详询客服
×

售前电话 186 7086 0265

售后电话 186 7086 0265

客服邮箱 contactus@mingting.cn

我知道了

真与假?戴着面具的盗窃者

2020.9.24 来源:安全豹作者:安全豹

事件背景

        近期,毒霸安全团队捕获一批针对东南亚地区博彩行业从业者的远控木马,该类木马主要伪装成博彩相关的业务文件,利用白EXE+黑DLL的形式,借助社交平台如:Telegram、YY、邮件等进行传播。用户点击病毒后,会从云端获取sct脚本执行,并继续下载后续模块,最终执行黑客的远控指令。

        截至目前样本虽经过了多次变种,但执行流程和功能仍大致相同,下图为样本执行的流程:

1-1


样本分析

        追踪发现,样本来源于一些诱饵文件,该类文件名戴着”面具”,具有一定迷惑性,很容易被用户点击执行,下面为部分诱饵文件的名称:

  •             (1). 公司通道风控紧急通知报表.exe
  •             (2). GreenBrowser
  •             (3). 截屏@y.exe
  •             (4). 公司放假时间表docx.com
  •             (5). 银行卡正面.com
        该类诱饵文件运行后,会去访问http://143.92.48.198:82/y.sct指向的服务器,下载病毒样本执行,目前该服务器上文件如下:
2

        病毒文件采用多层云控存储,利用白名单文件加载执行。目前已知的白名单文件有QTCapture.exe、yyplatform.exe和vixDiskMountServer.exe。病毒作者构建与程序自身加载dll同名的dll和函数,放在程序目录,由于白名单程序没有对dll进行核对较正,病毒dll直接被加载执行了。病毒文件有两种途径加载执行:

         方案一  通过下载中转文件,下载脚本执行病毒

         方案二  直接下载病毒文件执行

3

        下面主要分析方案一,当1.exe(1@2.exe)中转文件被下载执行后,该程序会去访问http://172.247.250.74:82/2.sct,下载运行脚本文件2.sct,该sct脚本文件内容如下

4

        从脚本内容上看,首先会去访问http://qflxs3g7v.hn-bkt.clouddn.com/下载相应文件,解压后重命名文件并去执行,或许是为了降低用户警惕,还会有相对的图片弹出,不过该命令暂时被作者注释掉了。解压的2.rar(与gui.rar相同)压缩包内文件如下:

002

        最终会让白名单文件yyplatform.exe(YY语音的一个程序,会被重命名为MSASCuiL2607.exe,中间数字为随机化的)去执行,该程序运行时会去加载libxwalk.dll文件,但由于缺乏对加所载文件的校验,再加载病毒作者构建的恶意libxwalk.dll文件后,该libxwalk.dll会继续去加载运行load.dll和rddat.dll,解密下载的act文件,运行下载的netsh.exe程序。

        load.dll的功能主要是去加载解密后的act文件,而act文件的解密由rddat.dll完成,解密算法采用的是简单异或和与运算,分别与0x70异或和与运算。

        下图为解密前数据
6
        下图为解密后数据

7

        act文件解密后为一个DLL文件,该DLL的pdb路径为:

8

        该DLL在被加载后会去调用该模块的导出函数A1(),该函数功能主要分为两部分:

        第一部分,检测权限让程序以管理员身份运行,将白名单文件yyplatform.exe和下载释放的黑netsh.exe添加到Windows防火墙的入站规则中,规避防火墙拦截,便于和远控服务端进行网络通讯。分析发现黑netsh.exe的主要功能是进行反向代理,便于内网渗透,黑netsh.exe在后面远控模块中指令控制启动。
003
        第二部分,创建一个线程去加载解密的DLL自身携带的另外一个DLL,该DLL的pdb路径为:

10

        该DLL为魔改版的大灰狼远控,下面为该远控的大致功能:

11

        除了以上常见的远控行为外,该病毒还会主动收集电脑使用者账号相关的信息:

        ①远控模块会对机器环境进行检测,收集杀软和QQ账号信息。
12
        下面为检测的杀软名称

13

        远控模块通过遍历窗口,利用qq程序的窗口类名”CTXOPConntion_Class”,获取当前系统登录的QQ号信息,会获得类似于qqexchangewnd_shortcut_prefix_123456789的类名,123456789就是正在登录的QQ号。

14

        ②远控模块会去遍历进程,关闭掉谷歌、搜狗、火狐等浏览器进程,然后再去遍历浏览器的数据文件夹,删除掉与账号信息相关的Login Data、FormData3.dat、SafeBoxO、logins.json和Cookies文件。当用户重新登陆时,通过键盘监控盗取用户账号信息。

15


总结

        针对病毒程序我们防不胜防,为了避免不必要的损失,我们建议广大用户做到以下几点:

  •             (1).不要随便浏览陌生的网站,如弹出的窗口、广告等
  •             (2).对待来路不明的邮件、office、图片、程序、文件夹等,不要随意点击运行。
  •             (3).安装更新杀软,借助杀软进行预防和查杀。
  •             (4).对重要的文件要做备份。

        下图为金山毒霸查杀该病毒截图

16

IOC

MD5:

129E83D0258401E732A11E51ADCC2B41

5E877EB8BE457D09CE67141641743149

96C50485808653288FFA62E7B9BCE1D5

9E42C9683591116F9DAC58DFDD553249

27AC1A093518AAD83D852F3772DC01C4

0E73CA4FAF5661065F5F810B2B679688

C0FA0DE75D53E89725FDC8E7CFFFD41C

26D745DE9C7B237317870A05F43BAE6C

15B9F18EC7ACBF0E4D9E214EE627D346

0CBF543A22639EF8FF175995F62DA938

IP

172.247.250.74

143.92.48.198:82

156.255.212.186


上一篇: