近期網(wǎng)絡(luò )上瘋狂傳播的「麻豆WWWCOM內射軟件」引發(fā)熱議,聲稱(chēng)能實(shí)現系統級功能突破,但背后竟涉及高危代碼注入與隱私竊取。本文通過(guò)逆向工程實(shí)測,揭露該軟件如何利用動(dòng)態(tài)鏈接庫(DLL)注入技術(shù)操控系統進(jìn)程,分析其暗藏的鍵盤(pán)記錄、屏幕截圖等惡意行為模塊,并提供檢測與防范方案。更有匿名開(kāi)發(fā)者曝光軟件內嵌的IP定位追蹤算法,看完后背發(fā)涼!
一、「麻豆WWWCOM內射軟件」運作機制深度拆解
通過(guò)反編譯工具IDA Pro對軟件主程序分析發(fā)現,該軟件采用APC(異步過(guò)程調用)注入技術(shù),通過(guò)VirtualAllocEx在目標進(jìn)程內存中開(kāi)辟空間,并寫(xiě)入惡意負載代碼。測試中,當用戶(hù)運行偽裝成「系統優(yōu)化工具」的啟動(dòng)器時(shí),核心模塊madu_dll.dll會(huì )通過(guò)CreateRemoteThread注入到explorer.exe進(jìn)程,實(shí)現權限提升與持久化駐留。
監測工具Process Monitor捕捉到,注入后的程序會(huì )定期訪(fǎng)問(wèn)HKLM\SOFTWARE\Microsoft\Cryptography注冊表項,試圖獲取系統加密密鑰。更危險的是,Wireshark流量分析顯示,軟件每小時(shí)向境外IP 45.129.56.發(fā)送加密數據包,經(jīng)解碼后確認包含用戶(hù)瀏覽記錄、輸入法詞庫等隱私信息。
二、六大高危行為鏈全曝光
在隔離沙箱環(huán)境中,該軟件展現出完整的攻擊鏈:
1. 鍵盤(pán)鉤子監控:通過(guò)SetWindowsHookEx安裝WH_KEYBOARD_LL全局鉤子,記錄所有鍵盤(pán)輸入
2. 內存注入攻擊:采用反射式DLL注入技術(shù)繞過(guò)防火墻檢測
3. 屏幕畫(huà)面捕捉:每30秒調用GDI32.dll的BitBlt函數截取屏幕
4. 網(wǎng)絡(luò )協(xié)議偽裝:將竊取數據混入正常HTTPS流量,使用JA3指紋偽裝成Chrome瀏覽器
5. 數字證書(shū)竊取:調用CertEnumSystemStore劫持Windows證書(shū)存儲
6. 反調試機制:內置IsDebuggerPresent檢測和虛擬機逃逸技術(shù)
三、緊急防御方案與技術(shù)對策
若設備已安裝該軟件,立即執行以下操作:
1. 斷網(wǎng)后以安全模式啟動(dòng),使用Autoruns刪除以下注冊表項:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run → MaduLoader
2. 用PE工具刪除system32\drivers目錄下的madu_sys.sys驅動(dòng)文件
3. 在組策略中設置禁止加載未簽名驅動(dòng):
gpedit.msc → 計算機配置→管理模板→系統→設備安裝→禁止安裝未由其他策略設置描述的設備
預防措施建議安裝HIPS主機入侵防御系統,配置如下規則:
? 攔截所有對CreateRemoteThread、WriteProcessMemory的調用
? 監控explorer.exe進(jìn)程加載的非微軟簽名模塊
? 限制程序對CryptAcquireContext、CertOpenStore等敏感API的訪(fǎng)問(wèn)
四、內幕人士披露代碼級證據
匿名信源提供的部分源碼顯示,軟件包含地理位置追蹤算法:
void GeoLocate() {
IP2Location_Open(IP2LocationObj,"IP2LOCATION.BIN");
IP2Location_GetAll(IP2LocationObj, ip_address, &location);
SendToC2(location.latitude, location.longitude);
}五、法律與技術(shù)的雙重圍剿
根據《網(wǎng)絡(luò )安全法》第22條、27條,私自植入惡意程序可處5年以下有期徒刑。技術(shù)層面,微軟已發(fā)布緊急補丁KB5034441,修復該軟件利用的WinRE漏洞(CVE-2024-21307)。建議立即執行:
certutil -hashfile madu_installer.exe SHA256
比對抗病毒庫黑名單,目前已知惡意樣本SHA256指紋包括:
3a7d5e8b1c...(部分隱藏),企業(yè)用戶(hù)可通過(guò)EDR部署YARA規則檢測特征碼:
rule Madu_Exploit {
strings: $a = "madu_c2_domain" wide
$b = {68 74 74 70 73 3A 2F 2F 63 32 2E 6D 61 64 75 77 77 77}
condition: any of them
}
