Joao恶意样本技术分析与防护方案

来源：互联网发布：网络女主播视频种子编辑：程序博客网时间：2024/05/16 01:08
昨日，ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者，包括操作系统，用户名以及该用户的权限信息，与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。相关链接：http://www.hackread.com/dangerous-new-malware-joao-hits-gamers-worldwide/Aeria Games
Aeria Games，以前称为Aeria Games and Entertainment，是一家在线游戏发行商。 公司总部位于德国柏林。Aeria Games是ProSiebenSat.1 Media的子公司，为大型多人在线游戏运营了一个互联网游戏门户。 它专注于多种格式的网络游戏，客户端游戏，浏览器游戏和手机游戏。 它出版北美，南美和欧洲的游戏。传播与感染
“Joao”恶意软件通过在非官方网站上提供的黑客Aeria游戏，用户在上面下载从而实现传播。样本分析
分析环境
系统Windows 7, 32bit使用工具ProcessMonitor, Xuetr, Wireshark, OllyDBG, IDA,TAC检测结果：主要功能
[1] 信息窃取：窃取计算机名，操作系统版本和用户权限信息。[2] 网络行为：连接104.18.48.240发送get请求，其中value字段是加密后的用户信息http://www.apexserver.ws/index.php?route=anticheat&op=validatekey&cid=7&ver=4&value=c9LKpz30qO2-L4mZUktTzhQiySiSOfhzxdwusZP4GCXiQGWr96-7R22jHFA_lny5FtUMlbSI6tiiGCtl5_UuVe0SG-ft8VmlXMa该恶意样本首先收集本机信息，包括：设备名，用户名，操作系统版本和用户权限等级。然后对以上信息进行加密编码，从自身数据中解密出url，将加密编码后的本机信息添加在url的value字段中。连接远程服务器并发送get请求。该url已无法访问，返回Error 522页面。由于无法从服务器下载到数据，样本没有进一步的恶意行为。关联样本分析
通过搜索对该样本的关联样本进行搜索，我们找到了一个joao的组件进行了简单分析。该组件也是一个下载器，主要功能是下载一个pe文件并注入自身后执行。该组件会循环尝试连接ip为 95.170.86.186、146.185.136.11、185.35.77.17的53、18000、80、443、8000、25、21、3389、445端口。直至连接成功连接成功先商定要上传文件的大小，然后开始接收数据，对接收到的数据进行结构判断其为pe文件后，在自身进程申请空间进行注入，最后调用CreateRemoteThread进行执行。网络特征
1.向104.18.48.240发送get请求。其中host字段的值为域名www.apexcontrol.ws。2.关联样本网络特征，尝试从以下ip下载恶意代码：95.170.86.186、146.185.136.11、185.35.77.17。攻击定位
检测方法
用户自我防护
 用户应该从官方的网站进行下载操作，避免通过第三方网站，以防下载到挂马软件；
 用户可以监测GET请求中包含apexcontrol.ws域名的host字段；
 安装杀毒软件，防止恶意软件的感染和破坏。
绿盟科技木马专杀解决方案
 短期服务：绿盟科技工程师现场木马后门清理服务（人工服务+IPS +TAC）。确保第一时间消除网络内相关风险点，控制事件影响范围，提供事件分析报告。
 中期服务：提供3-6个月的风险监控与巡检服务（IPS+TAC+人工服务）。长期对此恶意样本进行检测，保护客户系统安全。
 长期服务：基于行业业务风险解决方案（威胁情报+攻击溯源+专业安全服务）
总结
样本通过在非官方网站上提供的黑客Aeria游戏，用户在上面下载从而实现传播。用户需要确认安装的游戏程序是否包含了额外的dll文件，尤其是名为 “mskdbe.dll”的文件，并对其及时清理。附录
以下危害指标（IOC）与Joao有关：Joao下载器：mskdbe.dll - Win32 / Joao.A哈希：49505723d250cde39087fd85273f7d6a96b3c50dd9fb94ac24295a2d439daa1f0bf4479420b32e344ede2c99cc174fc8b36a0e8fe6724b03cc7cb663e44dbadcd7d8b768836c16a40fae7d712bfb60e2b37f7a01c5a7e366bd2f4f0e7112bbb94e5ff589fdbb398839c7b6692c1d72ac3fcd8ae837c52b475ab0b5403569b17d8006ef6819acc010ab36b2dbc3abd23d775c85f08662a00d945110bb46897c7c00a0677e7f26c325265e9ec8d3e4c5038c3d461dc1b4c2696294df414cfc234ab50b2e209c724390844f20d543d213352d533eb8042bd5d2aff4b7d42ce51e5e75d8ecc560e9c024cd74b7ec8233ff7812a772e2092e974da5a1b6e008c570563e9acfe9287c610e40aff6c6f37f1ad4d4e477cb728f7b1d5303a6f8318c2c79c2188377edddbe163cd025726f17c3ab48f857669d99065904e85b198f2b83f551dfe50e675eea427192dcc7a900b00d10bb257aec976800cd25109771f09bbba24fca428b51563e13e05e44d1311c5c15c32a4d21aa8eadf2106e960914913286c80428b2c6dec7aff4e0a9b51acf501e9c0a2a75db5b74a96dbfd61bcdda47335aaf8b392b54c5a318b64f4fd3e9313b1a17eac36320e1ba40012bdee8fc8f4ec06921e99bc4d566bba3366d130e6301f4971069513266a1510a4729062f6dbeea9351853984e7426107c37bc0c7f40c5360e0a34d6a462b7f176827257991ef9807b31679e781ac86700c85a857c6d8c72cb0d34ebd9552351366af079da9243eb7113f30146c258992b2b5ceb6511e6125b9c4337b501c699f481debdfefea070583a158f01199c6fd931f064b948c923118466c7384350fc8286efdf8bcf4c92dc077088dd928439de92da8a51359bf3be8d17c19405c930848fe41bb04组件：JoaoShepherd.dll - Win32 / Joao.BjoaoDLL.dll - Win32 / Joao.CjoaoInstaller.exe - Win32 / Joao.DJoaoShepherd.dll（x64） - Win64 / Joao.BjoaoInstaller.exe（x64） - Win64 / Joao.D哈希：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 声 明
本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。关于绿盟科技
北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

查看原文：http://blog.nsfocus.net/joao-malware-analysis/