7-359732265-资料-360本地提权后门详细分析报告
- 格式:doc
- 大小:470.50 KB
- 文档页数:9
360本地提权后门详细分析报告
摘要:360安全卫士全部版本会在安装过程中在用户系统上安装一个注册表操
作后门程序,该后门可以绕过操作系统的安全检查机制任意操作(设置、删除
等)用户的注册表。
360安全卫士全部版本会在安装过程中在用户系统上安装一个注册表操作后
门程序,该后门可以绕过操作系统的安全检查机制任意操作(设置、删除等)
用户的注册表。由于该程序没有对调用者进行检查,导致任意程序(如各种木
马程序等)可以通过该后门任意操作(设置、删除等)用户的注册表系统。
该后门包括两个文件:
1. bregdrv.sys:内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx
系列函数来操作注册表,另外由于操作系统内部本身维护了很多同步数据、缓
存数据,直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不
同步,严重影响系统安全性,甚至可能导致用户正常数据丢失;
2. bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户
态程序提供注册表操作后门的接口;
1、bregdrv.sys
处理 IoControl :
通过CmDeleteKey实现注册表键值的删除操作:
2、bregdll.dll
BRegDeleteKeyW函数中调用驱动的0x7be2058号IoControl实现删除注册表键
值操作:
第一:时刻监视用户访问网站,上传至奇虎360网站
(用户访问搜狐网站时,抓包分析如上图)
当用户使用360浏览器访问某个网址时,该网址就会被发送到
360-s.qihoo.com,,而且没有加密。也就是说,凡是用户通过奇虎360浏览器浏
览任何网址,都会被奇虎记录下来。用户毫无隐私可言。
第二:悄悄盗取用户电脑隐私信息
360安全卫士具有“举报可疑文件功能”,通过技术分析可以看到,在360
安全卫士上传的数据中,不但包括了用户系统的信息,还包括用户安装补丁和
用户所安装的软件信息,甚至包含了“招商银行专业版”等软件信息。截图如下:
U1 - SOFTE:Adobe Flash Player 10 ActiveX 10.0.22.87 Adobe Systems
Incorporated
U1 - SOFTE:Adobe Photoshop 7.0.1 7.0.1 Adobe Systems, Inc.
U1 - SOFTE:BCWipe 3.0
U1 - SOFTE:Dell Wireless WLAN Card 4.10.47.3 Dell Inc.
U1 - SOFTE:招行专业版
U1 - SOFTE:Conexant HDA D110 MDC V.92 Modem
U1 - SOFTE:Ethereal 0.99.0 0.99.0 The Ethereal developer community,
http://www.ethereal.com
U1 - SOFTE:HyperSnap 6.21.02 免注册汉化版 HyperSnap 6.21.02 免注
册汉化版 雅诗(Kaci)
U1 - SOFTE:OZ776 SCR CardBus Windows Driver 0.0.0.1 O2Micro
International LTD.
U1 - SOFTE:Iris - The Network Traffic Analyzer 4.0 eEye Digital Security
U1 - SOFTE:High Definition Audio Driver Package - KB835221
20040219.000000 Microsoft Corporation
U1 - SOFTE:Windows Genuine Advantage Validation Tool (KB892130)
Microsoft Corporation
U1 - SOFTE:Windows XP 安全更新 (KB923561) 1 Microsoft
Corporation
360安全卫士后门程序涉及的主要文件是:在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys,
以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。
bregdrv.sys:360内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注
册表,另外由于操作系统内部本身维护了很多同步数据、缓存数据,直接调用CmXxx系列函数操作注
册表极有可能造成系统内部数据不同步,严重影响系统安全性,甚至可能导致用户正常数据丢失;
bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户态程序提供注册表操作后
门的接口;该动态库仿照Windows操作系统API接口(加B作为前缀)导出了如下注册表操作函数,
但与Windows API不同的是,bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查,直接调
用极为低层的未公开CmXxx系列函数实现:
1.BRegCloseKey 2.BRegCreateKey 3.BRegCreateKeyEx 4.BRegCreateKeyExW
5.BRegCreateKeyW 6.BRegDeleteKey 7.BRegDeleteKeyW 8.BRegDeleteValue
9.BRegDeleteValueW 10.BRegEnumKey 11.BRegEnumKeyEx 12.BRegEnumKeyExW
13.BRegEnumKeyW 14.BRegEnumValue 15.BRegEnumValueW 16.BRegOpenKey
17.BRegOpenKeyEx 18.BRegOpenKeyExW 19.BRegOpenKeyW 20.BRegQueryValueEx
21.BRegQueryValueExW 22.BRegSetValueEx 23.BRegSetValueExW
360后门部分功能代码截图一
bfsdrv.sys,该驱动程序通过直接向文件系统发送I/O请求包(IRP)来实现文件操作,这种方式可以
绕过基于过滤驱动的文件监控(包括卡巴斯基、诺顿等安全软件)。由于该程序没有对调用者进行检查,
导致可以被任意程序(如各种木马程序等)利用达到修改、删除用户正常文件的目的。
bfsdll.dll:用户态动态库,该动态库封装了对bfsdrv.sys的调用,为用户态程序提供文件操作后门的
接口;该动态库仿照Windows操作系统API接口(加FS或Bfs作为前缀)导出了如下文件操作函数,
但与Windows API不同的是,bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动,直接
向文件系统发送I/O请求包实现:
1.BfsMoveFileExW 2.FSCloseHandle 3.FSCopyFile 4.FSCopyFileW
5.FSCreateFile 6.FSCreateFileW 7.FSDeleteFile 8.FSDeleteFileW
9.FSFindClose 10.FSFindFirstFile 11.FSFindFirstFileW 12.FSFindNextFile
13.FSFindNextFileW 14.FSGetFileAttributes 15.FSGetFileAttributesEx
16.FSGetFileAttributesExW 17.FSGetFileAttributesW 18.FSGetFileSize
19.FSGetFileSizeEx 20.FSGetLongPathName 21.FSGetLongPathNameW
22.FSGetShortPathName 23.FSGetShortPathNameW 24.FSPathFileExists
25.FSPathFileExistsW 26.FSPathIsDirectory 27.FSPathIsDirectoryW
28.FSReadFile 29.FSSearchPath 30.FSSearchPathW 31.FSSetFileAttributes
32.FSSetFileAttributesW 33.FSSetFilePointer 34.FSSetFilePointerEx 35.FSWriteFile
上述API均通过DeviceIoControl/NtDeviceIoControlFile来调用驱动提供的不同文件操作功能,这些
操作均会绕过基于过滤驱动的文件监控。
360后门部分功能代码截图二
360安全卫士没有遵循正常的操作系统安全机制,却直接绕开了系统安全检查机制。其不仅具有“后
门”功能,而且该程序存在重大安全隐患,利用此程序不需要任何身份认证,可轻易被黑客利用窥视用
户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。
例如,任意普通用户可以在低权限的情况下实现删除系统安装的安全软件,隐藏自己的恶意程序。
而通过bregdrv.sys对注册表的操作,可以利用其在系统底层任意操作注册表的权限,达到更多的目的,
如:
通过修改注册表存储的用户信息,将guest用户激活并克隆成管理员,但是在系统表面看来,guest
用户仍然是被禁用的。
通过修改注册表实现映像劫持,将sethc.exe(系统粘滞键功能)替换成cmd.exe,这样就可以实现
在登录界面上按5下shift键直接呼出一个系统权限的cmdshell窗口,执行任意指令。