微信公众号:Antiylab

0x00 背景

近期，安天安全研究与应急处理中心（安天CERT）的安全研究人员在跟踪分析HaveX家族样本的过程中，意外地发现了Rovnix家族（Trojan/Win32.Rovnix）在建立其恶意代码下载服务器时，也开始使用类似HaveX的方式，即：使用WordPress搭建的网站，或入侵第三方由WordPress搭建的正常网站（HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的）。因此，安天CERT 的研究人员对Rovnix家族展开分析。

0x01 威胁概述

图 1 威胁图示

Rovnix 家族于2011年首次被发现，至今依然十分活跃。该家族恶意代码插件众多，具有反调试、反虚拟机、反沙箱、安装VBR-BootKit（VBR全称Volume Boot Record，卷引导记录）等技术手段，同时具有收集用户信息、盗取比特币、盗取银行密码、远程控制等功能。

该家族主要通过电子邮件传播，通过诱使用户点击邮件正文中的链接地址下载Rovnix主程序（安天CERT迄今共发现了300多个恶意代码下载地址）。主程序在执行后会搜集、回传用户系统信息，其中，信息回传地址以硬编码形式加密保存在主程序内部。随后，主程序根据GDA（Domain Generation Algorithm）计算出配置文件的下载地址。配置文件使用RC2算法加密，每个配置文件功能各不相同。例如：配置文件Host.dat存放插件下载服务器地址。主程序根据当前系统版本下载对应的插件列表，再下载该插件列表中的恶意插件，这些插件即是上述具有安装洋葱（Tor）客户端、盗取比特币、盗取银行密码、远程控制等功能的插件。

0x02. 样本功能分析

2.1 主程序分析

样本标签

病毒名称 Trojan/Win32.Rovnix  MD5 6EB761EA46A40AD72018D3CEE915C4CD  处理器架构 X86-32  文件大小 207960  字节  文件格式 BinExecute/Microsoft.EXE[:X86]  时间戳 2015-05-11 10:40:37  数字签名 NO  加壳类型 无  编译语言 Microsoft Visual C++  VT首次上传时间 2015-05-11 14:33:00  VT检测结果 32 / 56 

Rovnix主程序的主要功能是回传用户系统信息、释放其他插件、安装Bootkit以及加载插件。

图 2 主程序流程图

1、样本运行后首先解密出自身代码，将地址401000处的数据清0，再重新写入解密后的代码。

图3 解密自身代码

2、进入代码空间后，使用Xor 0x14h解密对应的字符串。

3、随后检测样本运行环境，包括是否运行于虚拟机环境、沙箱环境。样本使用的异常处理机制并非常见的SHE（Structure Exception Handler，结构化异常处理），而且采用了VEH（Vectored Exception Handler，向量化异常处理）。样本检测当前运行环境是否支持脚本语言（如：Python、perl等），并检查样本执行路径及文件名中，是否包含sample、virus等字样（这通常是反病毒厂商在其动态分析平台所使用的文件名），从而判断是否运行于恶意代码分析环境。同时，这些环境信息也会上传到C&C服务器。

4、该样本随后执行提权（WIN7利用漏洞提权、XP利用普通提权）、复制自身到其他目录、修改文件时间、自删除、检测反病毒软件、回传系统信息、安装VBR-BootKit等一系列操作。

5、样本运行后会释放4个文件：

%Application Data%/Microsoft/Crypto/RSA/RSA1342183348.dll payload文件  %Temp%/tmp1.tmp.exe 正常文件contig.exe  %system32%/BOOT.dat BOOT加密引导数据  %Temp%/NTFS.sys 正常引导文件 

RSA1342183348.dll是payload程序。样本会将文件时间修改为系统文件svchost.exe的时间（即系统安装时间），添加注册表启动项，利用rundll32.exe加载并启动，而它的启动参数是利用内核驱动模式加载的“DllInitialize”参数。

RSA1342183348"="C://WINDOWS//system32//rundll32.exe /"C://Documents and Settings//”用户目录”//Application Data//Microsoft//Crypto//RSA//RSA1342183348.dll/",DllInitialize" 

tmp1.tmp.exe是微软Contig程序，当样本因为卷没有足够的自由空间导致安装VBR-BootKit失败时，它将运行Contig.exe程序来调整文件数据。

注：Contig是一个单个文件碎片整理程序，其目的是使磁盘上的文件保持连续。对于持续被碎片化的文件，或者如果您希望确保碎片数量尽量少，它可以完美地迅速优化文件。

恶意代码释放Contig V1.7版本使用如下静默方式运行，整理%system32%/BOOT.dat文件碎片，执行命令为：

Tmp1.tmp.exe -q -n "C:/WINDOWS/system32/BOOT.dat" 256000 

Rovnix的关键功能是安装内核模式文件VBR-BootKit。样本判断系统是否存在加密软件，决定是否安装BootKit并执行，检查系统是否使用BitLocker加密，遍历进程查看是否有TrueCrypt.exe和VeraCrypt.exe（这两个进程都是加密软件），如果Rovnix发现系统使用上述加密，它将不安装BootKit，未发现则安装VBR-BootKit。如果Rovnix成功安装VBR-BootKit，会产生蓝屏，并导致系统重新启动；安装VRB-BootKit失败，则加载Payload程序。

6、Rovnix连接网络，下载文件，下载地址已经失效：

http://heckwassleftran.ru/R3_QACBABON/up.bin

C&C：

http://heckwassleftran.ru/cgi-bin/050515/post.cgi

3.2 插件分析

安天CERT研究人员对Rovnix的插件进行分析，发现若干其他插件，这些插件均从相关恶意服务器下载执行，其中包括具有TOR功能的洋葱匿名网络服务的客户端程序、后门程序、驱动程序、虚拟网络等，详情见如下列表：

插件名称 插件功能

PLTOR 洋葱（Tor）客户端，可以用来进行匿名访问网络，更好的隐藏自身。  ReactorDll 该模块具有后门功能，收集系统信息进行回传，使用POST方式与服务器进行通信，接收指令并执行。如：cookie删除、开启VNC、开启socket通信等等。  BkSetup.dll 获取系统版本，提升进程权限，然后在系统中安装后门模块，并设置自启动，当所有操作完成后，进行自删除。  XX++.dll 该模块与Payload功能相同，是Rovnix早期版本的Payload文件。  LdrLoadDll 该模块为64位驱动程序。用来检测系统中是否存在杀毒软件，主要功能是加载DLL模块，并调用其导出函数。  PROXY_BOT BOT后门模块，获取系统详细版本信息，使用HTTP、FTP多种方式与服务器进行通信，可用来执行多种命令。  PLVNC 该模块可以用来对机器进行远程控制，可以获取屏幕截图、系统信息，并对系统进程多种操作。  Payload 该模块在前面有比较详细的分析，主要功能是下载其它模块，并在内存中进行加载执行，添加自启动项等。  loader32.bin 收集系统信息，使用HTTP POST的方式与服务器进行通信，加载配置文件，根据配置文件，执行相应的操作。 

Rovnix的插件较多，目前安天CERT研究人员仅对以上9个重要插件进行了初步的定性分析。并对Payload进行了较详细的分析。

2.3 Payload插件分析

样本标签

病毒名称     Trojan[Downloader]/Win32.Rovnix  原始文件名 RSA2095805845.dll  MD5 DED8BB2AD12B2317F1DB3265B003DCB5  处理器架构 X86-32  文件大小 79872 字节  文件格式 BinExecute/Microsoft.EXE[:X86]  时间戳 2015-06-19 10:50:15  数字签名 NO  加壳类型 无  编译语言 Microsoft Visual C++  VT首次上传时间 2015-06-25 15:02:31  VT检测结果 31 / 55 

该插件为主程序释放的DLL插件，该DLL将大量字符串与API进行加密处理，解密后的主要功能包括更新C&C地址、创建命名管道、下载更多插件等。详细分析流程图与描述如

1、解密字符串：样本运行后首先将该样本中所使用到的系统中的DLL、要操作的注册表键值、进程名称均使用异或0x14的方式进行了加密。其中，对于窄字节形式字符串，将以BYTE为单位异或0x14，对于宽字节形式字符串将以WORD为单位异或0x14。

2、随后样本创建线程，进行加载样本进程的判断，并置位对应的内存标志，样本判断如下4个加载自身的程序。

进程名称     标志位   winlogon.exe 0x7601634C   svchost.exe 0x76016348  explorer.exe 0x76016350  rundll32.exe 0x76016354 

对不同的加载程序，做相应的处理，如：在线程1中，若样本运行在svchost.exe或rundll32.exe进程中，会调用SetErrorMode(0x8003)设置系统不显示Windows的多种错误对话框，隐藏运行。如果不是上述4种中的一种加载自身，则进程退出。

3、样本获取系统文件路径并提取卷标、磁盘类型等信息。如果样本是NTFS类型，则置位76016344内存为1

并根据磁盘信息创建互斥量字符串

互斥量的组成Global/BD（文件系统类型/卷序列号），如：Global/BDNTFS816090805。

4、样本创建线程2，进行临时文件夹下的文件删除操作。目的是删除主程序释放的盗取系统信息的临时文件。

5、随后样本进入主要功能阶段，创建了三个线程：

线程3：

样本会遍历注册表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run中的所有模块，查看当前模块是否存在，如果不存在，则会添加到启动项中。

线程4： 通过创建命名管道的方式与其他恶意进程进行通信。

管道的命名也与卷序列号有关，./pipe/vhost（卷序列号），如：./pipe/vhost816090805

线程5：

线程5的主要作用是更新C&C服务器并下载插件执行。

在样本中C&C域名有3个，均经过异或0x14后，键名称分别为：SH1、SH2、SH3，保存到注册表中，地址为：HKCU（或HKLM）/Software/Microsoft/Product/B（卷序列号）。样本读取该键值，判断是否有数据，如果有，则更新到样本中；如果没有，则使用样本中硬编码的三个C&C域名。当连网获取到新的C&C后，会更新到注册表中。

根据GDA解密后的域名：

cloud58.eu aszjhqhsbgsvcse4.onion cloud59.eu 

2.4 Yara规则提取（payload）

通过安天CERT提取的Payload插件相应特征，编写Payload Yara规则如下：

rule Rovnix_Payload_Plugins  { meta: author = " AntiyCert" date = "2015/07/20" ref = "http://www.antiy.com" maltype = "Rovnix_Payload_Plugins" filetype = "dll"          strings: $PE32 = {55 8B EC 83 EC 08 C7 45 FC 00 00 00 00 8B 45 08 0F BE 08 89 4D F8 8B 55 08 83 C2 01 89 55 08 83 7D F8 00 74 0B 8B 45 FC 83 C0 01 89 45 FC EB DD 8B 45 FC 8B E5 5D C3} $PE64 = {48 89 4c 24 08 48 83 ec 18 48 c7 44 24 08 00 00 00 00 48 8b 44 24 20 0f be 00 89 04 24 48 8b 44 24 20 48 ff c0 48 89 44 24 20 83 3c 24 00 74 0f 48 8b 44 24 08 48 ff c0 48 89 44 24 08 eb d3 48 8b 44 24 08 48 83 c4 18 c3} condition: 1 of them } 

0x03 传播URL分析

2015年，安天CERT共发现了300多个恶意代码下载地址，URL对应的IP地理位置涉及34个国家，其中数量最多的国家是美国，占总数量的一半以上。这些URL有一个共同的特点，如下图所示

图 7 Rovnix下载地址结构

与此同时，安天CERT又发现了另一个家族的样本也是使用类试的URL结构形式如下图：

图8 另一个家族的地址结构

从URL结构上来看，两个家族之间是有一定联系的，都是通过邮件正文中的链接点击下载并执行，并且从传播时间上看也都是在2015年开始出现。

通过以上统计出的URL地址，安天CERT联想到了2014年出现的APT事件Havex，Havex的C&C服务器都是通过入侵由WordPress搭建的正常网站得到的。Rovnix中也有一部分的URL下载地址是入侵WordPress 搭建的正常网站得到的。Rovnix在后期回传数据时用使用了其它的C&C服务地址。

注：WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站，也可以把 WordPress当作一个内容管理系统（CMS）来使用。

0x04 总结

Rovnix是一个喜欢使用冷门技术的恶意代码家族，具有如下特性：它喜欢使用VEH异常处理机制，BootKit使用的是VBR-BootKit；支持众多的Windows版本，根据环境投放32位或64位的插件；定制化的插件支持多种恶意功能。这些特性让安天CERT的研究人员将其归类为专业化的攻击平台，是有可能被用来进行定向攻击的武器之一。

PS:插件Hash列表见原文

博文地址: http://www.antiy.com/response/ROVNIX.html