銀狐木馬終于還是對微信下手了

2025-12-01 20:02:27
我要分享


微信掃碼分享

近期，360反病毒安全團隊捕獲到一類活躍度極高的惡意樣本。攻擊者將目標(biāo)鎖定在國民級應(yīng)用——“微信”身上，其利用經(jīng)典的“DLL劫持”技術(shù)，實施所謂的“白加黑”攻擊。與以往常見的針對version.dll或userenv.dll兩個文件的劫持不同，此次攻擊者選擇劫持的是更為隱蔽的系統(tǒng)庫文件——cryptbase.dll，以及 d3dcompiler_74.dll。攻擊者通過釣魚郵件、捆綁軟件等方式，將這些精心構(gòu)造的惡意DLL文件釋放到用戶的微信安裝目錄下。

技術(shù)分析

運行流程概述

由于Windows系統(tǒng)的DLL加載機制是按照特定的路徑順序進行搜索，所以當(dāng)用戶啟動微信程序時，這些惡意文件會先于正常系統(tǒng)文件被加載，導(dǎo)致微信進程在毫不知情的情況下成為木馬的“宿主”。這不僅使得惡意代碼能夠繞過大量基于白名單的安全防護，更讓黑客獲得了穩(wěn)定的系統(tǒng)啟動機會，從而對受害主機實施長期的遠程控制、數(shù)據(jù)竊取。

本文將針對該攻擊樣本的劫持原理、執(zhí)行流程進行深入分析。

圖1. 木馬攻擊流程示意圖

劫持機制說明

本次分析的示例樣本路徑如下：

C:\Program Files\Tencent\Weixin\4.1.4.19\cryptbase.dll

以上路徑所指向的cryptbase.dll文件是Windows操作系統(tǒng)的一個核心系統(tǒng)庫文件，原本屬于Base Cryptographic API的一部分。包括微信在內(nèi)的許多應(yīng)用程序，都會在運行時調(diào)用這個庫文件進行加密、解密或證書驗證等操作。系統(tǒng)中正常的cryptbase.dll文件，通常存在于以下兩個目錄中：

C:\Windows\System32\

C:\Windows\SysWOW64\

當(dāng)微信主程序WeChat.exe啟動崩潰檢查組件crashpad_handler.exe時，會嘗試加載一些DLL文件，其中就包含上述這個cryptbase.dll文件。但在這個加載過程中，并沒有明確指定該待加載的DLL文件的絕對路徑，而是完全依賴于Windows系統(tǒng)的默認(rèn)搜索順序，對這些待加載文件進行查找。

圖2. 微信組件按系統(tǒng)默認(rèn)順序加載被劫持的DLL文件?

根據(jù)Windows的DLL加載機制，默認(rèn)的搜索順序通常如下：

1.?應(yīng)用程序所在的目錄（如本案例中的D:\Program Files\Tencent\WeChat）；

2.?系統(tǒng)目錄（通常為C:\Windows\System32）；

3.?16位系統(tǒng)目錄（通常為C:\Windows\System）；

4.?Windows目錄（通常為C:\Windows）；

5.?當(dāng)前工作目錄；

6.?環(huán)境變量PATH中列出的其他目錄。

顯然，在未指定DLL文件絕對路徑的前提下，木馬所存在的路徑是最優(yōu)先被加載的位置，會先于系統(tǒng)的正常文件被加載。

圖3. DLL劫持攻擊原理示意圖

代碼分析

用于劫持的木馬DLL文件，會在啟動后先從其內(nèi)置數(shù)據(jù)中解密出一個URL：

hxxp://augvertu[.]com/xxxca.txt

其相關(guān)解密代碼如下：

圖4. 解密處的URL鏈接

解密后，木馬會繼續(xù)訪問這個拿到的URL，并解析服務(wù)器返回的數(shù)據(jù)，將其中#ST#到#ed#之間的數(shù)據(jù)段先用Base64解碼后，再進行Shellcode解密。

圖5. 解密從服務(wù)器獲取到的數(shù)據(jù)

解密出來的Shellcode內(nèi)容，其代碼和數(shù)據(jù)部分會被黑客預(yù)先用codemark 進行分隔。其中，數(shù)據(jù)區(qū)塊前部主要為執(zhí)行參數(shù)、執(zhí)行條件，以及一些標(biāo)志位，而后部則是逆序處理過的域名，形如：

圖6. 解密出數(shù)據(jù)的內(nèi)容?

完成后，木馬會再度根據(jù)解密出的配置信息進行遠程的C2連接：

圖7. 與遠端C2服務(wù)器進行連接

連接成功后，會再度從該C2服務(wù)器中拉取所需的加密數(shù)據(jù)：

圖8. 從C2服務(wù)器上拉取加密數(shù)據(jù)

對于請求到的內(nèi)容，通過如下算法進行解密：

圖9. C2服務(wù)器數(shù)據(jù)解密代碼

解密后的代碼可以執(zhí)行包括遠程控制在內(nèi)的各種操作，其中也包括上線模塊.dll以及登錄模塊.dll等。

圖10. 解密出的遠程控制代碼

接下來，木馬會將合法的tracerpt.exe程序作為宿主，以進程注入的方式在其內(nèi)存空間中開辟一段代碼執(zhí)行空間，并寫入惡意Shellcode代碼，完成寫入操作后，再喚醒宿主進程的主線程，這樣宿主進程便會直接跳轉(zhuǎn)去執(zhí)行注入內(nèi)存當(dāng)中的Shellcode惡意代碼。

圖11. 木馬對tracerpt.exe進行注入?

木馬會將解密后的惡意代碼寫入注冊表當(dāng)中，此后木馬會直接讀取注冊表中存儲的惡意代碼，并加載到內(nèi)存當(dāng)中執(zhí)行，屬于典型的無文件攻擊方式。猜測這一步驟是為了防止對C2服務(wù)器的網(wǎng)絡(luò)訪問被阻斷，使用本地注冊表來保障對Payload的隨時調(diào)取。

圖12. 將惡意代碼數(shù)據(jù)寫入注冊表當(dāng)中備份?

注冊表中所保存的Shellcode代碼是一個經(jīng)典的x64反射式DLL加載器，其主要功能是在內(nèi)存中加載一個黑客指定的可執(zhí)行程序。

圖13. 注冊表中保存的Shellcode數(shù)據(jù)?

而在解密獲取到的第二段Shellcode中，包含了多個功能模塊。其主要功能為：檢測敏感軟件窗口信息、獲取剪貼版信息、鍵盤記錄等。

完成后，木馬會再度使用遠程線程注入技術(shù)，將一段新的Shellcode及相關(guān)數(shù)據(jù)注入系統(tǒng)進程svchost.exe中并執(zhí)行。

圖14. 木馬對svchost.exe進程進行遠程線程注入?

這段注入的Shellcode代碼會進行截屏、清除系統(tǒng)事件日志、導(dǎo)出函數(shù)、加載傀儡進程，以及檢測安全軟件等操作。

圖15. 被檢測的安全軟件列表

安全提醒與防護建議

360安全終端可直接對該木馬進行有效查殺。

圖16. 360安全終端查殺木馬

針對此類利用微信目錄進行DLL劫持的攻擊，建議采取以下措施進行排查：

自我排查

檢查您的微信安裝目錄。如果在安裝時未進行指定，則安裝路徑通常位于：

C:\Program Files (x86)\Tencent\WeChat\[版本號]\

在安裝目錄下查看是否存在以下文件：

cryptbase.dll

d3dcompiler_74.dll

上述文件均為Windows系統(tǒng)組件，正常情況下不會出現(xiàn)在微信的安裝目錄下，而應(yīng)位于C:\Windows\System32目錄中。如果在微信目錄下發(fā)現(xiàn)這些文件，您的電腦有極大概率已被植入木馬。

處置方案

一旦發(fā)現(xiàn)微信可能被感染，可按照如下方案進行處置：

l終止進程：立即在任務(wù)管理器中結(jié)束所有 WeChat.exe 進程。

l刪除文件：手動刪除微信目錄下的上述可疑 DLL 文件。

l全盤殺毒：使用有效的殺毒軟件進行全盤掃描，查殺可能殘留的釋放器（Dropper）或其他惡意組件。目前，360安全衛(wèi)士無需升級即可查殺和攔截該類木馬。

l修改密碼：考慮到木馬可能具有鍵盤記錄或竊密功能，建議在清除病毒后修改微信及相關(guān)敏感賬號的密碼。

日常防范建議

此外，建議所有用戶增強安全意識，對此類攻擊進行日常防范。

l下載渠道：務(wù)必通過官網(wǎng)下載軟件安裝包，避免使用第三方下載站或不明來源的“綠色版”“破解版”軟件。

l開啟文件擴展名顯示：防止攻擊者利用“雙重后綴名”（如 readme.txt.exe）或偽裝圖標(biāo)進行欺詐。

l安裝可靠的安全軟件：對于安全軟件攔截或阻止的程序，不要輕易添加信任運行。

熱點排行

銀狐木馬終于還是對微信下手了

熱點排行

關(guān)注我們