前言
在数字化时代的浪潮中,技术的双刃剑特性愈发凸显。那些看似遥不可及的高科技犯罪,实际上正逐渐渗透到我们的日常生活中。在众多安全威胁中,木马病毒尤其引人关注,因为它们能在无声无息中窃取敏感信息、控制系统操作,甚至威胁国家安全。
2022年,某地的网络安全警察在处理一宗涉嫌非法控制计算机信息系统的案件中,截获了一个隐蔽的木马程序。本文将详细介绍这一案例,揭示鉴定专家如何运用先进的技术手段,揭秘这些隐蔽而又破坏性极强的网络威胁。
01
木马简介
木马,作为恶意软件的一种,它狡猾地隐藏在普通程序中,一旦运行,便可对计算机系统造成严重破坏。它们通过各种手段传播,常见的有电子邮件、下载链接等,而用户往往在毫无察觉的情况下中招。本案中,警方在现场勘查时就发现了这样一个看似普通却潜藏危险的exe程序文件。
02
实例分析
要揭开木马的真面目,仅凭表面现象是远远不够的。这需要深入其内部,通过专业的技术手段进行静态和动态分析。由于篇幅原因,本实例只做部分分析,重在思路和方法。
静态分析
静态分析就是对木马程序的代码进行分析。静态分析主要分为以下两类:
(1)反汇编分析,将二进制文件转换为汇编代码,能够查看程序的执行过程与指令序列。
(2)反编译分析,将二进制文件转换为高级语言的伪代码,用于分析程序逻辑与代码功能。
实操
使用Exeinfo PE发现该程序的加固类型为“nsPack”。部分结果如下图所示:
使用工具“Nspack Stripper”对文件“备份.exe”进行脱壳,运行完成后得到文件“备份un.exe”。部分内容如下图所示:
使用IDA加载上述文件“备份un.exe”,查看Imports(在程序中引入其他模块或库)函数的内容,可以看到都是引入了ShellExecuteA(运行一个外部程序,或者打开一个已注册的文件、打开一个目录、打印文件等等功能)、RegOpenKeyExA(打开指定的注册表项)、RegCloseKey(关闭指定注册表项的句柄)、CreateThread(建立新的线程)等函数。Imports函数部分内容如下图所示:
接下来就是对每个函数进行搜索,找到该函数在代码中调用的位置并分析其具体执行的操作,这里我以ShellExecuteA函数为例。
搜索字符串“ShellExecuteA”,跳转到ShellExecuteA函数被调用的位置,发现该程序在运行的过程中会通过调用Windows API“ShellExecuteA”对程序“C:windowsmscb.exe”和“C:windowsnasm.exe”进行执行。搜索结果如下图所示:
部分代码如下图所示:
动态分析
动态分析是指在木马执行的情况下利用程序调试工具对木马实施跟踪和观察,来确定木马的工作过程和目的。
实操
在Windows 10虚拟机中对程序“备份.exe”进行功能复现,并使用Process Monitor在运行过程中对注册表、文件系统以及进程变化进行监控,用于追踪程序“备份.exe”被执行后在本地计算机进行的操作。部分监控过程如下图所示:
逐个分析Process Monitor监听的五大模块,这里仅列举其中该程序执行的部分操作。主进程“备份.exe”的进程PID为4812。如下图所示:
对远程桌面的注册表进行了编辑。如下图所示:
在win10系统目录下创建了一个“apphelp.d11”文件。如下图所示:
在目录“C:Windows”目录下创建了“wault.exe”文件并进行了写入操作。如下图所示:
通过动静态分析结合的分析方式可知,程序“备份.exe”在被执行后能够自释放文件,并能够主动执行释放出的文件,结合该程序对注册表、Windows服务进行的修改操作,将自身稳固的扎根于宿主计算机内,在宿主机用户不知情的情况下,实施对宿主机的恶意行为。
结语
在对诸如木马这类恶意软件的鉴别过程中,鉴定专家通常采用静态分析与动态分析的综合方法。
静态分析涉及使用各种逆向工程工具,要求分析师不仅要精通这些工具,还需要对系统调用有深入的了解。这包括熟悉操作注册表、网络通信和文件操作等方面的知识。
动态分析则侧重于使用系统监控工具,实时观察恶意程序在运行过程中对系统造成的影响,包括文件系统、网络通信、进程行为,以及系统配置的变化等多个方面。
这两种方法的结合不仅可以深入揭示恶意软件的内部机制和行为模式,还为提升恶意软件检测系统和防御策略的准确性和效率奠定了基础。通过这种全面的技术分析,我们能够更有效地识别潜在的安全威胁,并采取适当的预防措施,为网络空间构筑更加坚固的安全屏障。
-
抽丝剥茧,寻幽入微:一次侵权小说APP的技术分析 -
揭开神秘面纱:Python编译打包exe文件的解包反编译实战 -
手机外挂案例解析:破解Lua脚本防护机制 -
鉴证实录-Docker让涉网案件数据库还原如此轻松 -
定量定性打击涉黄案件:司法鉴定助力数字司法实践! -
揭示P2P网络借贷平台风险:一起逾期兑付案件的鉴定与警示
奇安信集团旗下有北京和上海两家司法鉴定所:北京网神洞鉴科技有限公司司法鉴定所与盘石软件(上海)有限公司计算机司法鉴定所,其中,上海所是上海第一家通过 CNAS 认证认可的民营计算机类司法鉴定机构。北京所与上海所均通过了CMA资质认定,是目前国内少数能够通过自主研发软件进行取证与分析的电子数据司法鉴定机构,具有独立的实验室场所,其中包括:案件受理区、数据恢复区、手机取证区、计算机取证区、屏蔽室、无尘工作间和物证室,并配备多种国内外先进的技术设备检验及辅助设备。经过多年的时间积累和发展,现拥有一批胜任鉴定工作的专业技术人员,以专业的技能和丰富的经验,来开展电子数据司法鉴定工作。开展的鉴定服务范围包括:电子数据司法鉴定、计算机证据固定和获取、手机终端取证与分析、数据恢复、密码破解以及涉及电子设备的民事调查等。
鉴定热线&地址:
010-56509288(北京)
北京市西城区西直门外南路26号院1号-奇安信安全中心B1
021-52658848(上海)
上海市闵行区合川路2555号科技绿洲三期五-3号楼4层
原文始发于微信公众号(奇安信司法鉴定):警惕无形的威胁:专业解读木马病毒的侵入手段