0x1 前言

在過(guò)完年開(kāi)工之際，黑產(chǎn)從業(yè)者也回到了他們的工作崗位上，在短短的一周內(nèi)，相繼爆發(fā)了“縱情”敲詐者以及偽裝QQ飛車外掛的“MBR”敲詐者兩款國(guó)產(chǎn)敲詐者木馬。國(guó)產(chǎn)敲詐者在敲詐金額，技術(shù)手段以及加密方式上都遠(yuǎn)遠(yuǎn)落后于國(guó)外的敲詐者木馬，但國(guó)產(chǎn)敲詐者的最大優(yōu)點(diǎn)就是能把握住賣點(diǎn)，比如以游戲外掛作為噱頭。除此之外，國(guó)產(chǎn)敲詐者還喜歡誘導(dǎo)用戶關(guān)閉殺軟以達(dá)到所謂的“最佳體驗(yàn)”?？梢哉f(shuō)，國(guó)產(chǎn)敲詐者勝在了“套路”。

本文分析的國(guó)產(chǎn)敲詐者即為偽造QQ飛車外掛的“MBR”敲詐者。據(jù)受害者稱，想使用該QQ飛車外掛軟件就必須輸入注冊(cè)碼，在向某群管理員索取注冊(cè)碼并輸入注冊(cè)后，計(jì)算機(jī)立即并被鎖住，要求添加一QQ號(hào)（3489709452）獲取解鎖密碼。受害計(jì)算機(jī)如下圖所示。

圖1 受害計(jì)算機(jī)界面

可見(jiàn)，計(jì)算機(jī)并未正常啟動(dòng)，受害者遭遇的就是常見(jiàn)的“MBR”鎖。

0x2 樣本分析

回到最初的QQ飛車外掛，外掛界面很常見(jiàn)，需要輸入注冊(cè)碼才能正常使用。

圖2 外掛界面

細(xì)觀該外掛界面，發(fā)現(xiàn)其和某盾加密處理后的程序界面相似，遍歷字符串也能發(fā)現(xiàn)一些與某盾加密相關(guān)的字符串。因此可以斷定該外掛軟件使用某盾加密保護(hù)，使用者只有輸入正確的注冊(cè)碼才能獲得相應(yīng)的功能。由于某盾加密強(qiáng)度高，在不持有密碼的情況下很難對(duì)受保護(hù)的軟件進(jìn)行破解，這也導(dǎo)致外掛使用者需要找管理員要開(kāi)啟密碼的情況。急切渴望使用外掛的受害者們?cè)诘玫介_(kāi)啟密碼一定是欣喜若狂的，他們一定不知道開(kāi)啟后才是噩夢(mèng)的開(kāi)始。

前面提到了某盾加密“在不持有密碼的情況下很難對(duì)受保護(hù)的軟件進(jìn)行破解”，之所以提及“不持有密碼的情況下”，是因?yàn)榧词乖趽碛忻艽a的情況下，某盾加密對(duì)程序的保護(hù)也比較特殊。在本例中，進(jìn)程會(huì)在同目錄下創(chuàng)建一個(gè)名為“飛車通殺輔助VIP2.exe”的程序，并調(diào)用ShellExecute函數(shù)運(yùn)行該程序。

圖3 運(yùn)行“飛車通殺輔助VIP2.exe”

但實(shí)際上，在磁盤(pán)中，也就是該路徑下并不存在這個(gè)文件。這也是某盾加密為了防止加密視頻播放時(shí)被提取而采取的策略。某盾加密會(huì)調(diào)用自身SDK中名為“CreateVirtualFileA”的函數(shù)在內(nèi)存中創(chuàng)建文件，而不是直接讓文件“落地”，這其實(shí)也稍微加大了分析的難度，分析者必須對(duì)程序進(jìn)行patch以使創(chuàng)建的文件“落地”。

patch的位置即“CreateVirtualFileA”函數(shù)。根據(jù)某盾加密邏輯，程序會(huì)首先調(diào)用“CreateVirtualFileA”函數(shù)創(chuàng)建虛擬文件，然后使用WriteFile函數(shù)將解密后的數(shù)據(jù)寫(xiě)入文件。使用CreateFile函數(shù)patch掉“CreateVirtualFileA”可使文件落地。如圖所示。

圖4 patch前

圖5 patch后

對(duì)程序進(jìn)行patch后，執(zhí)行MBR修改功能的敲詐者主體就“落地”了。

圖6 “落地”的惡意程序

該程序也是一款定制的程序，可以看出作者只是將一些定制的模塊拼接起來(lái)構(gòu)成一個(gè)敲詐者木馬。從字符串中可以看出，定制者可以自定義MBR加密的密碼以及顯示在屏幕上的文字。

圖7 表示可以自定義定制的字符串

之后就是常規(guī)的鎖MBR流程，打開(kāi)磁盤(pán)0并讀取前512字節(jié)，也就是主引導(dǎo)記錄。

圖8 打開(kāi)磁盤(pán)0

圖9 讀取主引導(dǎo)記錄

之后程序會(huì)將原本的主引導(dǎo)代碼保存到磁盤(pán)0偏移0x400起始的位置，該位置是磁盤(pán)0的第三扇區(qū)。此舉用于備份初始的MBR代碼，當(dāng)受害者輸入正確的密碼之后，就會(huì)將備份的MBR代碼恢復(fù)到第一扇區(qū)中，以保證系統(tǒng)能夠正常啟動(dòng)。

圖10 設(shè)置偏移

圖11 備份最初的MBR代碼

之后程序就會(huì)修改主引導(dǎo)記錄，修改后的主引導(dǎo)記錄如下圖所示。

圖12 被篡改的MBR代碼

反匯編MBR代碼可以看到密碼比較的流程以及之后的處理流程。首先通過(guò)int 16h中斷獲取用戶輸入，并將存儲(chǔ)輸入結(jié)果。

圖13 獲取并存儲(chǔ)輸入

圖14 比較輸入與密碼

通過(guò)查看存放密碼的地址可以發(fā)現(xiàn)密碼為“ O0 ” （即空格，大寫(xiě)字母O，數(shù)字0，空格）。在比對(duì)成功之后，將通過(guò)int 13h中斷讀取存儲(chǔ)在第3扇區(qū)的最初的MBR代碼并將其寫(xiě)入到第1扇區(qū)，以恢復(fù)系統(tǒng)的正常使用。

圖15 恢復(fù)MBR

0x3 總結(jié)

通過(guò)該樣本可以看出，國(guó)產(chǎn)敲詐者在技術(shù)上并不高深，而且習(xí)慣于拼接各種軟件或模塊，以達(dá)到其惡意目的。這些模塊雖然互相獨(dú)立且功能有限，但經(jīng)過(guò)組合之后成為一個(gè)功能強(qiáng)大且自保能力強(qiáng)的惡意軟件。而這些國(guó)產(chǎn)敲詐者也牢牢抓住一些特定用戶的注意力，披著外掛的外衣干這壞事，讓人措手不及。對(duì)于陌生的軟件，用戶應(yīng)該慎點(diǎn)，在中毒后也不要輕易添加qq交付贖金，應(yīng)向殺軟方面進(jìn)行及時(shí)反饋以恢復(fù)系統(tǒng)的使用。360安全衛(wèi)士獨(dú)家推出了“反勒索服務(wù)”，用戶在安裝360安全衛(wèi)士并開(kāi)啟該服務(wù)的情況下，如果防不住各類敲詐者病毒，360負(fù)責(zé)替用戶賠付贖金。