我欲封天耳根小说,我欲封天耳根小说零

新聞資訊

最新資訊

聯(lián)系我們

手機(jī)：13714172796
郵箱：yanghe@lhxn.net
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務(wù)中心| 【火絨安全周報(bào)】商業(yè)公司借AI熱潮釋放遠(yuǎn)控后門病毒

在人工智能技術(shù)快速發(fā)展的當(dāng)下，各類AI應(yīng)用不斷涌現(xiàn)，作為提升網(wǎng)絡(luò)效率的創(chuàng)新載體，AI瀏覽器憑借其個性化推薦、智能交互等特性，正獲得越來越多用戶的青睞。但是，經(jīng)研究發(fā)現(xiàn)，這類工具正面臨雙重安全威脅：一方面，部分AI瀏覽器可能暗藏惡意程序，成為病毒傳播的新渠道；另一方面，惡意軟件也可借助AI瀏覽器進(jìn)行投放，偽裝成正常功能，在后臺下載并釋放病毒，危害用戶設(shè)備安全。本文將對AI瀏覽器的安全隱患及其傳播模式進(jìn)行分析，期望有助于您更好地了解和防范相關(guān)風(fēng)險(xiǎn)。

近期，火絨威脅情報(bào)中心監(jiān)測到一款Chat_AI瀏覽器正在廣泛傳播并釋放病毒，危害用戶設(shè)備與數(shù)據(jù)安全。分析顯示，該Chat_AI瀏覽器擁有正規(guī)軟件簽名，通過對Chromium內(nèi)核進(jìn)行二次打包，將惡意代碼隱藏在其中，并通過“白加黑”釋放惡意文件，從而部署遠(yuǎn)控后門。目前，針對這一威脅，火絨安全產(chǎn)品對于網(wǎng)頁下載的偽造瀏覽器，支持查殺以及能夠識別并阻止來源不明的應(yīng)用安裝或執(zhí)行，保障用戶系統(tǒng)的安全，請廣大用戶及時更新病毒庫以提高防御能力。

查殺圖

火絨工程師通過對Chat_AI瀏覽器溯源分析，發(fā)現(xiàn)其數(shù)字簽名來自于Hunan Jialiang Communication Technology Co., Ltd.（未吊銷，證書有效）。進(jìn)一步對搜索引擎進(jìn)行溯源后，確認(rèn)該軟件源自一家商業(yè)軟件公司——湖南嘉量網(wǎng)絡(luò)科技有限公司，且其網(wǎng)站信息均已備案。

數(shù)字簽名

搜索引擎溯源結(jié)果

公司信息

備案信息

此外，研究發(fā)現(xiàn)當(dāng)網(wǎng)址為http://aixiaoyu.net/（以http開頭）時會跳轉(zhuǎn)到其官網(wǎng)，為https://aixiaoyu.net/（以https開頭）時則跳轉(zhuǎn)到投毒頁面。

官網(wǎng)頁面

投毒頁面

樣本執(zhí)行流程圖如下：

流程圖

一

樣本分析

Loader動靜態(tài)分析

經(jīng)過對初始樣本的綜合動靜態(tài)分析，發(fā)現(xiàn)該樣本實(shí)質(zhì)上是對Chromium內(nèi)核進(jìn)行二次打包后的“套皮版”Google Chrome瀏覽器。軟件開發(fā)者在代碼中嵌入了惡意函數(shù)，并對其進(jìn)行合法簽名，命名為ChatAI瀏覽器。具體執(zhí)行流程如下：

1.全局標(biāo)志檢測：

首先，程序通過一個全局變量標(biāo)志位來判斷是否激活惡意行為。

2.注冊表寫入：

隨后，樣本將AI瀏覽器的卸載信息寫入注冊表，以此來偽裝安裝痕跡，使用戶難以察覺其存在。

3.惡意主函數(shù)執(zhí)行：

接著，主程序開始執(zhí)行，釋放白加黑文件，完成惡意代碼的加載。

4.清理更新文件：

最后，在惡意行為執(zhí)行完畢后，自動刪除AI瀏覽器的更新文件，以隱藏痕跡。

后門函數(shù)

注冊表寫入卸載信息

其惡意木馬的主函數(shù)首先通過一系列的反調(diào)試和反虛擬機(jī)檢測來判斷當(dāng)前運(yùn)行環(huán)境是否安全。這一過程主要包括檢測是否存在抓包工具、Procmon、火絨安全分析工具、PCHunter以及VMware常用監(jiān)控和虛擬化軟件。

反調(diào)試反虛擬機(jī)

該檢測函數(shù)通過調(diào)用Windows API EnumWindows回調(diào)函數(shù)，遍歷當(dāng)前系統(tǒng)中的所有窗口。在回調(diào)過程中，函數(shù)會獲取每個窗口的標(biāo)題、類名等關(guān)鍵信息，并將其與常見抓包工具的窗口信息進(jìn)行比對。

獲取窗口信息，檢測抓包工具

通過窗口信息檢測procmon。

檢測Procmon

通過回調(diào)函數(shù)檢測火絨安全分析工具。

檢測火絨劍

通過枚舉驅(qū)動信息檢測PChunter。

檢測PChunter

通過查詢注冊表信息檢測VMWare。

檢測VMWare

隨后通過獲取特殊目錄路徑，并利用命令行的方式創(chuàng)建目錄Microsoft\Vault。

命令行創(chuàng)建目錄

創(chuàng)建成功后，惡意木馬利用COM接口{148BD527-A2AB-11CE-B11F-00AA00530503}（TaskScheduler接口）進(jìn)行計(jì)劃任務(wù)的管理操作。具體流程如下：

1.刪除原有計(jì)劃任務(wù)：

通過TaskScheduler接口，查找并刪除已存在的計(jì)劃任務(wù)CrashKernel，以避免與此前可能創(chuàng)建的任務(wù)產(chǎn)生沖突。

2.重新創(chuàng)建計(jì)劃任務(wù)：

以相同名稱CrashKernel重新創(chuàng)建計(jì)劃任務(wù)，并將其指向惡意文件，從而使其能夠在系統(tǒng)啟動或特定時間點(diǎn)自動執(zhí)行。

3.釋放騰訊 QQ 游戲相關(guān)組件進(jìn)行“白加黑”利用：

惡意木馬隨后釋放騰訊QQ游戲的合法組件（如QQGame.exe或TXPlatform.exe），并利用“白加黑”技術(shù)（即濫用合法簽名程序執(zhí)行惡意代碼）。

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\TXInstallUser.exe

C:\Users\Admin\AppData\Roaming\Microsoft\Vault\ Factory.dll

計(jì)劃任務(wù)、白加黑文件

通過com組件{148BD527-A2AB-11CE-B11F-00AA00530503}刪除計(jì)劃任務(wù)CrashKernel。

刪除計(jì)劃任務(wù)

之后首先通過查詢計(jì)劃任務(wù)狀態(tài)，并通過com組件{148BD524-A2AB-11CE-B11F-00AA00530503}創(chuàng)建計(jì)劃任務(wù)：CrashKernel。

查詢RPC服務(wù)狀態(tài)

查詢Schedule狀態(tài)

創(chuàng)建計(jì)劃任務(wù)

計(jì)劃任務(wù)

隨后采用相同手法創(chuàng)建目錄Microsoft\Crypto，但在實(shí)現(xiàn)自啟動方式上有所不同。此次不再依賴計(jì)劃任務(wù)，而是通過創(chuàng)建系統(tǒng)服務(wù)的方式實(shí)現(xiàn)開機(jī)自啟，并繼續(xù)利用“白加黑”技術(shù)釋放惡意文件。具體步驟如下：

1.創(chuàng)建系統(tǒng)目錄：

創(chuàng)建Microsoft\Crypto目錄，用于存放后續(xù)釋放的惡意文件。

2.創(chuàng)建服務(wù)實(shí)現(xiàn)開機(jī)自啟：

通過創(chuàng)建系統(tǒng)服務(wù)的方式，確保惡意程序能夠隨系統(tǒng)啟動自動運(yùn)行。

3.釋放白加黑文件：

釋放迅雷看看相關(guān)組件，并利用“白加黑”技術(shù)加載惡意代碼。