吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11402|回复: 128
收起左侧

[PC样本分析] 恶意后门利用多种免杀手段,可远控用户电脑

     关闭 [复制链接]
火绒安全实验室 发表于 2023-7-19 17:13
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-7-19 17:55 编辑

近期,火绒威胁情报系统监测到一款后门病毒正在快速传播,被激活后会通过远程服务器下载多个恶意文件并获取远端恶意代码,随后黑客可以进行截取受害者屏幕图像、远程控制受害者电脑等各种恶意操作。不仅如此,该病毒还使用多种手段来躲避安全软件的查杀,隐蔽性极强。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。


Image-0.png

火绒查杀图



该黑客团伙投递的文件名大部分与用户常用软件有关, 火绒安全实验室目前收集到其伪装的部分文件名如下图所示:                          

Image-1.png

相关文件名



火绒工程师分析发现,该病毒使用了包括 VMProtect 壳保护、构造 ROP 链、DLL 内存加载、“白加黑” 、多层内存解密等多种技术来躲避安全软件的查杀,因此,火绒安全提醒用户不要轻易点击来历不明的文件,建议先查杀后再使用。 注:“ROP (返回导向编程) ” 是一种将栈上写入的 shellcode 指令串联起来,使其能作为函数被已加载指令调用的一种手段。




一、样本分析



本次分析的病毒执行流程如下所示:


Image-2.png



病毒执行流程



该病毒类型随着时间线推进,分别使用了 UPX、VMP 等保护壳,而目前监测到最新的版本为无壳版本,可见作者仍在积极开发测试当中:


Image-3.png


加壳情况





病毒首先在栈中开辟大块区域写入代码,该代码块随后作为 EnumFontsW 的回调函数被执行。这种通过记录栈中的可执行流(ROP)的方式可以绕过数据执行保护(DEP),增强其隐蔽性。


Image-4.png


栈中记录代码



获取栈中展开的代码后发现内嵌了一个 DLL 文件,该 DLL 在内存中自加载,并调用其唯一的导出函数 make,这种加载方式能使其无法通过 ProcessExplorer 等软件检测出加载的行为,进一步增强了免杀效果。


Image-5.png


DLL 内存加载


在 make 函数的执行过程中,其会先判断当前执行的文件名是否包含预定义数字,这些数字目前理解有两个含义:回连标志和单独执行标志。执行流程图如下所示:


Image-6.png

执行流程图




1:第一个是回连标志,当包含特定的数字(回连标志)时,其会从 C2 下载相应的jpg 文件并重命名为 md.jpg,分别存放在 "C:\Users\Public\" 和"C:\Users\Public\Documents\" 目录下以供后续使用


Image-7.png

下载指定 jpg 文件



每一个下载的 jpg 文件实际上都是一个 shellcode,不同的 jpg 文件在代码层上都是统一的,但是在数据段中有着不同的回传 IP 和 C2 域名,所以称其为回连标志。(该类shellcode 将在后面分析,每个 jpg 所含有的 IP 在附录中可查)


Image-8.png

jpg(shellcode) 文件解析



2:第二个是单独执行标志,当程序不具备单独执行标志(这里是"16116")时,其必须先拥有 md.jpg 文件,然后再下载其他恶意文件。这些病毒文件会分别存放到不同的位置中,包括:

•       "C:\Users\Public\Documents"目录下 ttd.exe、UnityPlayer.dll

•     “C:\Users\Public\”目录下 zd.exe、md.exe、zd.jpg


Image-9.png

其它文件下载



分类执行:

根据 make 函数中的执行逻辑可知,所下载的恶意文件分成 3 大部分:

第一部分:zd.exe (单独线程执行,内存加载 zd.jpg)

第二部分:md.exe(单独线程执行,内存加载 md.jpg(如果有的话))

第三部分:Documents 下的ttd.exe、UnityPlayer.dll (设置隐藏属性,暂时保留)


Image-10.png


分别执行



第一部分——zd.exe:



zd.exe是一个由 Rust 编写的恶意加载程序,用于将一同下载的 zd.jpg 作为 shellcode 加载并执行:


Image-11.png

由 Rust 编写



在 zd.exe 内部也存在着 PDB 路径,许多调试符号,有意义的字符串等信息可以验证分析:


Image-12.png

字符串等验证信息





zd.jpg 作为 shellcode 被加载执行,在代码与数据之间,病毒作者以codemark 作为分界线。在数据区中,前面部分字节被赋予了特定的含义,有用作函数参数的,有用于作为执行条件的,称其为标志位区。后面有可直接使用的域名信息,称其为字符串区。最后是待解密使用的字符,称其为解密数据区(在后面会使用)。


Image-13.png

shellcode 加载


当定位到分隔符 "codemark",获取特定标志位信息及域名字符串 yk.ggdy.com 后,便会对其发起连接请求。这里发送给 C2 的 "64" 猜测是要求回传 64 位的代码,由此也可进一步猜测有 32 位版本。


Image-14.png


从 C2 下载恶意代码



回传代码部分:

C2 对指令的响应可能在不同的时间有着不同的下发代码,也可能还存在别的响应指令,这里仅讨论本次下发的代码内容。本次下发的恶意代码进行了包括屏幕截图,注册表读取,保持回连等操作。详细分析如下:本次接收的代码依旧处于加密状态,在解密运算中,从 E byte 位开始为待解密信息,解密计算从 0 偏移处开始算起,解密逻辑如下。


Image-15.png

解密回传代码


然而,在解密后的代码中发现里面还嵌套着两个 DLL 文件,并且是递归嵌套,下图并未展示嵌套关系:(在母 DLL 里面还嵌套着子 DLL 文件,但子 DLL 并未执行)


Image-16.png

DLL 嵌套


在执行过程中,其会先后执行内嵌母DLL 的 dllmain 函数和 load 函数:


Image-17.png

回传代码执行



虽然该 DLL 有 3 个导出函数,并且run 和 zidingyixiugaIDAochuhanshu(喻指自定义修改导出函数)并未执行,但是它们所作的操作都围绕着两个点:

•       第一个是获取并修改前面 zd.jpg 待解密数据区中数据进行解密并与注册表中 IP 数据相关联。这部分代码将 shellcode 末尾加密数据的特定字符进行包括字符替换等解密方式后,得到一个类似于域名,时间,路由消息组成的以 "|" 分隔的关键字串,猜测是想创建并写入注册表 IpDate 中进行后续提取利用。


Image-18.png

shellcode 末尾数据区解密




•       第二个是开启两个后台线程,一个是屏幕截图,另一个是保持回连。

屏幕截图所在的线程先会获取系统目录"C:\ProgramData",然后在该目录下创建 quickScreenShot 文件夹,以当天日期创建分类文件夹,最后把拍摄的屏幕数据以 "日期时间" 的命名方式写入并保存


Image-19.png

获取屏幕截图



在进行屏幕截图的过程中,另一个保持回连的线程也会同步开启,但该线程会先休眠整整60分钟:


Image-20.png

进程休眠



之后会进行代码解密操作,以hackbrian 作为 key 执行解密算法:


Image-21.png

代码解密





解密后的代码与前面分析的 shellcode 同类,用于等待 C2 的下一步操作,可以执行包括远程控制在内的各种操作。(这里 ttkk.youbi.co 域名是错误的,末尾少了个m,怀疑由作者的疏漏导致)。


Image-22.png

内嵌加密 shellcode


最后在该内嵌 dll 的字符串中发现有 "上线模块.dll",猜测会在后续阶段的由 C2 下发。


Image-23.png

上线字符串



第二部分——md.exe


md.exe也是由 rust 编写,经过逻辑对比发现其与 zd.exe 一致, 代码字节也是相同,故不再重复分析。


Image-24.png


逻辑对比图


Image-25.png


码字节对比图



第三部分——ttd.exe 和UnityPlayer.dll

ttd.exe在本次样本分析属于第三部分,并未被启动运行,怀疑是在开发中或暂时保留以备后续操作的模块,这里出于安全研究的目的继续对其进行分析。病毒作者在这里利用了白加黑手法,通过合法的 ttd.exe 加载携带恶意代码的 UnityPlayer.dll 躲避查杀,该 dll 在被加载时也会 "变相" 执行 shellcode 中的代码进行后续操作。其先进行文件复制,把"C:\Users\Public\Documents\md.jpg" 复制成 "C:\Users\8.jpg" :


Image-26.png

文件复制



然后执行打开本地画板程序 mspaint.exe,以进程注入的方式在其内存空间中开辟适当空间,并写入jpg 中的 shellcode 代码,随后调用 CreateRemoteThread 进行远程线程执行。


Image-27.png

进程注入

Image-28.png


加载并写入 shellcode


shellcode的后续执行部分在前面已详细叙述,这里不再重复分析。



二、附录:

C&C

Image-29.png

HASH


Image-30.png

免费评分

参与人数 79吾爱币 +67 热心值 +70 收起 理由
HundSimon + 1 我很赞同!
ai3D + 1 鼓励转贴优秀软件安全工具和文档!
shengjiaohao + 1 + 1 我很赞同!
JustMoveForward + 1 + 1 谢谢@Thanks!
s3rious74 + 1 用心讨论,共获提升!
taya163 + 1 + 1 我很赞同!
gargoyles + 1 + 1 用心讨论,共获提升!
inkpure + 1 + 1 热心回复!
spirit16 + 1 很有意思的一个帖子 可以自己尝试一下
hul1 + 1 + 1 用心讨论,共获提升!
bury咩 + 1 + 1 热心回复!
xu125716 + 1 学习了 ,棒
liuxia + 1 + 1 热心回复!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
nullptr0x7 + 1 🐂啊
monk3435 + 1 + 1 我很赞同!
Colin130716 + 1 + 1 热心回复!
Fanqim + 1 了解了更多病毒知识赞
12285054 + 1 谢谢@Thanks!
ygywzb + 1 + 1 鼓励转贴优秀软件安全工具和文档!
骏哥呵呵33 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lzliushiyu + 1 谢谢@Thanks!
lingyun011 + 1 + 1 热心回复!
Jackrong_ + 1 谢谢@Thanks!
Nights_glow + 1 + 1 热心回复!
shaunkelly + 1 + 1 火绒厉害了,上次电脑中毒还派专人来给我电脑杀毒,大赞!!!
LeonardFrye + 1 我很赞同!
sprluckguo + 1 我很赞同!
zxn2016zxn + 1 + 1 鼓励转贴优秀软件安全工具和文档!
DawnXi + 1 + 1 谢谢@Thanks!
zbya + 1 我很赞同!
charleswcy + 1 谢谢@Thanks!
liyuehongxuan + 1 + 1 谢谢@Thanks!
aoustes + 1 我很赞同!
guhuishou + 1 + 1 用心讨论,共获提升!
Myy8421 + 1 我很赞同!
Monklamn + 1 + 1 用心讨论,共获提升!
ACCP + 1 + 1 我很赞同!
w250550 + 1 + 1 用心讨论,共获提升!
mp502195855 + 1 + 1 我很赞同!
jyys1860 + 1 谢谢@Thanks!
fxxxysh010 + 1 + 1 谢谢@Thanks!
siscool + 1 + 1 谢谢@Thanks!
叶无道 + 1 + 1 热心回复!
尹铭 + 1 + 1 哇 非常细致 有理有据 大赞
SaZNWRGjyrDE + 1 + 1 膜拜大佬
womow + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
名shu + 2 + 1 我很赞同!
word11 + 1 鼓励转贴优秀软件安全工具和文档!
liu1024 + 1 + 1 热心回复!
nice12358 + 1 用心讨论,共获提升!
是随风啊 + 1 热心回复!
你个萝卜嘞 + 1 + 1 我很赞同!
2366183585 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Jorywang11 + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 谢谢@Thanks!
Mark82II + 1 + 1 热心回复!
tkggddm + 1 谢谢@Thanks!
blindcat + 1 + 1 谢谢@Thanks!
alwapj + 1 + 1 谢谢@Thanks!
biant666 + 1 鼓励转贴优秀软件安全工具和文档!
开心熊猫741 + 1 + 1 我很赞同!
bobo53051 + 1 + 1 热心回复!
peiwithhao + 1 👍
liuxuming3303 + 1 + 1 谢谢@Thanks!
cybycy + 1 + 1 我很赞同!
msclds + 1 我很赞同!
howsk + 2 + 1 还有人敢玩远控,牛批
一个电脑小白 + 1 + 1 用心讨论,共获提升!
teddymvs + 1 我很赞同!
logafo + 1 + 1 谢谢@Thanks!
cscscscs + 1 + 1 我很赞同!
青-山胡椒 + 1 + 1 用心讨论,共获提升!
Patches + 2 + 1 热心回复!
忆魂丶天雷 + 2 + 1 谢谢@Thanks!
北冥鱼 + 2 + 1 热心回复!
wystudio + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wangchenghu98 + 1 + 1 热心回复!
SouperGeng + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

名shu 发表于 2023-7-19 19:11
Lrr35266046 发表于 2023-7-19 17:22
大佬呀,看着这么 专业!

这可是杀毒软件团队官方号

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
yyb1813 + 1 + 1 我很赞同!

查看全部评分

jwzb 发表于 2023-7-19 17:29
xiaoql 发表于 2023-7-19 17:21
Lrr35266046 发表于 2023-7-19 17:22
大佬呀,看着这么 专业!
Leonardo张 发表于 2023-7-19 17:25
可以可以,先收藏了
Him8848 发表于 2023-7-19 17:31
火绒就是流批
RXG 发表于 2023-7-19 17:47
非常好非常实用
dingqh 发表于 2023-7-19 18:21
哇塞。。。。
apull 发表于 2023-7-19 20:02
厉害了,学习下,假装学会了。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-1-9 10:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表