V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
c0878
V2EX  ›  分享发现

黑暗幽灵( DCM)木马详细分析

  •  
  •   c0878 · 2016-04-15 11:10:42 +08:00 · 12492 次点击
    这是一个创建于 2904 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.freebuf.com/articles/system/101447.html

    看完背后发凉 妈的这就是中国的棱镜门啊

    74 条回复    2016-05-15 15:02:36 +08:00
    21grams
        1
    21grams  
       2016-04-15 11:17:30 +08:00
    企鹅药丸
    yksoft1
        2
    yksoft1  
       2016-04-15 13:33:23 +08:00
    这个木马其他地方都很正常,问题就在于这个通信方式需要在用户可控范围之外做手脚才能实现。
    xmoiduts
        3
    xmoiduts  
       2016-04-15 13:51:53 +08:00 via Android
    所以说 120.52.72.0/15 等设备是一盘大棋呀
    Mutoo
        4
    Mutoo  
       2016-04-15 13:53:32 +08:00
    针对特定人群的 GOV 马
    Jankst
        5
    Jankst  
       2016-04-15 13:56:52 +08:00
    这这这。。。太可怕了 。。这玩意儿难不成真是 GOV 搞的?只是我大企鹅怎么有勇气给拦截了,然后还给出这样一个详细的分析报告?
    c0878
        6
    c0878  
    OP
       2016-04-15 14:16:57 +08:00
    可推断墙不止是在出口有部署 全国城域网内应该也有相关设备收集数据
    xdeng
        7
    xdeng  
       2016-04-15 14:25:20 +08:00
    不止 gov 劫持到关键节点的黑客也可以这么玩吧
    panlilu
        8
    panlilu  
       2016-04-15 14:50:10 +08:00
    大写的服气
    ProfFan
        9
    ProfFan  
       2016-04-15 15:13:16 +08:00
    @c0878 不用推断就是
    lhbc
        10
    lhbc  
       2016-04-15 15:16:24 +08:00
    下一版 QQ 电脑管家更新日志:修复能查杀 DCM 木马的 bug
    c0878
        11
    c0878  
    OP
       2016-04-15 15:25:16 +08:00   ❤️ 1
    @xdeng 真黑到这个份上被抓到就是吃牢房的份 黑客为财 不会做这种高风险的事情
    venster
        12
    venster  
       2016-04-15 16:01:48 +08:00
    我觉的这个似乎是有针对性的对某个跨国公司采取的商业行为吧?
    oldcai
        13
    oldcai  
       2016-04-15 16:05:15 +08:00   ❤️ 1
    我刚还想,以后得找个冷门点的杀软了,结果一看列表, 43 个,只有想不到的,没有过不掉的。

    感觉这才是国家级的项目的水平,什么 12306 简直不算。

    感觉又有希望了,祖国欣欣向荣。
    inoricho
        14
    inoricho  
       2016-04-15 16:07:29 +08:00
    头一次对企鹅这么服过。
    mc468ma
        15
    mc468ma  
       2016-04-15 16:09:05 +08:00 via Android
    有人评论,电脑管家不懂事π_π
    Phariel
        16
    Phariel  
       2016-04-15 16:10:48 +08:00 via iPhone
    PR 懵逼了 鹅厂药丸 doge
    KenGe
        17
    KenGe  
       2016-04-15 16:22:02 +08:00
    马化腾这搞过头了啊
    VmuTargh
        18
    VmuTargh  
       2016-04-15 16:23:20 +08:00
    用 F-PROT
    fengxiang
        19
    fengxiang  
       2016-04-15 16:25:51 +08:00 via Android
    这一定是美帝的阴毛。('・ω・')
    gimp
        20
    gimp  
       2016-04-15 16:36:02 +08:00
    服!
    vtea
        21
    vtea  
       2016-04-15 16:40:49 +08:00 via iPhone
    我想知道怎么才能检查自己中没中招
    kkhaike
        22
    kkhaike  
       2016-04-15 16:45:31 +08:00
    哪里有样本。。学习下
    percentsfg
        23
    percentsfg  
       2016-04-15 16:46:41 +08:00
    这防不胜防啊,另外这木马功能怎么这么奇怪。
    momou
        24
    momou  
       2016-04-15 17:09:08 +08:00
    谍战大片啊。。。
    shutongxinq
        25
    shutongxinq  
       2016-04-15 17:25:05 +08:00
    卧槽这个也太强了。针对 Gmail 和向 baidu , 163 通过发 dns 包通讯...只能说是天朝

    马,简称天马


    .-' _..`.
    / .'_.'.'
    | .' (.)`.
    ;' ,_ `.
    .--.__________.' ; `.;-'
    | ./ /
    | | /
    `..'`-._ _____, ..'
    / | | | |\ \
    / /| | | | \ \
    / / | | | | \ \
    /_/ |_| |_| \_\
    |__\ |__\ |__\ |__\
    ostholz
        26
    ostholz  
       2016-04-15 18:23:09 +08:00
    呐泥? 星矢?
    clino
        27
    clino  
       2016-04-15 18:27:40 +08:00   ❤️ 1
    @vtea 你要是会被盯上你就有可能会获得和平奖的
    fany
        28
    fany  
       2016-04-15 18:44:39 +08:00
    大家好,我是某讯管家负责人,从我的观点来看,这个报告写的还是很不错的,有理有条,各个部分分析的都很到位,至于木马是怎么被放置到网关上的这个问题,我觉得应讠
    shyrock
        29
    shyrock  
       2016-04-15 19:17:26 +08:00
    http://image.3001.net/images/20160412/14604534983828.jpg!small

    我就想知道,这个源代码是哪里来的?
    raptium
        30
    raptium  
       2016-04-15 19:27:29 +08:00 via iPhone
    @shyrock 看起来是 ida
    jy02201949
        31
    jy02201949  
       2016-04-15 20:07:08 +08:00
    怎么检测中没中
    shyrock
        32
    shyrock  
       2016-04-15 22:56:16 +08:00
    @raptium ida 反编译?出来的源码命名还能有含义的?
    DesignerSkyline
        33
    DesignerSkyline  
       2016-04-15 22:58:42 +08:00
    @shyrock IDA+某个价格相当贵的插件
    ZhaoMiing
        34
    ZhaoMiing  
       2016-04-15 23:17:56 +08:00
    @fany 好冷
    dapang1221
        35
    dapang1221  
       2016-04-15 23:19:26 +08:00
    这波太 6 了,腾讯为我们演示了手拆木马,接下来就是赵家手拆腾讯了
    RobertYang
        36
    RobertYang  
       2016-04-16 00:11:02 +08:00 via Android
    不错 BAT 里面就服 B 了,服 B
    lanyusea
        37
    lanyusea  
       2016-04-16 00:23:37 +08:00 via iPhone
    @shyrock 理论上 ida 可以做到
    zmj1316
        38
    zmj1316  
       2016-04-16 07:55:16 +08:00 via Android
    为什么不可能是配合路由器完成感染和监控?路由器里面劫持要容易的多啊
    jqw1992
        39
    jqw1992  
       2016-04-16 08:51:30 +08:00

    @Mutoo 算么
    @clino 是不是?
    Tink
        40
    Tink  
       2016-04-16 09:01:08 +08:00 via iPhone
    @RobertYang 这不是 T 干的吗
    wizardforcel
        41
    wizardforcel  
       2016-04-16 09:21:06 +08:00 via Android
    消灭人类暴政,世界属于 AI 。
    c4tn
        42
    c4tn  
       2016-04-16 09:25:50 +08:00 via iPhone
    特侦的马也敢分析,妈的,又得重写了
    springx
        43
    springx  
       2016-04-16 09:47:27 +08:00
    @fany 段子不错=w=
    mrjoel
        44
    mrjoel  
       2016-04-16 10:25:53 +08:00
    @c0878 这种人才肯定会被爱惜的。
    Myprincess
        45
    Myprincess  
       2016-04-16 11:07:03 +08:00
    方校长不开心
    plqws
        46
    plqws  
       2016-04-16 11:09:47 +08:00
    只有我一个人觉得可能是腾讯电脑管家的炒作么…
    如果是真的话还真的要对腾讯刮目相看了 hhhhh
    tinkerer
        47
    tinkerer  
       2016-04-16 11:31:55 +08:00 via Android
    (。・ω・。) 赵家人不开心
    blanu
        48
    blanu  
       2016-04-16 11:33:04 +08:00 via iPhone
    不过是不是只要不通过自带的升级方式升级这些软件就行了呢。。。
    kofip
        49
    kofip  
       2016-04-16 11:47:47 +08:00
    @blanu 只要你上网就行了,你的任何操作,都可以劫持,只是人家想不想劫持。
    wbsdty331
        50
    wbsdty331  
       2016-04-16 12:40:52 +08:00 via Android   ❤️ 2
    删除
    %windir%\ntshrui.dll
    %windir%\msls32.dll
    %windir%\AduioSes.dll
    %CommonProgramfiles%\TEXTCONV\*elp.dll
    %windir%\msaodex.dll
    %CommonProgramfiles%\Microsoft Shared\Web Folders\msaodex.dll
    C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog
    同目录的 time().v
    drive.d
    ie.his
    time().hd
    RtkBDll.dll
    QQHelperdll.dll
    所有后缀名为.k 的文件
    然后修复 lsp ,用 pc hunter 这类 ark 工具修复一下被挂的钩子和注入的 dll
    应该就没问题了

    我写个专杀工具好了
    2333
    RobertYang
        51
    RobertYang  
       2016-04-16 12:58:55 +08:00 via Android
    @Tink 在于腾讯敢报啊
    RobertYang
        52
    RobertYang  
       2016-04-16 12:59:26 +08:00 via Android
    @wbsdty331 吃顿好
    Tink
        53
    Tink  
       2016-04-16 13:08:22 +08:00 via iPhone
    @RobertYang 腾讯就是 T 啊
    shakespaces
        54
    shakespaces  
       2016-04-16 13:25:45 +08:00 via Android
    win10 没写在系统版本里面,会被影响吗?
    lsmgeb89
        55
    lsmgeb89  
       2016-04-16 13:30:12 +08:00
    默默关注!
    ANT1FLAG
        56
    ANT1FLAG  
       2016-04-16 13:32:43 +08:00
    为什么都说和政府有关?没看出来哪里是个人做不到的啊
    EYSAEX
        57
    EYSAEX  
       2016-04-16 13:45:52 +08:00 via Android
    @wbsdty331 吼啊,中央也资瓷
    wbsdty331
        58
    wbsdty331  
       2016-04-16 13:48:22 +08:00
    @RobertYang t/271538
    Quaintjade
        59
    Quaintjade  
       2016-04-16 13:52:37 +08:00
    @ANT1FLAG
    不一定是政府,但政府可能性较高,也有可能是商业间谍行为。

    从技术看,开发成本应该不低。然而既不是为了炫技,也不是直接窃取财产,而是潜伏着监控,说明目标利益来源于监控的数据。
    另一方面,但从木马本身来看,制作者如果在互联网上很难获取数据。

    有几种获取数据的可能:
    * 配合其他渠道(比如控制路由),看似发到大网站的数据,其实转发到真正收集数据的服务器。
    * 制作者就在链路上,比如内网里,或者运营商节点上。
    * 各大网站与制作者有合作,看似应该被丢弃的数据其实会被接收和记录。
    * 其他[?]
    ovear
        60
    ovear  
       2016-04-16 14:26:53 +08:00
    inoricho
        61
    inoricho  
       2016-04-16 14:36:19 +08:00
    @wbsdty331 细软跑。。
    dsb2468
        62
    dsb2468  
       2016-04-16 14:36:28 +08:00
    Bryan0Z
        63
    Bryan0Z  
       2016-04-16 14:36:54 +08:00 via Android
    @ovear 卧槽,真的假的
    inoricho
        64
    inoricho  
       2016-04-16 14:43:38 +08:00
    @ovear 。。。。可啪
    XhstormR
        65
    XhstormR  
       2016-04-16 15:27:06 +08:00 via Android
    首先我要证实一下大家的猜测:这个木马确实和 G0V 有关系,属于一款特殊用途的专用木马。
    DcmTeamMember
        66
    DcmTeamMember  
       2016-04-16 18:26:25 +08:00
    jhaohai
        67
    jhaohai  
       2016-04-16 18:33:51 +08:00 via iPhone
    这个应该就是公安部的金盾吧,传说耗资比 gfw 大,在各大运营商的骨干网上都有部署
    bookit
        68
    bookit  
       2016-04-16 19:23:08 +08:00
    @XhstormR 针对哪一类的人?还是所有人?
    0xC0000005
        69
    0xC0000005  
       2016-04-16 20:10:35 +08:00
    这个木马主要特别在两点:
    1.涵盖几乎所有主流安防软件的巨大投入;
    2.极其特殊的数据通信方式和针对目标
    RobertYang
        70
    RobertYang  
       2016-04-17 13:36:13 +08:00 via Android
    @Tink 。。。打错了😂
    wbsdty331
        71
    wbsdty331  
       2016-04-23 17:55:36 +08:00   ❤️ 1
    https://github.com/wbsdty331/DCM-Killer
    专杀已更新,但只能删除部分文件,被挂的钩子和 DLL 仍需自己解除,聊胜于无吧。
    Aquamarine
        72
    Aquamarine  
       2016-05-01 16:46:37 +08:00
    @wbsdty331 请问下,挂钩只存在 SPI/LSP 中吧?
    wbsdty331
        73
    wbsdty331  
       2016-05-04 21:54:33 +08:00 via Android
    @Aquamarine 应该还在进程中存在 你需要多留心
    rix
        74
    rix  
       2016-05-15 15:02:36 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1402 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:34 · PVG 01:34 · LAX 10:34 · JFK 13:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.