99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

新聞資訊
行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

成熟后門身披商業(yè)外衣,對抗殺軟實現(xiàn)遠控

近期,火絨威脅情報中心監(jiān)測到一個名為“企業(yè)智能化服務(wù)平臺” 網(wǎng)頁上托管的文件存在惡意行為,火絨安全工程師第一時間提取樣本進行分析。分析中發(fā)現(xiàn)樣本為易語言編寫的成熟后門,能根據(jù) C2 指令實現(xiàn)對受害者機器的完全控制。除此之外,它還會檢測受害者機器中殺軟的安裝情況進行對抗,上傳受害者系統(tǒng)中相關(guān)信息,并設(shè)立開機啟動項進行持久化駐留等。目前,火絨安全產(chǎn)品可對上述病毒進行攔截查殺,請廣大用戶及時更新病毒庫以提高防御能力。

image.png

觀察到樣本來源頁面如下圖所示。打開該網(wǎng)頁后會自動下載一個名為 "合同.rar" 的文件到本地。解壓運行該文件后,會從內(nèi)存中解密多個子文件進行加載和釋放,最終運行易語言遠控代碼,實現(xiàn)對受害者機器的完全訪問控制。此外,根據(jù)火絨威脅情報系統(tǒng)顯示,該后門還會偽裝成其它商業(yè)文件進行傳播,觀察到的其偽裝的文件名有 “supe-告知函.exe”、“電子合同.xls” 等。

image.png

                                                                                                    網(wǎng)頁界面


樣本執(zhí)行流程如下所示:

image.png

                                         樣本執(zhí)行流程圖


一、樣本分析

從 “合同.rar” 中解壓出來 “合同.exe” ,該程序為易語言編寫的引導(dǎo)程序


image.png

                                             易語言入口點

“合同.exe” 執(zhí)行時,會先檢查 “tomcat.exe” 進程是否存在?!皌omcat.exe” 進程實際上是下一階段惡意代碼的執(zhí)行文件。如果存在,則直接結(jié)束該進程:

image.png

                                                          檢查 tomcat.exe 進程


接著解密出 “360tray.exe” 字符串,并繼續(xù)查看“tomcat.exe” 進程是否存在。如果不存在,就直接釋放下一階段 payload;如果存在,則進一步解密密文,檢測殺軟數(shù)量,當(dāng)只有 “360tary.exe” 一個殺軟時,繼續(xù)釋放 payload:


image.png

                                           檢測 360tray.exe 并釋放 payload

image.png

                                                                   密文對應(yīng)的殺軟列表


但當(dāng)殺軟數(shù)量不止一個時,“合同.exe” 程序則會進一步執(zhí)行驅(qū)動對抗操作。該程序首先會獲取本地網(wǎng)絡(luò)適配器信息以禁用無線網(wǎng)卡:

image.png

                                                                       獲取網(wǎng)絡(luò)適配器信息

接著檢查 "ZhuDongfangYu.exe" 進程是否存在。如果存在,則解密并釋放 "C:\g.sys"、"C:\y.sys"、"C:\all.exe" 3 個文件運行以進行驅(qū)動對抗操作,然后繼續(xù)釋放并執(zhí)行下一階段 payload:


image.png

                                                  驅(qū)動對抗操作

image.png

其中,釋放文件中的"all.exe" 程序,根據(jù)字符串信息可以確認其來自于開源項目 RealBlindingEDR(https://github.com/myzxcg/RealBlindingEDR),該開源項目以分享對抗 AV/EDR 的技術(shù)為主。此外,文件中的 "g.sys" 和 "y.sys" 也是該項目相關(guān)文件,在此不做詳細分析: 

image.png

                                                                                all.exe 界面信息


image.png

                                                                                       RealBlindingEDR 項目截圖

釋放下一階段 payload 行為分析:

釋放的下一階段 payload 文件有兩個。首先釋放的是 conf.ini 文件,該文件中會寫入由當(dāng)前執(zhí)行文件路徑轉(zhuǎn)換而成的密文:

image.png
                                                                                                釋放 conf.ini


image.png

                                                                                           conf.ini 內(nèi)容展示

接著解密出另一個可執(zhí)行文件 "tomcat.exe",第一次解密得到的字節(jié)碼還要通過內(nèi)存遍歷,用指定的密文替換 tomcat.exe 中作為占位符的 "kkk" 字符串:(根據(jù)后面的分析可知,該指定密文為要連接的 C2 IP)


2b643fa67e9f18a3c4cb35deacefac1b.png

                                                                                                  解密字節(jié)碼并替換

b46f2d6af75516959b254bef2f8aea4c.png

                                                                              替換內(nèi)容

最后啟動 "tomcat.exe" 進程,開啟下一階段操作:

ced333ebc8c557b15b6d84dca2b73b96.png

                                            啟動 "tomcat.exe" 進程

872011189d87aa55700672407a333283.png

                                                              釋放文件列表

tomcat.exe :

"tomcat.exe" 也是由易語言編寫的程序,但由黑月編譯器進行編譯:

b73e3b53c5e22ed4599ce555a0709194.png

                                                                                                                       入口點截圖


該程序會在前期初始化階段解密 E_Loader.dll 和 HP-Socket 等 dll 于內(nèi)部加載以實現(xiàn)第三方功能。根據(jù) HP-Socket 官網(wǎng)介紹,其中的 HP-Socket 為高性能網(wǎng)絡(luò)通信框架,同時它為易語言的編程語言提供接口。

76ad3fa2bb672e4154f38fcc2827dd69.png


8f4b2fcfce6e9a2c960053b790c102c3.png

軟件簡介


在執(zhí)行過程中 "tomcat.exe" 會開啟 3 個主要線程:
第一個線程用于獲取父文件釋放的 "conf.ini" 中的路徑密文,此線程對密文進行解密后刪除文件以銷毀痕跡:

fe3b3db5a3e42cf05a64670dba9578ba.png

讀取 conf.ini 配置


第二個線程用于開啟網(wǎng)絡(luò)連接,此線程解密父文件替換進來的密文為IP,調(diào)用 HP-Socket 組件中 HP_Client_Start 接口進行網(wǎng)絡(luò)開啟連接:

fec560c7a9c0fc1366ca6d0a38715db4.png

開啟連接


第三個進程用于檢測殺軟、設(shè)立開機啟動的快捷鍵,同時檢測系統(tǒng)是否進入鎖屏狀態(tài),如果是的話則不進行其它操作:

6ca43ca216c1fa26761bbf94405a7414.png

鎖屏檢測


其中,包含的檢測本地殺軟和設(shè)立快捷鍵的具體邏輯如下。首先根據(jù)指定密文解密出殺軟列表,后續(xù)操作過程中會遍歷列表中的殺軟進程,當(dāng)殺軟進程數(shù)量小于等于 4 時,該進程就會在啟動目錄下創(chuàng)建 WPS.lnk 鏈接進行駐留:

504e15b1d58c918c8cc195de08d6e80d.png

獲取殺軟列表

71556520cd0d6331c8f62b2eb7d34170.png

進程遍歷

7ae46ce28f6bedce09692c3c9f2007f3.png

釋放快捷方式


另外,除了前面提到的設(shè)立 3 個主要線程外,在操作 HP-Socket 庫時, "tomcat.exe" 還會傳入函數(shù)和是否啟動的 flag 標(biāo)志位,然后根據(jù)邏輯條件將 flag 標(biāo)志位作為 HP-Socket 的回調(diào)函數(shù)進行執(zhí)行:

e675ee9eafa9bffc3bd1c86db5292865.png

回調(diào)函數(shù)設(shè)置


第一主要的回調(diào)函數(shù)是用于 HP_Set_FN_Client_OnHandShake 的,該函數(shù)在收集用戶本地殺軟及系統(tǒng)信息后,將信息進行上傳:

95b6f7dd0374093685d481f56ef47671.png

獲取系統(tǒng)信息


第二個主要回調(diào)函數(shù)是用于 HP_Set_FN_Server_OnReceive 的,該函數(shù)是成熟的后門模塊,會根據(jù)服務(wù)端回傳指令實現(xiàn)具體控制,具體行為類別如下圖所示:

da14353d16aeb53ca6a52e5390fa07e7.png
2d37d0dfda73c08efd0ee2b9f87a2c8b.png


、附錄

C&C:

03f7778deafb747ea34550ab2cd78cc7.png

HASH:

e7e92c7cc3070e35918560c1c7428cc4.png