小说阅读网站,好看的小说

新聞資訊

一階段：loader釋放病毒載體

初始樣本利用 MSI 安裝程序來釋放包含病毒的加密壓縮包和正常安裝包。利用 msiexec 的 CustomAction 特性，加載并調(diào)用惡意 DLL 導出函數(shù)，從而解壓并執(zhí)行被隱藏的惡意文件：

C:\Users\Public\Documents\down.exe

C:\Users\Public\Documents\libcef.dll

C:\Users\Public\Documents\aut.png

C:\Users\Public\Documents\view.png

首先，對初始樣本 demo.exe 進行深入分析，樣本是一個 MSI 安裝程序，通過Orca工具查看 MSI 結(jié)構(gòu)，發(fā)現(xiàn)其 CustomAction 表中存在一個名為 CallFunctionFromDLL 的執(zhí)行動作，該動作指示安裝程序?qū)⒓虞d名為 ziplib.dll 的動態(tài)鏈接庫，并調(diào)用zipcom導出函數(shù)。

在對該 MSI 安裝程序進行解包后，發(fā)現(xiàn)以下幾個文件：

正常安裝包：包含 ToDesk 和好壓壓縮軟件的正常安裝包。
惡意 DLL 文件：ziplib.dll
加密病毒文件：all.zip，加密壓縮包含加密的白加黑文件、圖片惡意文件。

ziplib.dll 采用填充臟數(shù)據(jù)的方式擴大體積，將文件大小擴展至 245MB，防止文件被上傳，并試圖繞過云查殺的檢測機制。在 MSI 安裝過程中，惡意代碼會默認將 all.zip 解壓并釋放到受害者的系統(tǒng)目錄：C:\Users\Public\Documents。

對 ziplib.dll 進行靜態(tài)分析，發(fā)現(xiàn)其執(zhí)行過程包含多個惡意行為和虛擬機檢測：

1.系統(tǒng)文件夾目錄獲取

ziplib.dll 嘗試獲取系統(tǒng)文件夾目錄。若獲取失敗，則使用 GUID 生成臨時路徑標識符，確保能夠繼續(xù)執(zhí)行后續(xù)操作。

2.解壓 all.zip 文件

ziplib.dll 使用密碼hello202411對 C:\Users\Public\Documents\all.zip 文件進行解壓。

3.環(huán)境檢測

在解壓后，ziplib.dll 會執(zhí)行一系列環(huán)境檢測：

父進程檢查：檢測當前進程的父進程是否是 msiexec.exe（即 MSI 安裝程序的解釋器）。
虛擬機檢測：通過獲取系統(tǒng)的 CPU 核心數(shù)，檢測到的核心數(shù)是否大于 2。

4.執(zhí)行惡意文件

ziplib.dll 通過 WinExec 調(diào)用執(zhí)行解壓后的白加黑惡意文件，進一步發(fā)動惡意行為。

對 all.zip 文件進行解壓后，發(fā)現(xiàn)病毒利用“白加黑”技術(shù)執(zhí)行惡意代碼。解壓后的文件包括以下關(guān)鍵組件：

1.libcef.dll（惡意 DLL 文件）

libcef.dll 是一個惡意動態(tài)鏈接庫，同樣采用填充臟數(shù)據(jù)增大體積的方式，將文件大小膨脹防止木馬被上傳，繞過云查殺的檢測。

2.down.exe（白文件）

對libcef.dll進行靜態(tài)分析，發(fā)現(xiàn)其初始時會通過 Patch 系統(tǒng) ntdll.dll 修正其在 DllMain 函數(shù)中的線程死鎖問題，隨后會檢查啟動命令行參數(shù)是否包含 /aut：

若命令行包含 /aut，則通過 aut.png 圖片隱寫技術(shù)，將惡意代碼加載到內(nèi)存中，并執(zhí)行持久化操作。
若命令行不包含 /aut，則會主動添加 /aut 參數(shù)并創(chuàng)建新的進程，以此方式啟動白文件 down.exe，并繼續(xù)執(zhí)行持久化操作。

在啟動過程中，libcef.dll 還會檢測目標系統(tǒng)是否存在殺毒軟件：

若檢測到殺軟，則通過 view.png 圖片隱寫惡意代碼，將后門功能加載到內(nèi)存中，執(zhí)行后門功能。
若未檢測到殺軟，則通過遠程線程注入到 colorcpl.exe 系統(tǒng)進程，實現(xiàn)后門功能。

詳細分析如下：

libcef.dll 首先通過調(diào)用 RtlLeaveCriticalSection 函數(shù)對 LoaderLock 臨界區(qū)進行釋放，同時通過特征碼搜索的方式對系統(tǒng)的加鎖機制進行 patch修改，解決 Dllmain 線程死鎖問題。

執(zhí)行命令行參數(shù)檢查，對比命令行是否存在 /aut 參數(shù)，如果存在則通過 fn_regedit 函數(shù)將白文件 down.exe 路徑寫入注冊表 HKEY_CURRENT_USER\SOFTWARE\\DICKEXEPATH 位置。

隨后通過 fn_persistent 函數(shù)內(nèi)存加載 aut.png 中的惡意代碼實現(xiàn)持久化操作。

aut.png 圖片文件(輔助數(shù)據(jù)塊的格式中存儲PE惡意代碼)。

如果命令行參數(shù)不存在 /aut，則調(diào)用 fn_exec_aut 函數(shù)增加 /aut 參數(shù)再次啟動進程，執(zhí)行權(quán)限維持操作。

通過判斷是否存在殺軟路徑，決定注入方式：注入自身進程或注入系統(tǒng) colorcpl.exe 進程中。

其中注入自身與權(quán)限維持操作是相同的，以下是線程注入系統(tǒng) colorcpl.exe 進程過程。

二階段：COM組件權(quán)限維持持久化

樣本加載 aut.png 中的惡意代碼，通過惡意代碼利用 COM 組件創(chuàng)建多個快捷方式，并釋放 Registry Workshop 注冊表管理工具。接著，樣本利用該注冊表管理工具創(chuàng)建reg格式注冊表配置文件并通過快捷方式附加參數(shù)reg配置文件路徑，實現(xiàn)注冊表權(quán)限的維持，從而確保惡意代碼能夠在系統(tǒng)中持久化存在。

對libcef.dll分析發(fā)現(xiàn)，該樣本通過圖片隱寫技術(shù)，將惡意代碼嵌入到 aut.png 圖片文件中的輔助數(shù)據(jù)塊區(qū)段，并隱藏了一個完整的 PE 文件。將 aut.png 中的惡意代碼 dump 出來后發(fā)現(xiàn)惡意代碼是一個 PE 文件，對其進行靜態(tài)分析發(fā)現(xiàn)，惡意代碼首先采用 com 組件進行創(chuàng)建快捷方式，隨后通過修改注冊表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 添加注冊表啟動項。

惡意代碼通過 COM 組件 {00021401-0000-0000-C000-000000000046} 創(chuàng)建快捷方式。該 COM GUID 是 Windows 系統(tǒng)中常用的 Shell COM 組件，用于操作文件夾和快捷方式。

將內(nèi)存中的 Registry Workshop 注冊表管理工具寫入臨時目錄后，惡意代碼通過 com 組件創(chuàng)建 Registry Workshop（注冊表管理工具）的快捷方式。隨后，惡意代碼生成一個 .reg 格式的注冊表文件，并利用該文件通過快捷方式的形式附加參數(shù)，利用 Registry Workshop 寫入啟動項。

通過快捷方式 C:\Users\Admin\AppData\Local\Temp\{899066F6-659B-4985-A1B4-FE00017F3CAE}.exe /s "C:\Users\Admin\AppData\Local\Temp\{31917437-6BE4-4b67-8741-131B63BDDD0D}"啟動{31917437-6BE4-4b67-8741-131B63BDDD0D}(reg格式文件）。

以同樣的方式添加注冊表啟動項 GoogleUpdata_Service ->C:\Users\Public\Documents\down.exe。

三階段：后門功能

樣本利用 WinOS 實現(xiàn)遠程控制，通過加載 view.png 中的惡意代碼，向 colorcpl.exe 系統(tǒng)進程中遠程線程注入病毒，從而實現(xiàn)后門功能。后門的功能包括：

插件加載：支持內(nèi)存加載與進程注入。
屏幕捕獲：獲取目標系統(tǒng)的屏幕信息。
文件操作：文件上傳與下載執(zhí)行。
監(jiān)控與控制：記錄備注信息、分組信息，檢測并過濾進程，監(jiān)控屏幕狀態(tài)。
系統(tǒng)管理：清除系統(tǒng)日志、重啟系統(tǒng)、結(jié)束進程、修改系統(tǒng)配置。
其他功能：開啟剪貼板監(jiān)控、發(fā)送心跳包

對libcef.dll分析發(fā)現(xiàn)，該樣本通過圖片隱寫技術(shù)，將惡意代碼嵌入到 view.png 圖片文件中的輔助數(shù)據(jù)塊區(qū)段，并隱藏了一個完整的 PE 文件。將 view.png 中的惡意代碼dump出來后發(fā)現(xiàn)惡意代碼是一個 PE 文件，對其進行靜態(tài)分析發(fā)現(xiàn)，后門代碼是一個 WinOs 的后門木馬，其通過創(chuàng)建 c2_main 線程實現(xiàn)后門功能。

后門木馬首先獲取本機上線時間，以及注冊異常處理（崩潰重啟進程），隨后通過線程啟動對鍵盤的監(jiān)控，以及將上線 IP 寫入注冊表，以便通過功能實現(xiàn)更換上線 IP 的操作。

對 c2(156.248.54.46:8880、156.248.54.46:9990)發(fā)送一次心跳包，隨后獲取本機信息包括用戶鍵盤停止使用時間、計算機名+系統(tǒng)型號、系統(tǒng)、CPU、硬盤+內(nèi)存、顯卡和顯示器、獲取前景窗口、分組、版本、備注、客戶端位數(shù)、進程權(quán)限、攝像頭、QQ號、殺毒軟件、運行時間、開機時間、系統(tǒng)語言、微信、Telegram 信息。

發(fā)送后進入循環(huán)監(jiān)聽發(fā)送心跳包，對 task 函數(shù)進行跟蹤并回溯 RIP。

功能列表。

0x0 加載插件 (內(nèi)存加載導出函數(shù))、0x1 加載插件 (進程注入模式)。

0x2 斷開連接 0x3 獲取屏幕信息。

0x4 獲取實時屏幕。

0x5 上傳執(zhí)行文件。

0x6 下載執(zhí)行文件。

0x7 備注信息、分組信息。

0x8 獲取進程列表并過濾指定進程。

0x9 發(fā)送屏幕監(jiān)控狀態(tài) 0xA 獲取屏幕同0x4。

0xB 清除系統(tǒng)日志(Application，Security，System)。

0xC 重啟進程、0xD 退出進程、0xE 注銷、0xF 關(guān)機、0x10 重啟。

0x12 修改配置信息。

0x66 線程開啟監(jiān)控剪貼板(保存到文件) 0x67 關(guān)閉線程剪貼板。

0xc9 心跳包。

二、附錄

C&C：

HASH：

釣魚URL：

講點大白話：

有的小伙伴表示沒有學過計算機知識，看不太懂這篇文章，那么你可以參考如下說明。

在遙遠的代碼海洋深處，有一座小島，島上的居民是一群熱愛和平的海洋生物，他們?nèi)粘Ｔ趰u上的“大集市”購買生活用品，漸漸地有外來商販想要走捷徑賺取島民們的錢，他們蒙騙了管理集市的工作人員，取得了合法擺攤的相關(guān)證件，在集市入口處開設(shè)“攤位”，以低廉的價格和與正版相像的裝修風格騙取了部分島民信任，同時他們在商品中加入了“針孔攝像頭”以便監(jiān)控島民們家里的具體情況，方便他們隨時竊取島民們的財物。島民們一開始并不知情，但是漸漸地，他們會發(fā)現(xiàn)自己的家中開始多東西或者少物品。

“大集市”就是我們?nèi)粘Ｓ玫降乃阉饕?，“攤位”是釣魚網(wǎng)頁，“針孔攝像頭”是不法分子部署的 WinOs 遠控后門。

目前，火絨安全產(chǎn)品能夠識別并阻止不明來源的應用，歡迎廣大用戶下載體驗~

病毒分析報告148 病毒分析報告 · 目錄#病毒分析報告上一篇銀狐新變種于幕后潛行，暗啟后門遠控竊密

欧美一区激情在线观看_午夜亚洲中文电影_老人看护网站av_青青草成人影视_自拍小视频在线看男人日韩_国产很爽的超薄丝袜脚交视频_久久影院亚洲理论_熟妇高潮一区二区高潮_国产清纯91在线系列_国产精品www嫩草桃花岛