上个月在中秋到临之际，360白名单分析组即时颁布了冒用数字签名的木马[分析呈报]，在连续的跟踪反抗过程中，我们发明该作案团伙不停的对数字签名做各类测验考试，并且为了在被传染用户的机器上扎根存活不停改造其木马框架。本文对捕获到的最新木马“红颜”进行分析，此次的重点将放在木马的行为框架上，其主要的流程如下图所示：

图 1 木马行为框架流程图
一、签名过期的主措施
在最新捕获的木马样本中，呈现了一些具有过期证书的数字签名，木马的主措施就签发了如下签名：

图 2木马文件签发过期证书
可以看出其数字证书的有效期是到2015年5月，导致系统验证数字签名时提示不在有效期。经试验，把系统的时间改削到有效期内，将看到数字签名校验显示正常，可以想象作者试图以此来反抗杀毒软件的检测。

图 3改削系统时间后过期数字签名校验有效
而这个木马主措施运行后，其主要目的是为了加载驱动措施hongyan.sys：

图 4木马主措施释放并加载恶意驱动
二、运行在内核的恶意驱动
hongyan.sys实际上也是一个签名过期的措施，其主要感化是反抗杀毒软件并加载恶意模块来共同实现业务成果，颠末分析后总结行为如下：
1、添加注册表可信任的根证书公布者，伪造可信证书，这将使那些用这个伪造证书签发的恶意措施其数字签名被验证为有效签名：

图 5添加根证书公布者伪造可信证书
2、注册系统关机回调，回写注册表，实现开机自启：

图 6注册关机回调实现开机启动
3、注册映像加载回调，通过改削入口点的方法，阻止安适软件驱动的加载：

图 7注册映像加载回调改削安适驱动的入口点
改削安适软件的驱动入口点代码直接返回0xc0000001，使其加载掉败：

图 8改削安适驱动入口点返回错误代码
4、过滤IE浏览器和主流安适软件的进程，阻止其加载安适软件的DLL文件：

图 9过滤安适软件进程加载安适模块
安适软件DLL列表如下：

图 10被木马针对过滤的安适模块
5、屏蔽360浏览器，恶意阻止其访谒网址导航：

图 11恶意屏蔽360浏览器导航
6、从驱动中释放业务成果模块WinCver.dll到SystemRoot目录下，并注入到Winlogon.exe中运行：

图 12释放并注入业务成果模块
7、接收并措置惩罚惩罚WinCver.dll从应用层通报到内核层的控制命令，完成指定的特殊成果，如通过TDI联网下载等：

图 13措置惩罚惩罚应用层的控制命令
三、业务成果模块
WinCver.dll在注入系统进程后开始事情，主要为了共同驱动措施完成下面一些成果：
1、枚举系统根证书库，查抄是否包罗VeriSign公布的证书，确保签名可以被验证：

图 14查抄系统证书库
2、连接上述驱动创建的一个tdi设备，告成后执行事情线程：

图 15连接tdi设备
3、事情线程分袂创建4个线程用于完成主要业务成果：

图 16创建4个事情线程
第一个线程，联网读取一份url的列表，后面在进行网络劫持的时候将此作为白名单：

图 17网络劫持白名单
第二个线程，联网获取最新的驱动措施，并发送控制指令给驱动措施进行更新操纵：

图 18更新驱动的云控地点
第三个线程，联网下载一个长途木马，并加载到一个svchost傀儡进程进行软件推广或者远控等勾当：

图 19傀儡进程加载长途木马
以下为该长途木马在用户电脑上强行安置过的一些推广软件：

图 20强行安置的推广软件
第四个线程则是为了盈利而进行的用户统计，挪用IE浏览器访谒统计接口：

图 21统计盈利
这四个事情线程运行后，紧接着就进入劫持网络的循环中，此循环每隔一段时间就更新一次需要劫持的url列表，用户系统的每个网络连接请求都将按照这份列表决定是否劫持到其他连接：

图 22劫持导航连接
这里会把用户电脑访谒的所有主流网址导航，都劫持到地点，而此地点将重定向到带有其推广渠道号的2345导航链接：https://www.2345.com/?35561，从而增加盈利。 
4、上面的事情线程大部分为劫持网络做了筹备，而实际进行劫持网络的处所是以下回调函数，系统所有流量经TDI通报到本模块进行过滤，并将篡改后的网络流量返回给用户：

图 23网络劫持回调
四、杀毒软件的查杀
由于木马措施使用了过期签名测验考试遁藏杀毒软件的检测，并通过加载驱动措施改削系统根证书信任区，以及在注入系统进程后还不忘查抄系统证书库，这一系列行动的目的都是为了操作数字签名来遁藏杀毒软件的查杀。以下是木马作者近期频繁操作过的一些签名：

图 24签名操作实例
虽然该木马作者费尽心血，并且连续更新所使用的技术框架，最终通过劫持用户电脑的网络或进行地痞推广等方法实现盈利，但360杀毒依然第一时间进行了查杀。

图 25VirusTotal查杀功效