梦入神机,好看的课外书,有声小说下载

新聞資訊

最新資訊

聯(lián)系我們

手機(jī)：13714172796
郵箱：[email protected]
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

成熟后門身披商業(yè)外衣，對抗殺軟實現(xiàn)遠(yuǎn)控

近期，火絨威脅情報中心監(jiān)測到一個名為“企業(yè)智能化服務(wù)平臺” 網(wǎng)頁上托管的文件存在惡意行為，火絨安全工程師第一時間提取樣本進(jìn)行分析。分析中發(fā)現(xiàn)樣本為易語言編寫的成熟后門，能根據(jù) C2 指令實現(xiàn)對受害者機(jī)器的完全控制。除此之外，它還會檢測受害者機(jī)器中殺軟的安裝情況進(jìn)行對抗，上傳受害者系統(tǒng)中相關(guān)信息，并設(shè)立開機(jī)啟動項進(jìn)行持久化駐留等。目前，火絨安全產(chǎn)品可對上述病毒進(jìn)行攔截查殺，請廣大用戶及時更新病毒庫以提高防御能力。

觀察到樣本來源頁面如下圖所示。打開該網(wǎng)頁后會自動下載一個名為 "合同.rar" 的文件到本地。解壓運(yùn)行該文件后，會從內(nèi)存中解密多個子文件進(jìn)行加載和釋放，最終運(yùn)行易語言遠(yuǎn)控代碼，實現(xiàn)對受害者機(jī)器的完全訪問控制。此外，根據(jù)火絨威脅情報系統(tǒng)顯示，該后門還會偽裝成其它商業(yè)文件進(jìn)行傳播，觀察到的其偽裝的文件名有 “supe-告知函.exe”、“電子合同.xls” 等。

網(wǎng)頁界面

樣本執(zhí)行流程如下所示：

樣本執(zhí)行流程圖

一、樣本分析

從 “合同.rar” 中解壓出來 “合同.exe” ，該程序為易語言編寫的引導(dǎo)程序：

易語言入口點(diǎn)

“合同.exe” 執(zhí)行時，會先檢查 “tomcat.exe” 進(jìn)程是否存在?！皌omcat.exe” 進(jìn)程實際上是下一階段惡意代碼的執(zhí)行文件。如果存在，則直接結(jié)束該進(jìn)程：

檢查 tomcat.exe 進(jìn)程

接著解密出 “360tray.exe” 字符串，并繼續(xù)查看“tomcat.exe” 進(jìn)程是否存在。如果不存在，就直接釋放下一階段 payload；如果存在，則進(jìn)一步解密密文，檢測殺軟數(shù)量，當(dāng)只有 “360tary.exe” 一個殺軟時，繼續(xù)釋放 payload：

檢測 360tray.exe 并釋放 payload

密文對應(yīng)的殺軟列表

但當(dāng)殺軟數(shù)量不止一個時，“合同.exe” 程序則會進(jìn)一步執(zhí)行驅(qū)動對抗操作。該程序首先會獲取本地網(wǎng)絡(luò)適配器信息以禁用無線網(wǎng)卡：

獲取網(wǎng)絡(luò)適配器信息

接著檢查 "ZhuDongfangYu.exe" 進(jìn)程是否存在。如果存在，則解密并釋放 "C:\g.sys"、"C:\y.sys"、"C:\all.exe" 3 個文件運(yùn)行以進(jìn)行驅(qū)動對抗操作，然后繼續(xù)釋放并執(zhí)行下一階段 payload：

驅(qū)動對抗操作

其中，釋放文件中的"all.exe" 程序，根據(jù)字符串信息可以確認(rèn)其來自于開源項目 RealBlindingEDR（https://github.com/myzxcg/RealBlindingEDR），該開源項目以分享對抗 AV/EDR 的技術(shù)為主。此外，文件中的 "g.sys" 和 "y.sys" 也是該項目相關(guān)文件，在此不做詳細(xì)分析：

all.exe 界面信息

RealBlindingEDR 項目截圖

釋放下一階段 payload 行為分析：

釋放的下一階段 payload 文件有兩個。首先釋放的是 conf.ini 文件，該文件中會寫入由當(dāng)前執(zhí)行文件路徑轉(zhuǎn)換而成的密文：

釋放 conf.ini

conf.ini 內(nèi)容展示

接著解密出另一個可執(zhí)行文件 "tomcat.exe"，第一次解密得到的字節(jié)碼還要通過內(nèi)存遍歷，用指定的密文替換 tomcat.exe 中作為占位符的 "kkk" 字符串：（根據(jù)后面的分析可知，該指定密文為要連接的 C2 IP）

解密字節(jié)碼并替換

替換內(nèi)容

最后啟動 "tomcat.exe" 進(jìn)程，開啟下一階段操作：

啟動 "tomcat.exe" 進(jìn)程

釋放文件列表

tomcat.exe ：

"tomcat.exe" 也是由易語言編寫的程序，但由黑月編譯器進(jìn)行編譯：

入口點(diǎn)截圖

該程序會在前期初始化階段解密出 E_Loader.dll 和 HP-Socket 等 dll 用于內(nèi)部加載以實現(xiàn)第三方功能。根據(jù) HP-Socket 官網(wǎng)介紹，其中的 HP-Socket 為高性能網(wǎng)絡(luò)通信框架，同時它為易語言的編程語言提供接口。

軟件簡介

在執(zhí)行過程中 "tomcat.exe" 會開啟 3 個主要線程：

第一個線程用于獲取父文件釋放的 "conf.ini" 中的路徑密文，此線程對密文進(jìn)行解密后刪除文件以銷毀痕跡：

讀取 conf.ini 配置

第二個線程用于開啟網(wǎng)絡(luò)連接，此線程解密父文件替換進(jìn)來的密文為IP，調(diào)用 HP-Socket 組件中 HP_Client_Start 接口進(jìn)行網(wǎng)絡(luò)開啟連接：

開啟連接

第三個進(jìn)程用于檢測殺軟、設(shè)立開機(jī)啟動的快捷鍵，同時檢測系統(tǒng)是否進(jìn)入鎖屏狀態(tài)，如果是的話則不進(jìn)行其它操作：

鎖屏檢測

其中，包含的檢測本地殺軟和設(shè)立快捷鍵的具體邏輯如下。首先根據(jù)指定密文解密出殺軟列表，后續(xù)操作過程中會遍歷列表中的殺軟進(jìn)程，當(dāng)殺軟進(jìn)程數(shù)量小于等于 4 時，該進(jìn)程就會在啟動目錄下創(chuàng)建 WPS.lnk 鏈接進(jìn)行駐留：

獲取殺軟列表

進(jìn)程遍歷

釋放快捷方式

另外，除了前面提到的設(shè)立 3 個主要線程外，在操作 HP-Socket 庫時， "tomcat.exe" 還會傳入函數(shù)和是否啟動的 flag 標(biāo)志位，然后根據(jù)邏輯條件將 flag 標(biāo)志位作為 HP-Socket 的回調(diào)函數(shù)進(jìn)行執(zhí)行：

回調(diào)函數(shù)設(shè)置

第一主要的回調(diào)函數(shù)是用于 HP_Set_FN_Client_OnHandShake 的，該函數(shù)在收集用戶本地殺軟及系統(tǒng)信息后，將信息進(jìn)行上傳：

獲取系統(tǒng)信息

第二個主要回調(diào)函數(shù)是用于 HP_Set_FN_Server_OnReceive 的，該函數(shù)是成熟的后門模塊，會根據(jù)服務(wù)端回傳指令實現(xiàn)具體控制，具體行為類別如下圖所示：

二、附錄

C&C：

HASH：

全國統(tǒng)一服務(wù)熱線

友情鏈接