A-A+

“DNS隧道”盗号木马分析

2017-06-09 分类推荐
一、“DNS隧道”盗号木马分析
盗号木马相信大家都不陌生。随着网络越来越普及,网上的账号密码越来越重要,盗号木马的生命力也就越发的顽强了。

  随着与杀毒软件的对抗,盗号木马也在不断的更新换代。QQ粘虫就是一个很典型的例子,这类木马的特点可以参考我们之前写过的博文《“神奇”的qq粘虫之旅》。而最近我们又监控到了QQ粘虫中的一例新变种,其主要的突破在于将盗取的信息通过网络发送出去的方法,思路颇为新颖,分享出来与大家共同把玩。

  预热

  从行为上来看,这其实就是个普通的QQ粘虫木马而已:

  伪装成一个文件夹,诱导用户点击  

木马
  运行后不断监控顶端窗口,一旦发现为QQ,就弹出一个自己伪造的QQ登陆窗口,诱导用户输入密码

  

木马
  编码与发送

  如果你不幸输入了密码并点击了登陆,那么请节哀——你中招了。你的QQ号和密码这些隐私数据正在木马指令的授意下,被你自己不惜高价买下的高性能CPU和内存飞速的进行着编码,并最终由你所钟爱的那块网卡发送到盗号者的服务器上……这绝对会是一个忧伤的故事……

  但木马的编码过程却颇费周章:

  首先,是将一个固定字符串“aaaaaa”与你的QQ号和密码这三组字符串,以制表符(’\t’)相连,拼成一个新的字符串,并将其转为UTF-16编码

  

木马
  然后,将上面的拼出的字符串的字符数(非字节数,实际上由于是UTF-16编码,字符数是字节数的1/2),保存为大端的WORD形式

  

木马
  接着,再将之前得到的账号信息字符串取Hex字符串后再次进行UTF-16编码……

  我自己说着都乱……举个例子,字符’a',也就是’\x61′,UTF-16编码后就是’\x61\x00′,取Hex字符串就变成了’6100′,也就是’\x36\x31\x30\x30′,再UTF-16后则是’\x36\x00\x31\x00\x30\x00\x30\x00′好吧,我猜大部分人还是晕……直接给大家看看最终结果吧,你的账号信息已经变的面目全非了:

  

木马
  同时,前面获取到的字符数也做同样的处理,并拼到上面这个字符串的前面,如下:

  

木马
  最后,以16字符为一批进行循环加密,并将加密后数据转成UTF-16编码的Hex字符串,最终结果如下:

  

木马
  这么麻烦,当然是为了绕过各种检测和分析系统,但同时还有一个目的——盗号者需要加密后的结果依然保持所有字符必须只有字母和数字组成(理论上还可以有连字符)。

  这是为了给这个木马最关键的一步做好铺垫——以DNS查询的形式将账号信息发送出去!

  木马在内存中将加密后的字符串,前面拼上”www.”,后面拼上”.cn”,得到了一个根本不存在的域名。再填上必须的结构,精心构造出了一个DNS查询数据包。

  

木马
  再将这个数据包用UDP协议发送到了自己的服务器的53端口——一切看起来都如此的天衣无缝。

  一个DNS查询而已,没有额外的非法数据,只是查询了一个不存在的域名,伪装的够深了吧!

  百密一疏

  但其实,通过Wireshark抓包还是可以看到一个很讽刺的事实——这个数据包依然是畸形的!根本不是正常的DNS查询。

  

木马
  根据Wireshark的报错信息,可以看到问题出在Queries这一段上,那具体是哪里异常了呢?QNAME部分的每个Label和前面的字节数都能对应上,QType是0×0001——A类请求,QClass是0×0001——IN。看着好像都没错啊?

  其实问题还就是出在了木马作者精心拼凑的这个加密字符串上,这一段Label的字节数为0×80——即128字节。而DNS请求的数据结构中队Label的长度可是有严格的规定的:

  Labels must be 63 characters or less.(参考RFC882 [Page30])

  也就是说Label被允许的最大长度只有63字节——即0x3f,只要超过了这个值,即为畸形!

  再次提醒大家——不要随意执行网上下载下来的程序,发现涉及到账号密码的异常状况,更要慎之又慎。在这个信息的时代,你的任何一些看起来无关紧要的数据的泄露,都可能成为黑客手中的重要社工数据——信息安全无小事。

二、“DNS隧道”盗号木马分析 之:轻松解决打印机“不请自来”问题

  也许有人认为自己的打印机自动化程度越高越好,毕竟高度自动化的打印机在很多场合下会“自动做主”,能够大大提高日常的打印操作效率。然而在另外一些场合下,自动化程度太高的打印机往往会“擅作主张”,这种“擅作主张”的行为有时不利于提高打印操作效率,反而会给打印用户带来不必要的烦恼!其实遇到打印烦恼时,我们只要巧妙设置打印机或计算机系统,就一定能让打印机不乱“做主”!

  双击文件,打印机“不请自来”

  也许大家碰到过这样的尴尬,那就是本想双击文件图标、打开文件窗口来看看其中的内容,笔者就碰到难题,想查看自己网上下载个人简历表格可谁曾想到这样一个简单的双击文件操作,却让打印机“不请自来”,以致于使我们在不明不白之中就浪费了几滴打印墨水、耗费了几张打印纸张;面对这样的事情我们除了尴尬,还有一丝疑惑,为什么双击鼠标的动作不能打开文件,而会让打印机“不请自来”呢?在排除病毒“作祟”的可能因素外,打印机的这种乱“做主”现象多半是系统缺省的文件类型被意外更改了,此时我们只要重新调整文件类型就能拒绝打印机“不请自来”了:

  首先用鼠标双击系统桌面中的“我的电脑”图标,在其后的窗口中依次单击菜单栏中的“工具”/“文件夹选项”命令,打开本地计算机系统的文件夹选项设置界面,单击其中的“文件类型”选项卡,打开如图1所示的选项设置页面;

  其次在该选项设置页面的“已注册的文件类型”处,将双击鼠标就能让打印机“不请自来”的目标文档类型选中,比方说要是用鼠标双击TXT格式的文件图标时,打印机就能“不请自来”的话,那我们必须选中“已注册的文件类型”列表框中的“TXT文本文档”选项;

  之后单击“高级”按钮,进入到编辑文件类型对话框,选中其中的“print”项目,检查此时的“设为默认值”按钮是否处于不可点击状态,要是该按钮的确处于不可点击状态时,那就意味着在默认状态下TXT格式的文档首选执行的动作就是“打印”操作,这也就是为什么双击TXT文件时打印机“不请自来”的原因了。博方软件(http://www.bofhort.com)提醒大家要是我们希望双击某个TXT文档图标时,该目标文件能够被正常打开,而不是调用打印机对其自动打印时,我们只要选中“操作”列表框中的“open”项目,再单击旁边的“设为默认值”按钮,那样的话TXT格式的文档缺省操作就变成了“打开”操作,日后打印机就不会在双击TXT文件图标后“不请自来”了。



三、“DNS隧道”盗号木马分析 之:数码存储卡市场“李鬼”横行
此前,索尼记忆棒是被仿冒最多的产品.Sandisk、金士顿等品牌也假货不少,但这些产品基本只是容量缩减一些、存储速度慢一些,至少还能使用.

  广州太平洋数码广场一经营数码配件店主就明确告诉记者,“对于这些组装(假货)的货,我们有时候都分辨不清.”

  资深玩家也未必能分辨真假  记者在广州各大电脑卖场发现,SD卡、索尼记忆棒的真货和假货“鱼龙混杂”,假货的仿真度高,即使是资深电脑玩家也未必能分辨.

  与两三年前昂贵的价格相比,目前各种存储卡价格相当低廉.然而,由于制造成本的下降也令假货以“组装卡”、“工包卡”等更堂皇的面目出现在市场上.

  据悉,这些假卡往往使用质量不过关的闪存芯片和控制芯片,令消费者蒙受损失.

  市场出现无“芯”闪存卡

  前不久,中国内地市场发现了大批没有安装存储芯片的NAND闪存产品,这被认为是新兴市场中首次出现的大规模NAND闪存假货事件.

  据了解,这批假冒产品都是成品,假冒“三星”品牌,其中包括存储卡、优盘等,但是这些假货都没有安装关键的存储芯片,因价格相当低廉所以大规模进入中国内地市场.据悉,因为闪存成品都采用了密封包装,所以经销商、普通消费者都不容易识别出假货.据三星方面相关人士表示,在这件事情上,他们也很无奈,也是其中的受害者.

  此前,市面上在售的假冒卡,大都是来自深圳、杭州等地工厂的仿冒、翻新、打磨,由于各种制造元件的质量得不到保障,消费者在后期使用中很容易出现容量减小、资料丢失等情况.但这一次的假冒存储卡,可能因为没有安装存储芯片,而导致根本无法记录更多的数据资料.

  1.购买前做好资料搜集.购买前,先从网上搜集产品的经销商、真货特征、验证方法等信息,做足购买准备.

  2.选择正规经销商.选择经过厂商验证的经销商,遇到某店家报价比同行低许多时要警惕.

  3.购买后立即验证.购买后当场根据产品包装的正品验证方法鉴别真伪,包括800电话、短信、网站等,如是假货立即退换.

  相关链接

  内存条 价格继续下探

  国庆节期间,内存条的价格也是延续此前的轨迹,一路走低.最主流的DDR II800 1G/2G内存价格屡次下探,近期已经跌破100元~200元的用户心理线.尽管台系内存颗粒厂商放出消息,称由于持续亏损,各颗粒厂开始减产,欲拉动内存价格.但由于库存较多,市场反应并不明显,价格依然持续走低.

  此前,内存条也是假冒伪劣产品最多的市场之一,打磨条、水货条、山寨货甚至二手翻新条屡屡出现,主要以金士顿、现代等品牌为多.但随着价格的走低,特别是各厂家纷纷在内存条上启用防伪咨询电话,导致假冒伪劣产品明显减少.

标签:隧道   木马   盗号   分析   DNS