admin管理员组

文章数量:1551698

腾讯御安全深度解析暗云

【关键词:腾讯御安全,APK漏洞扫描,APP保护,Android防破解】

 

前面对暗云的分析报告中,腾讯电脑管家安全团队和腾讯御安全基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯御安全也收集到多个不同功能的ndn.db文件,以下腾讯御安全将对暗云Ⅲ危害展开具体分析。

0x01 暗云payload行为分析
在解析db文件前,先过一次暗云payload行为:

木马每5分钟会联网下载一次配置文件 http://www.acsewle:8877/ds/kn.html

该html是个配置文件,木马会检查其中的版本号,并保存,其后每次都会比较,以确定是否更新。

如果有更新,则下载新版本,并根据配置下载文件执行或者创建svchost.exe傀儡进程执行。

木马干活模块lcdn.db其实为lua脚本解析器,主要功能下载任务db,进而解析执行:

0x02 任务脚本文件结构

 

通过分析,得知ndn.db的文件结构,大致如下:

struct f_db{
DWORD fileLen; // lua脚本bytecode文件大小
    DWORD runType;// 运行类型
    charfileName[24]; // lua脚本文件名
    charfileData[fileLen]; // lua脚本bytecode内容
}

如下图中,红色框为文件大小,灰色框为运行类型,蓝色框为文件名,紫色框为真实的bytecode内容。

根据文件结构,进而可从ndn.db中提取到多个lua脚本的bytecode。

0x03 任务脚本功能分类

分析得知,其使用的lua版本为5.3,是自行更改过虚拟机进行编译。使用普通反编译工具反编译后,只能得到部分可读明文,经过分析统计可知道暗云Ⅲ现有发布的功能大致有以下几类: 

1、统计类

解密得到的111tj.lua脚本,实则为参与攻击机器统计脚本。

该脚本主要作用为:每隔五分钟,带Referer:http://www.acsewle:8877/um.php访问cnzz和51.la两个站点统计页面,以便统计参与攻击的机器数及次数。 
统计页面地址为:

http://czz/wapstat.php?siteid=1261687981&r=&rnd=1626837281
http://web.users.51.la/go.asp?svid=15&id=19133499&tpages=1&ttimes=1&tzone=7&tcolor=24&sSize=1802,850&referrer=&vpage=http%3A//www.acsewle%3A8877/tj.html&vvtime=1489555372270

访问流量:

2、DDoS

  这类脚本,简单粗暴,直接do、while循环,不停地对目标服务发起访问。如下为dfh01.lua中代码,其目标是针对大富豪棋牌游戏。

L1_1.get = L4_4
L4_4 = {
"182.86.84.236",
"119.

本文标签: 腾讯深度

版权声明:本文标题:腾讯御安全深度解析暗云Ⅲ 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1727266332a1105563.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。