浅谈“狡猾”的USB木马：威胁物理隔离的系统

据悉，目前发现一类难以检测分析的USB木马，安全厂商ESET安全研究人员初步研究发现该木马主要对物理隔离的系统进行感染传播，是一款网络及工业间谍活动中的“理想”木马。

其被称为“USB窃取者”木马（该木马目前于杀软的检测名称为Win32/PSW.Stealer.NAI trojan），而该木马是当前已发现的木马中复杂度较高的木马。它可通过加密及自保护程序，来逃脱检测和逆向分析，并在成功窃取数据之后，不会留下任何窃取痕迹，使得受害者及安全研究人员难以进行溯源。

根据ESET安全研究人员Tomá? Gardoň 的分析，实际上，该木马是由4个执行文件和2个配置文件构成，并且可绑定到特定的USB设备上，如果该木马实例被复制到其他USB设备或者其他存储设备上，对于恶意文件的执行将中断，其内容也将无法识别。那么，我们目前可以了解的自我保护机制主要有以下两种，

1、各个文件使用AES128不对称加密算法进行加密

AES的加密密钥是由具备唯一性的USB驱动ID及USB驱动磁盘性能计算而来。因此，恶意程序也仅能在特定的U盘上才能运行。

2、其各个文件名称亦是基于加密算法生成

在木马运行的文件链中，其文件的名称是基于文件内容以及文件创建的时间，通过SHA512哈希算法得到的哈希值，最后再选取哈希值中的前五个字节而生成的。

由于上述的原因，每一个木马实例中的文件名均不同，而且复制木马到不同位置，也将会导致文件创建时间的更改，所以木马的具体行为轨迹难以被复制刻画。这对于进行该木马的剖析工作来说，无疑增加了很多难度，因为并没有有效的方法去逆向该木马。目前只能针对获取到加密样本文件进行分析，并通过暴力破解，获取到了USB驱动ID信息及磁盘性能。而且在成功解密样本文件之后，也有了一些发现。

而经过此前的分析，也发现了其中的执行文件和配置文件真正的执行顺序。该木马的执行流程实际上比较简单。每一级加载程序，会根据上述阐述的命名技术算法计算出来的哈希值，再以该哈希值定位执行下一级的加载程序。但整个执行必须依赖于第一级加载程序，否则恶意程序将终止运行。具体流程如下图，

第一级加载程序为整个木马的起点，其主要目的为促使受害者运行它。其中的方式也因攻击者设计的攻击路径不同而存在差异。例如可以通过伪装成U盘中的便携软件（也类似于绿色软件）的插件，利用便携软件的运行，从而执行第一级加载程序。于此同时，该加载程序也承担着检测木马是否从U盘中执行以及是否存在写的操作（因为payload会将窃取的数据存在在这里）。

第二级加载程序通过第一阶段的哈希值触发。随后，通过计算自身的哈希值，得出第一个配置文件（如上图）。其中配置文件包含了需验证的父进程的加密名称。而实际上这是一个反调试机制，如果在不同的父进程中运行，则会导致木马运行的终止。最后，第一个配置文件的哈希值被用来计算第三级加载程序的名称。

第三级加载器会执行防病毒检测，根据目前的检测发现，如果其检测到环境中有运行“avpui.exe”（卡巴斯基杀软进程）或“AVKTray.exe”（德国歌德塔杀软进程），执行将会被终止。

最后，由payload来完成数据窃取。该payload会被注入到一个新创建的名为“%windir%\system32\svchost.exe -k netsvcs” 的进程中，而在第二个配置文件中，包含了需收集何种数据，如何对数据进行加密以及数据存放位置（保证输出的目标地址在相同的USB设备上）等信息。

在一个分析的案例中，该木马中的payload被配置于窃取包括像图像或文档，整个windows注册表(HKCU)信息，当前所有驱动的文件列表等数据，并且用到了一个开源的应用程序（名为WinAudit）进行信息收集。最后，通过ECC椭圆加密算法来加密窃取数据，并将数据存储到指定位置。

针对该木马的特性，其作用的场景其实不仅仅只是包含上述提到的将U盘插入到电脑中，实现恶意感染这一场景。Gardoň提到，USB窃取者同样能将自身打包成常用的便携软件如Firefox, Chrome, TrueCrypt及Notepad++等软件的插件或扩展文件。攻击者再通过各种潜在的攻击路径，将该木马发送到受害者的U盘上，并将之作为U盘中的便携软件的插件伪装起来，通过受害者将木马转移到一个物理隔离的系统，并在使用便携软件时运行木马，这对于物理隔离的系统来说具备较大的威胁。

根据ESET安全研究人员Gardoň所说，

该木马如若进行重新设计，要将其中实施数据窃取的payload修改成其他类型的恶意payload，这对于攻击者来说也不会很困难。

目前该木马的检测名称如下，

payload: Win32/PSW.Stealer.NAI trojan

loaders : Win32/TrojanDropper.Agent.RFT trojan

解密文件的哈希值如下，

2C188C395AB32EAA00E6B7AA031632248FF38B2EB03ABE820C0517CCEF98BC1785B7FD4CDF95827866D169E1E503725A720D903E1DFAF456DB1727674B2C60D77915C5695EC9D3C4364E6CD6946BD33C76471B0F34ABB3C2530A16F39E10E4478CB6816D