件名均为Rasmon.dll，经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异，且均可加载acelpvc.dll，而acelpvc.dll又进一步加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。但由于缺少实际场合验证，且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化，安天无法确定相关样本就是相关事件中的样本，只能说明相关样本存在较大的同源性关系。+---------------------------------+---------------+----------------------------------+-------------+|MD5|样本原始文件名|病毒名|文件类型||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoy|||1B59487D4DC029D92B61ABD4F69C9923|30755.malware*|McAfee:Roarur.dr|PE可执行程序||||Symantec:Trojan.Hydraq|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoy|||9F880AC607CBD7CDFFFA609C5883C708|b.exe*|McAfee:Roarur.dr|PE可执行程序||||Symantec:Trojan.Hydraq|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoy|||BCBEF5AB2C75C171FEDCCA0A33BCF7F7|1.bin*|McAfee:Roarur.dr|PE可执行程序||||Symantec:Trojan.Hydraq|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoz|||32CC9F9DA93DD4E9FD3D203881197CBF|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoz|||BBE6FE27D503DA9B1F1C30ADAA40730E|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoz|||0F9C5408335833E72FE73E6166B5A01B|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoz|||2CFCD8C34F22FFB772C99C9293C21BDA|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epow|||3A33013A47C5DD8D1B92A4CFDCDA3765|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.epoz|||4A069A20B8262B20E7440C8AB9C54E11|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.eqqr|||80FC413CF908CD4506C3F790E484822E|Rasmon.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq!gen1|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.eraf|||4A47404FC21FFF4A1BC492F9CD23139C|acelpvc.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq|||--------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Agent.bcvj[Spy]|||467EEF090DEB3517F05A48310FCFD4EE|VedioDriver.dll|McAfee:Roarur.dll|PE动态链接库||||Symantec:Trojan.Hydraq|||---------------------------------|---------------|----------------------------------|-------------||||安天:Trojan/Win32.Genome.eqgc|||BA3545841D8A40ED8493E22C0E70A72C|c_1758.nls*|McAfee:Generic.dx|PE动态链接库||||Symantec:Trojan.Hydraq||+---------------------------------+---------------+----------------------------------+-------------+上述带有*标志的相关程序，由于其没有VERSION信息且并非从现场采集，其现场文件名已不可考。采用的是安天获得该样本时的文件命名，其中30755.malware名字从风格看是采用其他厂商的病毒命名作为文件名。下面是样本来源和衍生关系图谱（关于相关样本的更多细节，可以查看附表一）：+--------------------------------++-----------------------