2014 年,Trojan.Poweliks 这种持续性机制仅仅是使 Poweliks 独一无二的特性之一。这款木马程序还使用其他注册表技巧,例如特殊命名法,使得用户难于查找它,然后使用 CLSID 劫持来确保在受侵害计算机中的长期存在。Poweliks 还可以利用零日权限提升漏洞来控制受侵害的计算机。此外,该威胁将受侵害计算机添加到点击欺诈 botnet 中,在受害者不知情的情况下强制计算机下载广告。
赛门铁克深入分析了 Poweliks以查看此威胁如何演变以及如何通过隐藏在注册表中规避检测。
非文件形式威胁
Poweliks 是一种非文件形式威胁,采用多种技术确保仅存在于注册表中。下图可以帮助了解其作用方式:
图 1. 注册表中的 Poweliks
Poweliks 使用合法的 Windows rundll32.exe 文件(蓝色框标记)执行已嵌入到注册表子键本身中的 JavaScript 代码(红色框标记)。JavaScript 代码提供的指令从注册表读取额外的数据,这起到有效负载(绿色框标记)的作用,然后执行。
此数据的一部分已编码,在解码并执行后,它将安装我们称为“看门狗”的进程。看门狗进程用于确保在受侵害计算机上的长期存在。这通过持续检查 Poweliks 仍在运行并且其注册表子键未被删除来确认。如果注册表子键已删除,该功能将使其恢复。
由于恶意软件位于注册表中,看门狗功能更改访问权限来阻止访问,通过无法输出的字符使得注册表工具即使具有合适的权限也找不到这些键值,从而实现保护。自 Poweliks 之后,我们看到多种其他威胁使用了这些技术和策略,包括 Trojan.Phase。
以下图像说明了 Poweliks 如何确保在受侵害计算机上的长期存在。
图 2. Poweliks 维护其注册表条目以确保长期存在
劫持 CLSID
许多威胁频繁更改注册表中的 Run 子键来加载自身,不过 Poweliks 通过 CLSID 劫持来使用新的加载点。CLSID 条目与特定功能链接,Microsoft 需要这些功能来使 Windows 正常运行。Poweliks 将额外的数据添加到这些 CLSID 子键中,在其中扩展自己的功能。具体而言,Poweliks 劫持以下 CLSID:
- {FBEB8A05-BEEE-4442-804E-409D6C4515E9}
- {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}
- {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
所有这些 CLSID 均随 Windows 加载。例如,{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} 使得 LocalServer32 子键中的任何文件在每次打开文件夹时运行。通过劫持此 CLSID,Poweliks 能够确保其注册表条目在任何时候打开文件夹或者创建新缩略图时启动,即使看门狗进程已被终止。
保护注册表条目
Poweliks 采用了更多伎俩来保护自身在受侵害计算机上的注册表条目。恶意软件采用了防止被打开和查看的机制,创建额外的注册表子键。此注册表子键包含一个使用 0x06 字节和 0x08 字节创建的条目,这不在 Unicode 可输出字符集范围内,从而阻止读取或正确删除整个 LocalServer32 子键。一些注册表工具也许能够读取此子键,但默认 Windows 注册表编辑器 (regedit.exe) 无法读取。需要特殊工具来读取字符以及读取或删除注册表条目。通过将自身放在注册表中并使用此保护机制,Poweliks 非常难以消除。
图 3. 用于保护内存中 Poweliks 的额外注册表子键
Bedep 连接
Poweliks 利用
HYPERLINK "http://www.securityfocus.com/bid/71965"Microsoft Windows 远程权限提升漏洞(CVE-2015-0016) 来控制受侵害的计算机。我们发现并向 Microsoft 报告了此漏洞,随后在一月份的补丁程序周二更新中 (MS15-004)打了补丁。Trojan.Bedep还使用此零日漏洞来控制受侵害计算机,这与 Poweliks 利用漏洞的时间基本相同。因此,我们认识到,Poweliks 与 Bedep 之间可能有关联。
Bedep 是一个下载程序,而它经常下载到受侵害计算机上的威胁之一是 Poweliks。
从 Poweliks 到勒索软件
抛开 Poweliks 侵害和保持在计算机上的独特入侵方式而言,这最终不过是一个点击欺诈木马程序,用于通过广告为攻击者谋取利益。它根据关键词请求广告,伪装受害者合法搜索所选关键词,浏览广告网络返回的 URL,然后攻击者可以获取金钱。所选广告不会向受害者显示,因此受害者不会知道计算机上存在 Poweliks。虽然对于受害者而言这会是个问题,但是更大的问题存在于 Poweliks 发送到受侵害计算机上的大量广告。
Poweliks 在一台计算机上每天可以请求多达 3,000 条广告。由于它请求了如此多的广告并且毫不介意广告的来源,最终会在受侵害计算机上下载恶意广告。这会导致在计算机上安装其他恶意软件,我们已经观察到了 Trojan.Cryptowall或者其变体之一安装到被 Poweliks 侵害的计算机上。因此,虽然受害者最初可能没有意识到 Poweliks 在其计算机上显示广告,最后的结果可能是发现其计算机被锁定,要求支付赎金。
图 4. Trojan.Cryptowall 锁定屏幕
方法
赛门铁克和诺顿产品可以检测到 Trojan.Poweliks,显示如下:
AV
IPS
删除工具
如果您确信计算机受到 Trojan.Poweliks 侵害,请运行以下删除工具:
延伸阅读
有关 Poweliks 演变方式的更多信息,请阅读白皮书。
