为啥折腾这个“献祭秘录”?
兄弟们,今天咱们不聊那些高大上的框架,聊聊我最近折腾的一个小玩意儿。就是你们在网上看到那个标题,特玄乎,叫《被俘女忍的献祭秘录》。我一开始看到这名字,心想又是什么野鸡流氓软件,正眼都没瞧一下。
结果?上个月,我老家一个亲戚,他那小公司的业务系统忽然出了点鬼。就是那种,关键数据包总是在特定时间段丢失,但日志又干干净净,查不出半点毛病。我帮他远程瞧了几天,找遍了所有正常的后门和漏洞,屁都没找着。
那段时间我真是焦头烂额,差点把键盘砸了。我决定用点非常规手段,搞了个流量捕获,把所有进出他服务器的包都抓了一遍。结果你猜怎么着?发现了一堆奇奇怪怪的、加密过的请求。我顺着那个请求的源头一路摸过去,发现它们都指向了一个很隐蔽的下载地址。那个地址弹出来的东西,就是这个所谓的“秘录”。
我当时就明白了,这压根不是什么软件,而是一个非常隐蔽的数据打包和渗透机制。对方把它伪装成一个极具诱惑力的下载包,一旦有人好奇点了“立即下载”,它就会在后台悄悄摸摸地运行。这孙子藏得太深了,连文件名和文件结构都做了混淆,专门骗那些防护软件。
硬着头皮开始追查和复现
为了搞清楚这东西到底怎么跑到我亲戚的服务器上去的,我决定自己“以身试法”,把整个下载和安装流程跑一遍,然后把它给扒个精光。
是第一步,定位真正的下载地址。那些广告页上的“官网”全是假的,点进去不是弹窗就是让你填手机号。我直接把网页源代码翻了个底朝天,找到了一串被Base64加密过的字符串,解码出来,才发现那才是真正的资源分发点。它用的是一个很偏门的文件传输协议,不是常规的HTTP或者FTP。
我把这个地址拿到手后,发现直接下载会限速,而且还会自动检查我的系统环境。如果发现是虚拟机或者沙箱,它直接就断开连接,不跟你玩儿了。我当时气得够呛,只好自己搭了个中间代理,模拟了一个看起来特别像“老旧家用机”的系统环境,才成功把那个几百兆的文件包给拖下来。
拖下来之后,发现它根本不是什么exe或者zip,它是一个很奇怪的容器文件。我用了平时处理数据包的那套工具,硬是花了一晚上时间,才把它的外层壳给剥开。这个过程真是耗精力:
- 第一层:一个简单的脚本混淆器,通过反复调用系统内置的批处理命令来隐藏真实入口。我花了两个小时,把所有的跳转逻辑全部理清楚。
- 第二层:一个定制化的加密算法。它没有用任何标准的加密库,全是手写的异或和位移操作。我不得不自己写了个小工具,针对性地进行逆向解密。
- 第三层:这才是本体。里面藏着两个东西,一个是真正的“秘录”,就是一堆画质很差的图片和文字,完全是垃圾内容;另一个,才是真正的数据采集和回传模块。
发现了它藏着的那点“献祭”小秘密
真正让我感到后怕的,就是这个回传模块。它不像一般病毒那样直接粗暴地发送数据,它采用的是一种“静默献祭”的模式。
它会偷偷地监听目标服务器上所有的数据变动,但是它不会一下子全部偷走。它只盯着那些命名格式特殊的关键业务文件,而且每次只截取其中几KB的数据,然后把这些碎片数据伪装成正常的系统心跳包或者DNS请求,一点一点地往外渗透。这就是为什么我亲戚的日志里面,根本查不出任何异常流量。
这个“献祭”的动作,就是指它一点一点地把服务器上的关键数据,用一种非常隐秘的方式,“献祭”给远端的收集服务器。
搞清楚了这套机制之后,我就知道怎么去处理了。我马上在我亲戚的服务器上部署了一套流量指纹识别工具,专门盯住那些看起来正常但包体大小和发送频率有微妙偏差的数据流。果然,没过两天,就成功捕获到了它再次尝试“献祭”的瞬间。
我把那个偷偷摸摸运行的回传模块给彻底干掉了,并且把它的入口和伪装文件都清理干净。整个过程下来,我真是感叹,现在搞渗透的人,为了隐藏自己的目的,真是越来越会包装了。一个破烂的、标题劲爆的下载包,背后藏着的却是这么一套精密的数据窃取流程。这回的实践记录,我得好好整理一下,下次遇到这种事,就知道怎么抓这些“献祭者”了。