木马Sinowal：三年历史 卷土重来

ZDNet安全频道原创翻译 转载请注明作者以及出处

Sinowal是一个危险的恶意软件，而安全专家们才刚刚意识到这一点。这是因为 Sinowal木马具有独特的攻击方式，而本文将揭秘这一独特之处。
--------------------------------------------------------------------------------------------

　　今天我想和大家分享我近距离接触的第三类木马-Sinowal，它也被称作Mebroot 或者 Torpig 。这个木马及其让人厌恶，因为它的主要目的就是窃取个人信息，更重要的是利用个人信息窃取用户银行财产。另外，这个木马已经存在三年了，并且日渐顽强。

　　起 因

　　我的一个朋友刚从德国回来就来找我帮忙，因为他的笔记本电脑经常崩溃，而第二天他就要在一个重要会议上演示幻灯片。这个忙我肯定是要帮的，因此我留下了他的笔记本电脑，并把我的借给了他。为此，我获得了一顿高级酒店的大餐。

　　我那个朋友的会议开的很成功，而我这边却不顺利，搞不清他电脑到底哪里出了问题。他的电脑看上去一切正常，我甚至怀疑他是德国啤酒喝多了自己按错了按键，但是他矢口否认。

　　最后，我决定完全还原他电脑出问题时的环境，也就是将他的电脑通过我的局域网连接到互联网上。一般情况下我并不喜欢这样处理一个有问题的电脑，就算是使用独立的VLAN也是一样。

　　神秘的加密数据流

　　让我惊讶的是，电脑在接入互联网后不久就崩溃了。之前我从未遇到过这种情况。因此我决定尽量多的收集局域网中与这台笔记本相关的数据包，通过分析判断在电脑崩溃前发生了什么事情。在第二次尝试中，我成功的在电脑崩溃前捕获了数百个数据包。

　　根据捕获的数据包，我立刻注意到其中大部分数据包都包含有加密数据，并且指向一个远程IP地址。在我看来这很奇怪，因此我通过一个叫做 TrustedSource的IP地址定位网站，判断出该IP地址属于东欧的一台服务器。线索到这里就断掉了。我还没有足够的证据证明是恶意软件导致了系统崩溃，但是这一数据流确实给了我很大的提示。

　　恶意软件警报

　　于是我对电脑进行了常见恶意软件的扫描，还检查了操作系统(Windows XP Pro) 和反病毒软件的数据库是否都升级到了最新版。一番扫描后，什么也没有发现。 这样的工作我重复过很多次，一般到这种情况下，最快捷的解决方案就是格式化硬盘并重新装系统。

　　本着对朋友负责的态度，我给他打了个电话，告诉他我所发现的事情，以及最坏的结果。他好像并不是很介意重新装系统，而且还说我来处理这个问题肯定比他自己做得要好。说实话，这确实让我卸下了压力，而且我真的想尽快解决这个问题。

　　再试试 GMER 吧

　　抱着试试看的态度，我启动了我最爱的扫描器 GMER 。令人惊讶的是，它竟然发现了一些问题，如图A所示：

　　图 A

　　警告信息看上去并不乐观：“sector 00:MBR rootkit detected.”对我来说，这意味要立刻格式化硬盘并重装系统。不过我仍然感到兴奋，因为这是我第一次真正遇到这种类型的恶意软件。于是我开始在互联网上搜索有关MBR rootkit的信息。不用说，我所看到的确实有点吓人。看上去如果 MBR rootkit和加密数据流同时出现，意味着感染了Sinowal木马。

　　同时我还知道了 RSA FraudAction Research Lab 已经跟踪Sinowal 木马超过三年时间了，并对这个木马给出了一些有趣的总结：

　　“我们最近注意到，追溯到2006年2月， Sinowal木马就已经出现并且已经窃取了大约30万个网络银行帐户的登陆信息，以及数量相近的信用卡和借记卡信息。其他诸如电子邮件信息，大量网站的FTP帐户信息，也同样被该木马大量窃取。”

　　Sinowal载入器如何工作

　　Sinowal 采用常规的方式进入被攻击的电脑获取控制权限。最初大部分感染都是通过电子邮件链接实现的，但是现在则主要是通过dropper来实现，比如恶意网站上的NeoSploit 。

　　有趣的是，Sinowal会结合地理位置和IP地址确定特定的攻击区域，而德国正好是在它的攻击范围内。它在电脑上存在的方式也很巧妙，这也是它能够如此长寿的原因之一。

　　在第一步进攻之后， loader程序会让木马沉默一个特定的时间。据说这个时间大约在六分钟左右，之后才会开始行动，这么做的目的就是为了欺骗各种恶意软件扫描程序。因为扫描器一般都会监视系统内存中的程序，由于Sinowal 一开始什么动作都没有，因此可以避开大多数扫描器的眼睛。

　　Sinowal同时也是一款 Bootkit 程序，这意味着它修改了主引导记录 (MBR)，可以让它绕过Windows系统功能。下面列出的安装步骤是研究人员在对Sinowal进行逆向工程后得出的：

　　1. 首先 Sinowal读取MBR并复制分区表 。

　　2. Sinowal 有自己的 MBR，并将其与复制的分区表相结合

　　3. 接下来是最关键的一步，Sinowal将原始的MBR指向它创建的新MBR的最后一个扇区

　　4. Sinowal将新创建的MBR写入磁盘

　　5. 接下来 Sinowal要做的就是等待。和所有的MBR rootkit一样， loader 只能修改MBR，重启后就是按照Sinowal的payload启动顺序运行了。

　　Payload启动过程很有趣，如果读者感兴趣，可以参考Peter Kleissner的文章“Analysis of Sinowal.”在文章中他对此有详细解释。之所以如此复杂是因为Sinowal最终将完全取代Window的启动顺序。

　　真正让人感到惊奇的是，整个启动顺序的获取并没有其它任何恶意软件在系统中。一开始我也没有意识到这个问题的重要性，但是TrustDefender Labs 在报告“MBR/Mebroot/Sinowal/Torpig Is Back — Better than Ever”中解释了Sinowal为何费劲周折要控制系统启动顺序，以及这种做法对Sinowal 生命周期的重要性：

　　“为什么Sinowal 在盗取客户信息时不需要任何恶意组件呢?这是因为Sinowal控制了启动顺序，它完全可以将恶意代码注入合法的Windows系统组件中。它可以将钩子挂在我们每天使用IE时会用到的功能组件上，比如收发加密数据。没错， Sinowal 完全控制了IE的加密数据传输，从数据加密前到加密后的传输，整个过程都被控制了。”

　　这份报告吸引我的地方是它提到了数据加密，这肯定是指我之前从朋友的电脑上捕获的加密数据包。可以肯定，现在 Sinowal已经控制了被感染的电脑，下面我们就来了解一下Sinowal做了这么多工作到底是为了什么。

　　Sinowal的真正工作

　　大家应该还记得，我在文章前面提到过 Sinowal的主要目的就是盗取身份信息和金钱。另外别忘了在TrustDefender的文章里也提到Sinowal可以完全控制互联网进程，而这就是问题的根本。让我们跟随一个有可能发生在我朋友电脑上的网络钓鱼攻击过程来看看吧：

　　1. 我决定去我的网上银行，并且用我的个人信息登陆。

　　2. 根据 Sinowal的变种不同， Sinowal现在已经获得了我的个人信息，或者会通过在浏览器显示的银行网站页面内注入更多HTML代码，骗取我填入更多信息。

　　3. 隔一段时间后，Sinowal会将收集到的数据加密并发送到预先设定在木马程序中的命令和控制服务器，接下来会发生什么，我想大家都会想到。

　　这一切的意义

　　最近我已经写了很多关于攻击者使用各种方式盗取网民个人信息和财务信息的文章。所有我讨论的攻击的共同点都是采用重定向和欺骗的方式。通过Kaminsky的漏洞 或者使用 DNS Changer木马 攻击者可以将用户的浏览器引导至一个恶意网站。在重定向后，攻击者通常有两种选择。第一是希望用户没有发现自己处于一个非HTTPS环境，第二是攻击者自己建立一个具有伪造的 SSL 证书 的Web服务器。

　　这是一个复杂的过程，而让攻击者复杂，对我们普通网民来说就是一件好事。但是 Sinowal避免了这种复杂性，因为它根本不需要重定向，也不需要建立虚假网站。整个攻击都在用户的电脑上完成了。而用户访问的银行网站是真正拥有SSL证书的正确网站，因此用户完全不会想到自己的个人信息已经被盗了。

　　长寿的Sinowal

　　本文的标题告诉我们， Sinowal已经在互联网上存在了三年时间。有人会认为它已经被安全专家和反病毒软件厂商降服了。其实安全专家和软件厂商开始也是这么想的。不过从下面的图表(来自RSA)，我们可以看到Sinowal好像在2008年上半年有了突飞猛进的发展:

　　那么是什么让Sinowal卷土重来的呢?RSA在文章 “One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts”中是这样解释的：

　　“自从2006年以来，只有很少几个犯罪软件仍然在互联网上窃取和收集个人信息、支付卡信息以及银行帐户信息。在这些长寿的犯罪软件中， Sinowal有了重大的变化—2008年3-8月，这个恶意软件的攻击量激增。

　　Sinowal 木马的开发者会定期发布新的变种，并且为了木马与服务器进行通信，注册了上千个互联网域名。这么做的目的是为了让木马能够不断的攻击新的电脑。下面的图表显示了Sinowal木马的开发者发布新变种的频率。”

　　总 结

　　Sinowal被安全专家们认为是有史以来最阴险和狡猾的恶意软件。它隐藏于操作系统下，控制程序，又随时在变化。如果你向反病毒软件厂商询问，他们会告诉你，他们的产品可以检测出并删除 Sinowal。这听上去不错，但是他们指的是哪个版本的Sinowal呢?

　　我用GMER成功发现了 Sinowal，但是我知道肯定有很多人没我这么幸运。另外我还听到了来自TrustDefender Labs 的好消息，他们的新程序可以让Sinowal失效。除此以外，目前还没有什么对付Sinowal 这样的MBR rootkit的好方法。

　　另外一个有关Sinowal的信息是，这个木马只针对微软操作系统，也许对那些不使用Windows系统的用户来说，这是个好消息。 另外Vista系统也是对MBR rootkit攻击免疫的。也许现在是时候升级到Vista 系统了，或者催促微软尽早发布Windows 7。