99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

新聞資訊
行業(yè)動(dòng)態(tài)

首頁 > 行業(yè)動(dòng)態(tài)

火絨華南銷售及服務(wù)中心| 【樣本分析】非官方火絨劍存在后門風(fēng)險(xiǎn),謹(jǐn)慎下載使用

近期,火絨安全實(shí)驗(yàn)室在某論壇中發(fā)現(xiàn)一名用戶發(fā)帖上傳了被篡改過的火絨劍程序,該事件詳細(xì)經(jīng)過可參考《情況說明 | 非官方火絨劍存在后門風(fēng)險(xiǎn),請(qǐng)用戶謹(jǐn)慎下載使用》,在此不做贅述,本文為該樣本的內(nèi)容分析。經(jīng)火絨工程師確認(rèn),該“盜版火絨劍”中的 uactmon.dll 文件被篡改,在其 DLL 加載時(shí)會(huì)解密出惡意 DLL 數(shù)據(jù)并加載執(zhí)行,最后實(shí)現(xiàn)后門操作。目前,火絨安全產(chǎn)品可對(duì)上述被篡改的病毒樣本進(jìn)行攔截查殺,請(qǐng)廣大用戶及時(shí)更新病毒庫以提高防御能力。同時(shí)我們也希望廣大用戶在官方渠道下載軟件,避免企業(yè)或個(gè)人信息及財(cái)產(chǎn)存在被泄露的風(fēng)險(xiǎn)。

Image-0.png

查殺圖


樣本執(zhí)行流程圖如下圖所示:

Image-1.png

流程圖


從下圖可以看出被篡改文件沒有數(shù)字簽名。

Image-2.png

對(duì)比圖


一、樣本分析

樣本中被篡改的 uactmon.dll 會(huì)解密出加載器,隨后加載器再解密加載后門模塊并執(zhí)行后門邏輯。

后門功能具體如下:

  • 進(jìn)程管理:進(jìn)程遍歷、進(jìn)程終止、模塊遍歷、權(quán)限獲取、安全標(biāo)識(shí)符獲取等。

  • 文件管理:創(chuàng)建文件、刪除文件、移動(dòng)文件、寫入文件、執(zhí)行程序、獲取文件信息等。

  • 鼠標(biāo)鍵盤模擬:實(shí)現(xiàn)遠(yuǎn)程控制鼠標(biāo)和鍵盤。

  • 管道后門:創(chuàng)建管道、寫入管道執(zhí)行遠(yuǎn)程命令。

  • 插件管理:客戶端通過下載插件執(zhí)行惡意代碼。

  • 其他功能:設(shè)置配置以及下載 DLL 利用 rundll32.exe 執(zhí)行。

  • 系統(tǒng)信息獲取:獲取主機(jī)名、系統(tǒng)版本、殺毒軟件列表、進(jìn)程名、安裝軟件列表等。

本文將以加載階段、通信階段、后門功能、發(fā)送系統(tǒng)信息四個(gè)環(huán)節(jié)為主進(jìn)行詳細(xì)分析。


1.1 加載階段

該 uactmon.dll 動(dòng)態(tài)鏈接庫入口函數(shù) dllmain_dispatch 中的 _SEH_prolog4 函數(shù)被惡意重定向,作為病毒入口執(zhí)行病毒代碼。

Image-3.png

重定向


隨后利用 fs:34h 獲取上一個(gè)錯(cuò)誤號(hào) 2 ,并基于此錯(cuò)誤號(hào)進(jìn)行計(jì)算,最后計(jì)算出解密函數(shù)的地址并調(diào)用解密函數(shù),解密函數(shù)會(huì)解密出加載器代碼。

Image-4.png

調(diào)用解密函數(shù)

Image-5.png

解密加載器代碼


在加載器中解密惡意 DLL 數(shù)據(jù),獲取到 DLL 并調(diào)用 DLL 入口點(diǎn)函數(shù)。

Image-6.png

解密出惡意 DLL 數(shù)據(jù)

Image-7.png

加載器函數(shù)

Image-8.png

手動(dòng)加載細(xì)節(jié)


1.2 通信階段

檢查互斥體 Global\{950DD698-EB8C-469E-A50B-F76D0283392E} 是否存在,如存在則循環(huán)至不存在為止。

Image-9.png

檢查互斥體


隨后讀取 C:\ProgramData\Microsoft OneDrive\index.dat 文件并解析成字典格式,如不存在則會(huì)初始化字典并創(chuàng)建該文件,同時(shí)在創(chuàng)建之后修改該文件的時(shí)間戳。

初始化時(shí):

mc 值是固定頭 9X3eR2p 加上 21 位隨機(jī)數(shù)組成的,后續(xù)請(qǐng)求遠(yuǎn)程服務(wù)器時(shí)將會(huì)附帶該值,用來識(shí)別客戶端;

ts 值是 Sleep 的秒數(shù),初始化時(shí)賦予值為 28。

Image-10.png

讀取或?qū)懭?index.dat 文件

Image-11.png

初始化字典

Image-12.png

寫入 .dat 文件


之后讀取字典中的 disable 值,如果為 true 則不會(huì)繼續(xù)執(zhí)行。

Image-13.png

檢測(cè) disable 值


檢測(cè) disable 值后通過異或 0x1F 解密出遠(yuǎn)程服務(wù)器地址 20.2.66.39,并設(shè)置為 ICMP 協(xié)議。

Image-14.png

獲取 IP 地址并設(shè)置 ICMP 協(xié)議


睡眠 {ts} 秒后利用 ICMP 協(xié)議發(fā)送數(shù)據(jù)包,數(shù)據(jù)包中包含 mc 值,其前后分別填充了 0xC681 和 0x1101。之后利用 recvfrom 函數(shù)接收回復(fù)的數(shù)據(jù),通過回復(fù)的數(shù)據(jù)部分偏移為 2 的字節(jié)并減掉 0x65 為標(biāo)準(zhǔn)來判斷要執(zhí)行哪個(gè)函數(shù)。其中管道后門和插件管理都可以遠(yuǎn)程執(zhí)行惡意代碼。

Image-15.png

功能號(hào)

Image-16.png

根據(jù)指令執(zhí)行相應(yīng)函數(shù)

Image-17.png

接收 ICMP 數(shù)據(jù)

Image-18.png

WireShark 監(jiān)測(cè)到的數(shù)據(jù)


其中進(jìn)程管理函數(shù)會(huì)主動(dòng)連接遠(yuǎn)程服務(wù)器 443 端口,隨后獲取指令,通過指令分別執(zhí)行特定的惡意操作,同時(shí)會(huì)發(fā)送系統(tǒng)信息。

下圖是進(jìn)程管理接收指令的代碼,其他后門功能運(yùn)行機(jī)制與此相同。

Image-19.png

進(jìn)程管理主邏輯(其他后門功能也相同)

Image-20.png

接收指令并執(zhí)行函數(shù)(其他后門功能也相同)


1.3 后門功能

執(zhí)行后門功能后會(huì)回復(fù) log 或者打包數(shù)據(jù)發(fā)送至遠(yuǎn)程服務(wù)器中。

Image-21.png

發(fā)送信息


1.3.1 進(jìn)程管理

進(jìn)程管理有以下功能:

Image-22.png

功能號(hào)


遍歷進(jìn)程:遍歷進(jìn)程時(shí)獲取進(jìn)程名、進(jìn)程 ID、父進(jìn)程 ID、進(jìn)程路徑等,最后加密壓縮發(fā)送至遠(yuǎn)程服務(wù)器。

Image-23.png

遍歷進(jìn)程

Image-24.png

壓縮發(fā)送


終止進(jìn)程:通過進(jìn)程 ID 終止指定進(jìn)程。

Image-25.png

終止進(jìn)程


遍歷模塊:遍歷指定 PID 進(jìn)程獲取模塊信息,并壓縮發(fā)送。

Image-26.png

遍歷模塊


獲取進(jìn)程權(quán)限:

Image-27.png

獲取權(quán)限名


1.3.2 文件管理

文件管理有以下功能:

Image-28.png

功能表


其中部分函數(shù)截圖:通過指定路徑刪除文件、移動(dòng)文件,還可以通過傳遞過來的時(shí)間參數(shù)設(shè)置文件時(shí)間。

Image-29.png

文件管理部分截圖


1.3.3 模擬鍵鼠

模擬鼠標(biāo):利用 SendInput 函數(shù)實(shí)現(xiàn)鼠標(biāo)轉(zhuǎn)輪、右鍵點(diǎn)擊、左鍵雙擊、左鍵單擊、鼠標(biāo)移動(dòng)功能。

Image-30.png

鼠標(biāo)部分功能


模擬鍵盤:利用 SendInput 函數(shù)實(shí)現(xiàn)鍵盤按下后彈起的操作。

Image-31.png

模擬按鍵


1.3.4 管道后門

創(chuàng)建管道:創(chuàng)建管道以及創(chuàng)建無界面 cmd.exe 或者 powershell.exe 等。

Image-32.png

創(chuàng)建管道


寫入管道:用于遠(yuǎn)程執(zhí)行指令。

Image-33.png

寫入管道


1.3.5 插件管理

插件管理有以下功能:

Image-34.png

功能表


加載插件代碼圖:

Image-35.png

加載插件


1.3.6 其他功能

除上述功能以外還有以下功能號(hào)相對(duì)應(yīng)的功能:主要是用于更新配置相關(guān)。

Image-36.png

功能表


設(shè)置禁用:可以通過將 disable 設(shè)置為 true 來使該客戶端不再與遠(yuǎn)程服務(wù)器交互。

Image-37.png

設(shè)置禁用


下載 DLL 執(zhí)行導(dǎo)出函數(shù) Entry:先下載 iscsiexe.dll ,同時(shí)下載 npf.dll 或 npfs.dll,隨后利用 rundll32.dll 程序執(zhí)行 iscsiexe.dll 導(dǎo)出函數(shù) Entry。

Image-38.png

執(zhí)行導(dǎo)出函數(shù)


1.4 發(fā)送系統(tǒng)信息

每次執(zhí)行后門功能函數(shù)時(shí)都會(huì)發(fā)送一次系統(tǒng)信息。發(fā)送的信息包含主機(jī)名、系統(tǒng)版本、殺毒軟件列表、指定注冊(cè)表、當(dāng)前進(jìn)程 ID 和進(jìn)程名、檢查互斥體 Global\\{54902E83-9AA7-4DB5-977C-A1EBC760CAAE}、遍歷安裝包注冊(cè)表。

獲取主機(jī)名和系統(tǒng)版本:

Image-39.png

獲取主機(jī)名和系統(tǒng)版本


殺毒軟件列表:通過遍歷進(jìn)程獲取進(jìn)程信息,并比對(duì)進(jìn)程名確認(rèn)進(jìn)程是否存在,如果存在則將殺軟名添加到列表中。如果沒有殺軟存在則回復(fù)“無”字符串。

下圖是殺軟名和進(jìn)程名對(duì)照表:

Image-40.png

對(duì)照表

Image-41.png

檢測(cè)以及添加到列表中


安裝包列表:遍歷 Uninstall 注冊(cè)表并提取其中的 DisplayName 值添加到列表中,從而獲取安裝包列表。

Image-42.png

獲取安裝軟件列表


獲取指定注冊(cè)表路徑的值:

  • Directory\shellex\CopyHookHandlers\Files

  • SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\DarkTheme

  • Directory\shellex\ContextMenuHandlers\Files


二、附錄

C&C:

Image-43.png


HASH:

Image-44.png


講點(diǎn)大白話:有的小伙伴表示沒有學(xué)過計(jì)算機(jī)知識(shí),看不太懂這篇文章,那么你可以參考如下說明。

ed04412a-3036-43a2-a997-ca5a58b48860.gif

假如你有一個(gè)動(dòng)物園,動(dòng)物園里有很多你喜歡并珍藏的動(dòng)物,但也有壞猴子偷偷翻進(jìn)動(dòng)物園住下干擾動(dòng)物們生活(沒有說所有猴子都?jí)牡囊馑迹?,偶爾也有小偷光顧你的?dòng)物園偷走用來喂動(dòng)物的蘋果。你很生氣,決定為你的動(dòng)物園安裝一個(gè)監(jiān)控。但是出于種種原因,比如找不到賣監(jiān)控的店家、喜歡的那一款過于昂貴等等,你最終找了一個(gè)二手販子。二手販子交給你的監(jiān)控看起來十分好用,你認(rèn)為可以對(duì)動(dòng)物園放心了,但其實(shí)你不知道,監(jiān)控被注入了隱藏的程序,可以偷偷轉(zhuǎn)移你的信息,也告訴了幕后黑手動(dòng)物園幾點(diǎn)沒人,甚至他還知道住著珍貴動(dòng)物的房間密碼是多少,他借著病毒,操控著動(dòng)物園的一切。或許有一天,你發(fā)現(xiàn)你進(jìn)不去自己的動(dòng)物園了。

而動(dòng)物園就是你的電腦,二手販子的監(jiān)控是被注入后門的非官方火絨劍,希望你永遠(yuǎn)有給動(dòng)物園開門的自由。

目前火絨安全產(chǎn)品已支持對(duì)該“非官方火絨劍”進(jìn)行查殺,在這里也再次提醒廣大用戶,認(rèn)準(zhǔn)官方渠道,非官方渠道軟件安全性無法保證,各平臺(tái)下載需謹(jǐn)慎!