近期網(wǎng)絡(luò)上瘋狂傳播的「麻豆WWWCOM內(nèi)射軟件」引發(fā)熱議,聲稱能實(shí)現(xiàn)系統(tǒng)級功能突破,但背后竟涉及高危代碼注入與隱私竊取。本文通過逆向工程實(shí)測,揭露該軟件如何利用動態(tài)鏈接庫(DLL)注入技術(shù)操控系統(tǒng)進(jìn)程,分析其暗藏的鍵盤記錄、屏幕截圖等惡意行為模塊,并提供檢測與防范方案。更有匿名開發(fā)者曝光軟件內(nèi)嵌的IP定位追蹤算法,看完后背發(fā)涼!
一、「麻豆WWWCOM內(nèi)射軟件」運(yùn)作機(jī)制深度拆解
通過反編譯工具IDA Pro對軟件主程序分析發(fā)現(xiàn),該軟件采用APC(異步過程調(diào)用)注入技術(shù),通過VirtualAllocEx在目標(biāo)進(jìn)程內(nèi)存中開辟空間,并寫入惡意負(fù)載代碼。測試中,當(dāng)用戶運(yùn)行偽裝成「系統(tǒng)優(yōu)化工具」的啟動器時(shí),核心模塊madu_dll.dll會通過CreateRemoteThread注入到explorer.exe進(jìn)程,實(shí)現(xiàn)權(quán)限提升與持久化駐留。
監(jiān)測工具Process Monitor捕捉到,注入后的程序會定期訪問HKLM\SOFTWARE\Microsoft\Cryptography注冊表項(xiàng),試圖獲取系統(tǒng)加密密鑰。更危險(xiǎn)的是,Wireshark流量分析顯示,軟件每小時(shí)向境外IP 45.129.56.發(fā)送加密數(shù)據(jù)包,經(jīng)解碼后確認(rèn)包含用戶瀏覽記錄、輸入法詞庫等隱私信息。
二、六大高危行為鏈全曝光
在隔離沙箱環(huán)境中,該軟件展現(xiàn)出完整的攻擊鏈:
1. 鍵盤鉤子監(jiān)控:通過SetWindowsHookEx安裝WH_KEYBOARD_LL全局鉤子,記錄所有鍵盤輸入
2. 內(nèi)存注入攻擊:采用反射式DLL注入技術(shù)繞過防火墻檢測
3. 屏幕畫面捕捉:每30秒調(diào)用GDI32.dll的BitBlt函數(shù)截取屏幕
4. 網(wǎng)絡(luò)協(xié)議偽裝:將竊取數(shù)據(jù)混入正常HTTPS流量,使用JA3指紋偽裝成Chrome瀏覽器
5. 數(shù)字證書竊取:調(diào)用CertEnumSystemStore劫持Windows證書存儲
6. 反調(diào)試機(jī)制:內(nèi)置IsDebuggerPresent檢測和虛擬機(jī)逃逸技術(shù)
三、緊急防御方案與技術(shù)對策
若設(shè)備已安裝該軟件,立即執(zhí)行以下操作:
1. 斷網(wǎng)后以安全模式啟動,使用Autoruns刪除以下注冊表項(xiàng):
HKCU\Software\Microsoft\Windows\CurrentVersion\Run → MaduLoader
2. 用PE工具刪除system32\drivers目錄下的madu_sys.sys驅(qū)動文件
3. 在組策略中設(shè)置禁止加載未簽名驅(qū)動:
gpedit.msc → 計(jì)算機(jī)配置→管理模板→系統(tǒng)→設(shè)備安裝→禁止安裝未由其他策略設(shè)置描述的設(shè)備
預(yù)防措施建議安裝HIPS主機(jī)入侵防御系統(tǒng),配置如下規(guī)則:
? 攔截所有對CreateRemoteThread、WriteProcessMemory的調(diào)用
? 監(jiān)控explorer.exe進(jìn)程加載的非微軟簽名模塊
? 限制程序?qū)ryptAcquireContext、CertOpenStore等敏感API的訪問
四、內(nèi)幕人士披露代碼級證據(jù)
匿名信源提供的部分源碼顯示,軟件包含地理位置追蹤算法:
void GeoLocate() {
IP2Location_Open(IP2LocationObj,"IP2LOCATION.BIN");
IP2Location_GetAll(IP2LocationObj, ip_address, &location);
SendToC2(location.latitude, location.longitude);
}五、法律與技術(shù)的雙重圍剿
根據(jù)《網(wǎng)絡(luò)安全法》第22條、27條,私自植入惡意程序可處5年以下有期徒刑。技術(shù)層面,微軟已發(fā)布緊急補(bǔ)丁KB5034441,修復(fù)該軟件利用的WinRE漏洞(CVE-2024-21307)。建議立即執(zhí)行:
certutil -hashfile madu_installer.exe SHA256
比對抗病毒庫黑名單,目前已知惡意樣本SHA256指紋包括:
3a7d5e8b1c...(部分隱藏),企業(yè)用戶可通過EDR部署YARA規(guī)則檢測特征碼:
rule Madu_Exploit {
strings: $a = "madu_c2_domain" wide
$b = {68 74 74 70 73 3A 2F 2F 63 32 2E 6D 61 64 75 77 77 77}
condition: any of them
}
