最新国产福利在线_午夜国产日韩欧美一区_国产精品青青在线观看爽_日本免费自拍亚洲_亚洲第一无码在线观看_色噜噜狠狠爱综合视频_亚洲av免费观看在新更新_久久久免费观成人影院_别揉我奶头~嗯~啊~少妇视频_福利视频一区二区牛牛

新聞資訊
行業(yè)動(dòng)態(tài)

首頁 > 行業(yè)動(dòng)態(tài)

火絨華南銷售及服務(wù)中心| 釣魚網(wǎng)頁散播銀狐木馬,遠(yuǎn)控后門威脅終端安全
在當(dāng)今網(wǎng)絡(luò)環(huán)境下,許多人都有通過搜索引擎下載應(yīng)用程序的習(xí)慣,雖然這種方式簡單又迅速,但這也可能被不法分子所利用,通過設(shè)置釣魚網(wǎng)站來欺騙用戶。這些釣魚網(wǎng)站可能會(huì)通過各種方式吸引用戶點(diǎn)擊,從而進(jìn)行病毒的傳播,危害個(gè)人或企業(yè)的信息安全。

我們期望本篇文章有助于幫助您提高網(wǎng)絡(luò)安全防范意識(shí),通過官方正規(guī)的渠道下載軟件。  
圖片

近期,火絨威脅情報(bào)中心監(jiān)測(cè)到一批更加活躍的“銀狐”系列變種木馬,該木馬就是主要通過釣魚網(wǎng)頁進(jìn)行傳播?;鸾q安全產(chǎn)品能夠有效識(shí)別通過網(wǎng)頁下載的釣魚惡意樣本,保障用戶系統(tǒng)的安全,請(qǐng)火絨的廣大用戶及時(shí)更新病毒庫以提高防御能力。   
圖片
查殺圖

火絨工程師對(duì)樣本的分析過程中,發(fā)現(xiàn)惡意攻擊者會(huì)將釣魚網(wǎng)頁進(jìn)行合法備案,偽裝成正規(guī)網(wǎng)站,并借助搜索引擎的廣告推廣機(jī)制提高搜索結(jié)果排名,由于合法備案增加了網(wǎng)站的可信度,導(dǎo)致用戶很容易對(duì)惡意網(wǎng)站產(chǎn)生信任。并且,惡意網(wǎng)頁可通過支付推廣費(fèi)用獲得較高的曝光率和排名,從而誘騙用戶點(diǎn)擊釣魚網(wǎng)頁,下載并運(yùn)行病毒樣本。
圖片    
圖片

該樣本利用系統(tǒng)特性實(shí)現(xiàn)持久化,并通過“白加黑”技術(shù)釋放惡意文件,從而部署 WinOs 遠(yuǎn)控后門。
          
樣本執(zhí)行流程圖如下:
圖片    
流程圖
          
一、樣本分析
樣本信息:
該樣本是一個(gè)惡意的 MSI 安裝程序,內(nèi)含 WinOs 后門病毒,其惡意代碼通過加密方式嵌入 PNG 圖片,并利用隱寫技術(shù)隱藏在圖片文件中。執(zhí)行后,惡意代碼會(huì)被解壓并釋放到公共文檔之中,利用 COM 組件創(chuàng)建快捷方式,實(shí)現(xiàn)全白進(jìn)程鏈,之后釋放Registry Workshop(注冊(cè)表管理工具),利用.reg配置文件實(shí)現(xiàn)后門持久化,進(jìn)而監(jiān)控用戶電腦的活動(dòng),在用戶無感情況下,持續(xù)獲取信息并執(zhí)行惡意操作。

樣本執(zhí)行:

一階段:loader釋放病毒載體   

初始樣本利用 MSI 安裝程序來釋放包含病毒的加密壓縮包和正常安裝包。利用 msiexec 的 CustomAction 特性,加載并調(diào)用惡意 DLL 導(dǎo)出函數(shù),從而解壓并執(zhí)行被隱藏的惡意文件:
C:\Users\Public\Documents\down.exe
C:\Users\Public\Documents\libcef.dll
C:\Users\Public\Documents\aut.png
C:\Users\Public\Documents\view.png       
首先,對(duì)初始樣本 demo.exe 進(jìn)行深入分析,樣本是一個(gè) MSI 安裝程序,通過Orca工具查看 MSI 結(jié)構(gòu),發(fā)現(xiàn)其 CustomAction 表中存在一個(gè)名為 CallFunctionFromDLL 的執(zhí)行動(dòng)作,該動(dòng)作指示安裝程序?qū)⒓虞d名為 ziplib.dll 的動(dòng)態(tài)鏈接庫,并調(diào)用zipcom導(dǎo)出函數(shù)。
圖片

在對(duì)該 MSI 安裝程序進(jìn)行解包后,發(fā)現(xiàn)以下幾個(gè)文件:

  • 正常安裝包:包含 ToDesk 和好壓壓縮軟件的正常安裝包。
  • 惡意 DLL 文件:ziplib.dll
  • 加密病毒文件:all.zip,加密壓縮包含加密的白加黑文件、圖片惡意文件。

ziplib.dll 采用填充臟數(shù)據(jù)的方式擴(kuò)大體積,將文件大小擴(kuò)展至 245MB,防止文件被上傳,并試圖繞過云查殺的檢測(cè)機(jī)制。在 MSI 安裝過程中,惡意代碼會(huì)默認(rèn)將 all.zip 解壓并釋放到受害者的系統(tǒng)目錄:C:\Users\Public\Documents。   
圖片
圖片

對(duì) ziplib.dll 進(jìn)行靜態(tài)分析,發(fā)現(xiàn)其執(zhí)行過程包含多個(gè)惡意行為和虛擬機(jī)檢測(cè):
1.系統(tǒng)文件夾目錄獲取
ziplib.dll 嘗試獲取系統(tǒng)文件夾目錄。若獲取失敗,則使用 GUID 生成臨時(shí)路徑標(biāo)識(shí)符,確保能夠繼續(xù)執(zhí)行后續(xù)操作。   
2.解壓 all.zip 文件
ziplib.dll 使用密碼hello202411對(duì) C:\Users\Public\Documents\all.zip 文件進(jìn)行解壓。
3.環(huán)境檢測(cè)
在解壓后,ziplib.dll 會(huì)執(zhí)行一系列環(huán)境檢測(cè):

  • 父進(jìn)程檢查:檢測(cè)當(dāng)前進(jìn)程的父進(jìn)程是否是 msiexec.exe(即 MSI 安裝程序的解釋器)。
  • 虛擬機(jī)檢測(cè):通過獲取系統(tǒng)的 CPU 核心數(shù),檢測(cè)到的核心數(shù)是否大于 2。

4.執(zhí)行惡意文件
ziplib.dll 通過 WinExec 調(diào)用執(zhí)行解壓后的白加黑惡意文件,進(jìn)一步發(fā)動(dòng)惡意行為。
圖片   

圖片圖片圖片


對(duì) all.zip 文件進(jìn)行解壓后,發(fā)現(xiàn)病毒利用“白加黑”技術(shù)執(zhí)行惡意代碼。解壓后的文件包括以下關(guān)鍵組件:
1.libcef.dll(惡意 DLL 文件)    
libcef.dll 是一個(gè)惡意動(dòng)態(tài)鏈接庫,同樣采用填充臟數(shù)據(jù)增大體積的方式,將文件大小膨脹防止木馬被上傳,繞過云查殺的檢測(cè)。
2.down.exe(白文件)
圖片

對(duì)libcef.dll進(jìn)行靜態(tài)分析,發(fā)現(xiàn)其初始時(shí)會(huì)通過 Patch 系統(tǒng) ntdll.dll 修正其在 DllMain 函數(shù)中的線程死鎖問題,隨后會(huì)檢查啟動(dòng)命令行參數(shù)是否包含 /aut:

  • 若命令行包含 /aut,則通過 aut.png 圖片隱寫技術(shù),將惡意代碼加載到內(nèi)存中,并執(zhí)行持久化操作。
  • 若命令行不包含 /aut,則會(huì)主動(dòng)添加 /aut 參數(shù)并創(chuàng)建新的進(jìn)程,以此方式啟動(dòng)白文件 down.exe,并繼續(xù)執(zhí)行持久化操作。

在啟動(dòng)過程中,libcef.dll 還會(huì)檢測(cè)目標(biāo)系統(tǒng)是否存在殺毒軟件:   

  • 若檢測(cè)到殺軟,則通過 view.png 圖片隱寫惡意代碼,將后門功能加載到內(nèi)存中,執(zhí)行后門功能。
  • 若未檢測(cè)到殺軟,則通過遠(yuǎn)程線程注入到 colorcpl.exe 系統(tǒng)進(jìn)程,實(shí)現(xiàn)后門功能。

圖片

詳細(xì)分析如下:
libcef.dll 首先通過調(diào)用 RtlLeaveCriticalSection 函數(shù)對(duì) LoaderLock 臨界區(qū)進(jìn)行釋放,同時(shí)通過特征碼搜索的方式對(duì)系統(tǒng)的加鎖機(jī)制進(jìn)行 patch修改,解決 Dllmain 線程死鎖問題。   
圖片

執(zhí)行命令行參數(shù)檢查,對(duì)比命令行是否存在 /aut 參數(shù),如果存在則通過 fn_regedit 函數(shù)將白文件 down.exe 路徑寫入注冊(cè)表 HKEY_CURRENT_USER\SOFTWARE\\DICKEXEPATH 位置。
圖片    
圖片

隨后通過 fn_persistent 函數(shù)內(nèi)存加載 aut.png 中的惡意代碼實(shí)現(xiàn)持久化操作。
圖片

aut.png 圖片文件(輔助數(shù)據(jù)塊的格式中存儲(chǔ)PE惡意代碼)。   
圖片
圖片

如果命令行參數(shù)不存在 /aut,則調(diào)用 fn_exec_aut 函數(shù)增加 /aut 參數(shù)再次啟動(dòng)進(jìn)程,執(zhí)行權(quán)限維持操作。   
圖片

通過判斷是否存在殺軟路徑,決定注入方式:注入自身進(jìn)程或注入系統(tǒng) colorcpl.exe 進(jìn)程中。
圖片

其中注入自身與權(quán)限維持操作是相同的,以下是線程注入系統(tǒng) colorcpl.exe 進(jìn)程過程。
圖片    
          

二階段:COM組件權(quán)限維持持久化   

樣本加載 aut.png 中的惡意代碼,通過惡意代碼利用 COM 組件創(chuàng)建多個(gè)快捷方式,并釋放 Registry Workshop 注冊(cè)表管理工具。接著,樣本利用該注冊(cè)表管理工具創(chuàng)建reg格式注冊(cè)表配置文件并通過快捷方式附加參數(shù)reg配置文件路徑,實(shí)現(xiàn)注冊(cè)表權(quán)限的維持,從而確保惡意代碼能夠在系統(tǒng)中持久化存在。     
對(duì)libcef.dll分析發(fā)現(xiàn),該樣本通過圖片隱寫技術(shù),將惡意代碼嵌入到 aut.png 圖片文件中的輔助數(shù)據(jù)塊區(qū)段,并隱藏了一個(gè)完整的 PE 文件。將 aut.png 中的惡意代碼 dump 出來后發(fā)現(xiàn)惡意代碼是一個(gè) PE 文件,對(duì)其進(jìn)行靜態(tài)分析發(fā)現(xiàn),惡意代碼首先采用 com 組件進(jìn)行創(chuàng)建快捷方式,隨后通過修改注冊(cè)表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 添加注冊(cè)表啟動(dòng)項(xiàng)。    
圖片

惡意代碼通過 COM 組件 {00021401-0000-0000-C000-000000000046} 創(chuàng)建快捷方式。該 COM GUID 是 Windows 系統(tǒng)中常用的 Shell COM 組件,用于操作文件夾和快捷方式。
圖片    
圖片

將內(nèi)存中的 Registry Workshop 注冊(cè)表管理工具寫入臨時(shí)目錄后,惡意代碼通過 com 組件創(chuàng)建 Registry Workshop(注冊(cè)表管理工具)的快捷方式。隨后,惡意代碼生成一個(gè) .reg 格式的注冊(cè)表文件,并利用該文件通過快捷方式的形式附加參數(shù),利用 Registry Workshop 寫入啟動(dòng)項(xiàng)。
圖片    
圖片
圖片

通過快捷方式 C:\Users\Admin\AppData\Local\Temp\{899066F6-659B-4985-A1B4-FE00017F3CAE}.exe /s "C:\Users\Admin\AppData\Local\Temp\{31917437-6BE4-4b67-8741-131B63BDDD0D}"啟動(dòng){31917437-6BE4-4b67-8741-131B63BDDD0D}(reg格式文件)。   
圖片

以同樣的方式添加注冊(cè)表啟動(dòng)項(xiàng) GoogleUpdata_Service ->C:\Users\Public\Documents\down.exe。
圖片
              

三階段:后門功能   

樣本利用 WinOS 實(shí)現(xiàn)遠(yuǎn)程控制,通過加載 view.png 中的惡意代碼,向 colorcpl.exe 系統(tǒng)進(jìn)程中遠(yuǎn)程線程注入病毒,從而實(shí)現(xiàn)后門功能。后門的功能包括:

  • 插件加載:支持內(nèi)存加載與進(jìn)程注入。
  • 屏幕捕獲:獲取目標(biāo)系統(tǒng)的屏幕信息。
  • 文件操作:文件上傳與下載執(zhí)行。
  • 監(jiān)控與控制:記錄備注信息、分組信息,檢測(cè)并過濾進(jìn)程,監(jiān)控屏幕狀態(tài)。
  • 系統(tǒng)管理:清除系統(tǒng)日志、重啟系統(tǒng)、結(jié)束進(jìn)程、修改系統(tǒng)配置。
  • 其他功能:開啟剪貼板監(jiān)控、發(fā)送心跳包       

對(duì)libcef.dll分析發(fā)現(xiàn),該樣本通過圖片隱寫技術(shù),將惡意代碼嵌入到 view.png 圖片文件中的輔助數(shù)據(jù)塊區(qū)段,并隱藏了一個(gè)完整的 PE 文件。將 view.png 中的惡意代碼dump出來后發(fā)現(xiàn)惡意代碼是一個(gè) PE 文件,對(duì)其進(jìn)行靜態(tài)分析發(fā)現(xiàn),后門代碼是一個(gè) WinOs 的后門木馬,其通過創(chuàng)建 c2_main 線程實(shí)現(xiàn)后門功能。   
圖片

后門木馬首先獲取本機(jī)上線時(shí)間,以及注冊(cè)異常處理(崩潰重啟進(jìn)程),隨后通過線程啟動(dòng)對(duì)鍵盤的監(jiān)控,以及將上線 IP 寫入注冊(cè)表,以便通過功能實(shí)現(xiàn)更換上線 IP 的操作。
圖片

圖片    


對(duì) c2(156.248.54.46:8880、156.248.54.46:9990)發(fā)送一次心跳包,隨后獲取本機(jī)信息包括用戶鍵盤停止使用時(shí)間、計(jì)算機(jī)名+系統(tǒng)型號(hào)、系統(tǒng)、CPU、硬盤+內(nèi)存、顯卡和顯示器、獲取前景窗口、分組、版本、備注、客戶端位數(shù)、進(jìn)程權(quán)限、攝像頭、QQ號(hào)、殺毒軟件、運(yùn)行時(shí)間、開機(jī)時(shí)間、系統(tǒng)語言、微信、Telegram 信息。
圖片    
圖片
圖片    
圖片
圖片

發(fā)送后進(jìn)入循環(huán)監(jiān)聽發(fā)送心跳包,對(duì) task 函數(shù)進(jìn)行跟蹤并回溯 RIP。   
圖片

功能列表。
圖片    
圖片
圖片    
圖片

0x0 加載插件 (內(nèi)存加載 導(dǎo)出函數(shù))、0x1 加載插件 (進(jìn)程注入模式)。
圖片

0x2 斷開連接 0x3 獲取屏幕信息。   
圖片

0x4   獲取實(shí)時(shí)屏幕。
圖片

0x5 上傳執(zhí)行文件。
圖片

0x6 下載執(zhí)行文件。   
圖片

0x7 備注信息、分組信息。
圖片

0x8 獲取進(jìn)程列表并過濾指定進(jìn)程。   
圖片

0x9 發(fā)送屏幕監(jiān)控狀態(tài) 0xA 獲取屏幕同0x4。
圖片

0xB 清除系統(tǒng)日志(Application,Security,System)。
圖片

0xC 重啟進(jìn)程、0xD 退出進(jìn)程、0xE 注銷、0xF 關(guān)機(jī)、0x10 重啟。   
圖片

0x12 修改配置信息。   
圖片

0x66 線程開啟監(jiān)控剪貼板(保存到文件) 0x67 關(guān)閉線程剪貼板。
圖片

0xc9 心跳包。   
圖片
          
二、附錄

C&C: 

圖片


HASH: 

圖片
              

釣魚URL: 

圖片


講點(diǎn)大白話: 

有的小伙伴表示沒有學(xué)過計(jì)算機(jī)知識(shí),看不太懂這篇文章,那么你可以參考如下說明。
圖片

在遙遠(yuǎn)的代碼海洋深處,有一座小島,島上的居民是一群熱愛和平的海洋生物,他們?nèi)粘T趰u上的“大集市”購買生活用品,漸漸地有外來商販想要走捷徑賺取島民們的錢,他們蒙騙了管理集市的工作人員,取得了合法擺攤的相關(guān)證件,在集市入口處開設(shè)“攤位”,以低廉的價(jià)格和與正版相像的裝修風(fēng)格騙取了部分島民信任,同時(shí)他們?cè)谏唐分屑尤肓恕搬樋讛z像頭”以便監(jiān)控島民們家里的具體情況,方便他們隨時(shí)竊取島民們的財(cái)物。島民們一開始并不知情,但是漸漸地,他們會(huì)發(fā)現(xiàn)自己的家中開始多東西或者少物品。   
“大集市”就是我們?nèi)粘S玫降乃阉饕?,“攤位”是釣魚網(wǎng)頁,“針孔攝像頭”是不法分子部署的 WinOs 遠(yuǎn)控后門。
目前,火絨安全產(chǎn)品能夠識(shí)別并阻止不明來源的應(yīng)用,歡迎廣大用戶下載體驗(yàn)~    

病毒分析報(bào)告148 病毒分析報(bào)告 · 目錄#病毒分析報(bào)告上一篇銀狐新變種于幕后潛行,暗啟后門遠(yuǎn)控竊密