Smoke Loader:主体、控制台、插件,以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。

我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。

分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。

Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。

Smoke Loader 套件分析

套件中的文件结构见后图,说明如下:

  • 本体,Loader_new_Cyberbunker.exe
  • Web控制台,Panel ,使用未加密的PHP语言编写
  • 插件,包括 Panel/mods 和 Panel/keylogger,等
  • mysql数据库建库脚本 smoke_1.sql,插件规则会存储在这个数据库里
  • Smoke Loader的功能介绍,smoke_features.txt
  • 安装说明

图 1. Smoke Loader 目录结构

控制台

套件中的 Panel 目录,就是其控制台。将其部署后,得到一个Web控制界面,这是一个标准的Smoke Loader的控件台,样式布局和网上流传的控制台基本一致。

通过对照恶意软件自带功能说明,可以了解该控制台包括以下12大类功能:

  • 盗号
  • 浏览器表单数据收集
  • 密码嗅探,包括Ftp和邮件
  • 伪DNS,即域名劫持
  • 文件搜索,实现全盘文件监控
  • 进程监控
  • DDOS攻击
  • 键盘记录
  • 邮件盗窃
  • 隐藏窗口版TeamViewer
  • 门罗币挖矿
  • 用户自定义程序

其存储位置和执行方式也略有不同:

  • 前9个功能,从“盗号”到“邮件盗窃”:对应 Panel/mods/plugins中,这是一个自定义格式加密的插件集合。通过逆向可以看到,其中有效的可执行体共计16个。运行时需通过创建进程explorer.exe和内存注入进行加载。
  • 隐藏窗口版TeamViewer:对应 Panel/mods/tv。运行时由相应的控件插件下载并创建子进程执行。
  • 门罗币挖矿:对应 Panel/mods/minerXX。运行时由相应的控件插件下载并创建子进程执行。
  • 用户自定义程序:Smoke Loader的用户还可以指定任意恶意程序进行加载,既可以从控制台直接下发,也可以从指定的URL下载执行。加载的方式也很灵活,可以直接执行也可以作为dll加载,甚至可以直接进程内展开执行。
图 2. Smoke Loader 的Panel控制台,Web界面 
图 3. Smoke Loader 自带功能介绍文件 
图 4. Smoke Loader 用户自定义功能界面 

插件

Smoke Loader的插件系统很灵活,除了首次启动会尝试下载所有自带插件及插件执行规则,还支持通过自带插件和插件规则。

通过解密plugin共拆解出16个插件,其中若干插件功能相同但适配不同版本操作系统。在我们的测试机上运行时,可以看到Smoke Loader的有效载荷成功创建了9个子进程,每个进程内运行了一个插件。注意,这些进程名虽然是 explorer.exe看似无害,但实际上已经被注入了插件载荷,是恶意进程。具体的注入方式细节,见参考[1]。

图 11. 控制台将数据库中的插件规则下发给 bot
图 12. 测试机中已经运行起来的插件们

更多插件的细节包括:

  • 挖矿插件:它会在收到挖矿指令时下载对应的矿机程序(进程wuauclt.exe)配合启动参数执行挖矿任务。
  • DDoS插件:支持多种常见的DDoS攻击类型,如http get flood, http post flood, download flood, udp flood, syn flood, tcp flood, https get flood, http slowloris flood
  • 表单信息盗取插件:支持常见的浏览器,包括 IE, Firefox, Chrom, Opera, Chromium, Yandex browser, Amigo browser, QQ browser, outlook, Thunderbird
图 13. 挖矿插件运行示例 
图 14. DDoS攻击插件支持的攻击类型
图 15. 表单窃取插件支持的浏览器列表

“对抗”还是“盗版”?

有人报告近期流行的Smoke Loader出现了版本[2],以对抗C2抽取系统,我们也观察到一组类似样本。

这组样本的目的,实际上不仅可能是“对抗”,我们分析后认为其目的是“盗版”。我们认为这个版本的改动来自第三方而非原作者,目的不是为了对抗安全研究人员分析,而是为了突破原始作者在售出的Loader中写死C2的限制。

这组样本共88个,有个共同点是其中残存了两个并不生效的C2:

  • hxxp://185.35.137.147/mlp/
  • hxxp://185.35.137.147/mlp/

从残存C2出发,我们在手头的其它样本中关联到了有着相同C2、并且生效的样本。我们将后者称为原始样本,前者称为修改版本。通过对比,我们注意到以下特点,并据此认定这组版本是经过二进制Patch的“盗版”:

  • 相同的残存C2:所有修改版本中的残存C2是一样的,暗示这组样本同源;
  • C2存储方式:原始样本中是加密存储的,修改样本是明文存储的;
  • 主备C2机制:原始样本中是支持的,修改样本是不支持的;
  • C2验证机制:原始样本有验证机制,会通过验证两个C2的CRC32值来决定是否安装启动项以及是否加载插件,修改版本直接用汇编空指令NOP覆盖了验证代码,跳过了验证机制;

Smoke Loader 在黑市有销售,一套完整的Smoke Loader公开售价约850美元。开发者采用许可证的销售模式,给每个买家发布一套定制好的系统,包含了Loader+Panel。值得注意的是,如果想变更C2就需要重新生成Loader,而每重新生成一个Loader需要10美元。这组“盗版”Loader就可以突破原作者的这个限制。

Patch后的盗版Loader支持全部功能。但这种Patch方案非常粗暴缺点很明显,硬编码使得一个Loader最多只能支持一个有效C2。样本的网络行为和我们的统计数据也都证实了这一结论。

“盗版”中的三处关键 Patch 代码

该版本中有三处关键的Patch代码,分析如下,截图见后:

  • 第一处Patch:直接替换了C2配置信息解密函数,将C2明文编码在代码中,调用解密函数时直接返回C2地址。后图可见,每次调用解密函数返回的C2都是代码段中的“hxxp://jsoc8492.us/jd/”;
  • 第二处Patch:覆盖了验证第一C2的代码。正版样本会计算第一C2的CRC值,然后和加密key做比较,如果失配则不会加载插件;
  • 第三处Patch:与第二处类似,覆盖了验证第二C2的代码。
图 16. Patch 1,替换了C2配置信息的解密函数
图 17. Patch 2, 使用空指令NOP覆盖以跳过第一C2验证机制
图 18. Patch 3, 使用空指令NOP覆盖以跳过第二C2验证机制

3. 其它有意思的细节

Loader

套件中的Loader_new_Cyberbunker.exe就是Loader本体。

Loader由注入器和有效载荷组成。注入器负责一些简单的沙箱和逆向对抗工作,并最终把有效载荷注入explorer进程。有效载荷是真正的工作代码。

2018版的注入器,会使用PROPagate的加壳注入方案,这一点在Talos的公开文档中已经提及。通常,Smoke Loader的买家在通过各种渠道传播恶意程序之前,还会继续使用自己的加壳方案对Loader加壳。所以,流行的样本基本上都会有两到三层壳。

图 5. 流行的Smoke Loader样本通常会有两到三层壳

上线包和C2指令通信格式

样本运行后,会发送一个数据包向控制台注册,称为上线包或者注册包。2018版注册包的数据结构在既往已公开分析中未见清晰定义,我们可以利用控制台代码中相应部分轻松搞定。

图 6. 解密后的上线包
图 7. 控制台代码中定义的上线包数据结构

通过分析,我们可以明确该上线包的格式如下:

图 8. Smoke Loader 上线包的格式

其中部分字段的意义如下:

  • AFFID:也叫Seller ID,这是为了明确分发渠道,用来和合作的团伙分成的标记,在打包的时候硬编码进样本。最常见的取值是 Good, cece 和 new1,不过也有大约15%的样本中这里是空的;
  • BOT_WINVER:感染主机的OS版本,从代码看基本支持当前所有Windows个人版系统,从WinXP到Win10,见下图;
图 9. Smoke Loader 能够感染主机的OS版本

BOT_RES:用来确定是否是安装版,因为Smoke Loader发行时会分为可安装版及不可安装版,售价略有不同。这个标记是用来区分版本类型的;

  • BOT_CMD:指令编号,控制台定义的指令共有15个,详见下图。
图 10. Smoke Loader 支持的指令类型

4. IoC统计

我们对近半年收集到的 Smoke Loader样本做了一些简单的统计,详细数据请参考附录IOC:

  • 样本: 1656 个
  • C2:  296个
  • Affid:42个

破解版相关统计:

  • 原始版本 vs 破解版样本:约为1568比88
  • 破解版中生效的 C2 URL 个数 : 27 个
  • 这些C2 URL 涉及到的域名 : 15 个

按照Affid (Seller ID)进行分组,样本的统计情况如下。其中Good、cece、new1 是这个渠道较大的消费者,三者合计占据了 88%。NA 是样本中该处为空的情况:

affid   count   %
Good    826     49.9%
cece    395     23.9%
[NA]    238     14.4%
new1    77      4.7%
1501    21      1.3%
0       13      0.8%
Pitt    12      0.7%
1301    9       0.5%
sel1    7       0.4%
Form    5       0.3%
OTHER   52      3.1%

5. IoC

Malware Sample md5
完成的md5列表超过 1,500 行,可以在 这里 下载。下面列出了前十条记录:

001dacf6608df69d485514a172fff05d
00521a5e800a85de875b703e9bc1f507
00891f91904955fb69fad4488f96741a
008d5eb400e41fcb87ef64db276013dc
009e213b63a4830adf5df372261ae6b0
00b8a47bdf14880ebeba6bebc3ea7dbc
00c5063e13752357b35c097c4c0f7059
00eef71e18381a537b1750c7f2983025
01162c00d54b976536d692173ef3e039
013748c007f80fb7cc2c42ca424e4733

Malware C2
完整的C2 列表超过 250 行,可以在 这里 下载,下面是前十条记录。其中各字段的含义如下。

  • version 版本号
  • req_key 发包数据的rc4加密key
  • res_key 收包数据的rc4解密key
  • remaining_c2 “盗版”中残存的C2
  • affid Seller ID
  • md5 count 有多少独立样本包含该C2

关于 C2 列表的一些细节:

  • 大部分的样本中会有2到5个C2,但也有个别样本中包含 75 个C2 之多;
  • 有些C2 相关的样本,在升级之后 req_key, res_key 会发生变化;
#           NA                                             C2                   version  req_key  res_key          remaining_c2_if_exists                            affid md5_count
0                                                          http://makak.bit/2/  2018  0xe5400000  0xa6b397e0                                                         Good  826
1                                                          http://mytter.ru/2/  2018  0xe5400000  0xa6b397e0                                                         Good  826
2                                                       http://svoloch.club/2/  2018  0xe5400000  0xa6b397e0                                                         Good  826
3                                                            http://d3s1.me/2/  2018  0x3b22e540  0xa6b397e0                                                         cece  395
4                                                       http://kiyanka.club/2/  2018  0x3b22e540  0xa6b397e0                                                         cece  395
5                                                      http://proxy-exe.bit/2/  2018  0x3b22e540  0xa6b397e0                                                         cece  395
6                                                     http://5gssghhs2w.org/2/  2018  0xe5400000  0xa6b397e0                                                         new1   77
7                                                          http://dvhwzq.ru/2/  2018  0xe5400000  0xa6b397e0                                                         new1   77
8                                                          http://hdxaet.ru/2/  2018  0xe5400000  0xa6b397e0                                                         new1   77
9                                                      http://hghwwgh6.info/2/  2018  0xe5400000  0xa6b397e0                                                         new1   77

参考资料