吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8330|回复: 87
收起左侧

[PC样本分析] 后门病毒携带蠕虫 使用多种免杀手段

   关闭 [复制链接]
火绒安全实验室 发表于 2023-8-2 16:42
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-8-2 16:45 编辑

近期,火绒威胁情报系统监测到一款后门病毒正在快速传播,被激活后会释放多个恶意文件并执行,使黑客可以进行信息收集,远程控制等恶意操作。值得注意的是,该病毒不但使用多种免杀手段躲避查杀,其释放的子文件中还具有Synares 蠕虫感染特征,可在受害者电脑的文件中进行传播。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

1.png
火绒查杀图
  
用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。除此之外,该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑,致使释放的子文件中存在着蠕虫的特征,增加了破坏性。执行流程如下图所示:

Image-2.png
执行流程图

在免杀层面上,该病毒文件使用了包括:多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆等多种技术来进行对抗。在此,火绒工程师提醒大家警惕陌生文件,先查杀再使用。

  一、样本分析
malware.exe:
在分析对抗层面上,病毒对运行逻辑进行了混淆处理,并利用了包括:函数指针动态获取、函数包装调用等手段来干扰静态分析:

Image-3.png   
函数指针动态获取

Image-4.png
函数包装调用

在关键执行层面上,病毒文件先后释放look2.exe 和 "HD_malware.exe" 文件并执行。其中 look2.exe 存放于用户的 TEMP 目录中,而"HD_malware.exe" 则释放到桌面下,并赋予 "隐藏属性和系统保护属性" 隐藏自身。

Image-5.png   
执行流程图

Image-6.png   
文件示意图

Look2.exe:
look2.exe是一个支持持久化和配置更新的木马程序。该病毒在执行前会解密出互斥体名称: “kinh.xmcxmr.com:442:svchcst” ,通过该互斥体的成功创建与否来判断父进程malware.exe 是否正在执行,以此决定后续操作。

Image-7.png   
父子进程交互

后续操作中,look2.exe 会尝试获取系统目录,然后释放一个以时间戳命名的 bat 文件,该文件实则为用于加载的 DLL 文件。根据父进程写入的执行标志位来决定是直接执行 DLL 内 MainThread 导出函数还是 Install 导出函数(这两个导出函数在后面解析),执行完后还尝试删除文件,但实际上由于文件被加载占用,所以无法被移除。

Image-8.png
look2.exe 执行流程


另一种情况是look2.exe 被用于执行配置更新操作,当命令行中包含 GUpdate 和要更新的注册表项时,程序会定位到指定的位置进行配置更新:

Image-9.png
配置更新操作

释放的 DLL 文件实际上是Gh0st 后门病毒的变种,该 dll 中包括 5 个导出函数,但都围绕着 MainThread 展开。导出函数名代表了真实意图,包括配置更新(DllUpdate)、创建服务(Install)、卸载服务(Uninstall)、服务启动函数(ServiceMain)。

Image-10.png
导出函数列表

Image-11.png   
导出函数逻辑代码


MainThread 包含核心恶意功能,包括:终端数据收集,接收和执行控制命令、派发执行任意病毒模块等。火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击》文章中披露的后门病毒在执行流程和代码逻辑上,经对比与该函数没有太大改动,故不再重复分析。
Image-12.png   
注册表修改对比

Image-13.png   
信息收集对比图

HD_malware.exe:
“HD__malware.exe” 是一个被 Synares 蠕虫病毒感染过的文件,当它执行时,会释放感染前的".cache_malware.exe" 源程序,并且执行蠕虫自身的感染操作,包括:更新自身配置、篡改注册表自启动项,感染指定位置 EXE和 EXCEL 文件、远控,窃密等。执行流程如下所示:

Image-14.png
执行流程图

Synares蠕虫病毒是一个相对较老的病毒,虽然变种极多,但本次观察到的行为与以前版本并无太大变化,包括感染的三个指定位置为:%USERPROFILE%\Desktop、%USERPROFILE%\Documents、%USERPROFILE%\Downloads。包括键盘记录和usb、目录文件信息记录,并通过邮件回传。包括基础远控功能:CMD 命令执行、屏幕截图、打印目录、下载文件、删除文件等,故不再重复分析。

Image-15.png   
代码逻辑图

._cache_HD_malware.exe
释放出来的 ._cache_HD_malware.exe 是被感染前的原始程序,其套用 vmp 壳来试图隐藏自身逻辑:

Image-16.png   
套用 VMP 壳

在其内部嵌入了未加密的 EXE 文件,用于释放执行,并包含核心操作:

Image-17.png   
内嵌 EXE 文件

HD_.cache_HD_malware.exe
内嵌的 EXE 文件在释放时会再次以 “HD_” 做前缀,其同样被设置系统保护和隐藏属性,并且套用 SE 壳试图隐藏逻辑:

Image-18.png
  套用 SE 壳
Image-19.png   
当前文件示意图

该病毒文件执行时,会从C2 服务器上下载 exploror.exe 写入到创建的 C:\windowss64 目录下 computer.exe 文件中并启动执行。
Image-20.png   
下载文件并执行

Computer.exe
Computer.exe是一个引导程序,用于引导内嵌的 DLL 加载执行。内嵌 DLL 是加密存储的,Computer.exe 在执行时会构造并利用异常来进行反调试,并且解密操作也在异常处理中定义。
Image-21.png
解密 DLL 和异常反调试

在解密内嵌 DLL 后,会调用指定导出函数 fuckyou,剩下所有操作均由 DLL 内代码完成。
Image-22.png
指定导出函数

该导出函数主体逻辑同样与火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击》 文章中提到的后门病毒,经对比并没有太大改动(DDOS 模块已移除),故不再重复分析。
Image-23.png   
代码对比

二:附录
HASH
Image-24.png   

免费评分

参与人数 29吾爱币 +27 热心值 +28 收起 理由
zhangy1219 + 1 + 1 谢谢@Thanks!
koroa2021 + 1 我很赞同!
timnech + 1 + 1 鼓励转贴优秀软件安全工具和文档!
allspark + 1 + 1 用心讨论,共获提升!
cscscscs + 1 + 1 我很赞同!
shengjiaohao + 1 + 1 我很赞同!
yyr520 + 1 我很赞同!
生命的大和谐 + 1 + 1 谢谢@Thanks!
0hh + 1 我很赞同!
zjh520 + 1 热心回复!
ttt000 + 1 + 1 用心讨论,共获提升!
Ms3007 + 1 + 1 用心讨论,共获提升!
Haifengsec + 1 + 1 热心回复!
yag010 + 1 + 1 用心讨论,共获提升!
weidechan + 1 + 1 用心讨论,共获提升!
mockmoon + 1 + 1 热心回复!
541 + 1 + 1 虽然看不到,但是感觉好牛逼
52pjdexiaozhang + 1 + 1 我很赞同!
chengyafu + 1 + 1 我很赞同!
SaZNWRGjyrDE + 1 + 1 用心讨论,共获提升!
taya163 + 1 + 1 热心回复!
nnzhs + 1 + 1 谢谢@Thanks!
晓风残月祭 + 1 + 1 我很赞同!
忆魂丶天雷 + 2 + 1 我很赞同!
Jubilee + 1 + 1 谢谢@Thanks!
timeni + 1 + 1 用心讨论,共获提升!
sundeheng + 1 + 1 我很赞同!
芽衣 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
UUoh + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

sxp3468 发表于 2023-8-2 17:02
安全靠火绒
 楼主| 火绒安全实验室 发表于 2023-8-3 14:28
mcgee214 发表于 2023-8-3 13:17
你家官网怎么又被提示有风险了

您好,该情况属于误报。火绒产品不存在有害程序,请广大用户放心下载使用。目前我们已第一时间进行申诉。在解除误报前,建议您使用其他浏览器进行访问、下载。详情见:https://www.huorong.cn/info/16910313011046.html
wyl0205 发表于 2023-8-2 16:51
请问这个病毒是通过什么程序传播的,病毒的传播渠道是啥?下载站?我们以避免下载这个程序。
maoxinhong 发表于 2023-8-2 17:11
电脑装上火绒,安全感满满的
逐雅斋 发表于 2023-8-2 17:18
又有新病毒了,幸亏安装了火绒
momo2436 发表于 2023-8-2 17:29
真不错,感谢分享。
vicky526356 发表于 2023-8-2 17:44
电脑装上火绒,安全感满满的,感谢火绒
sundeheng 发表于 2023-8-2 17:48
火绒还是强
hangzi0428 发表于 2023-8-2 17:54
火绒安全还是挺强的
 楼主| 火绒安全实验室 发表于 2023-8-2 18:17
wyl0205 发表于 2023-8-2 16:51
请问这个病毒是通过什么程序传播的,病毒的传播渠道是啥?下载站?我们以避免下载这个程序。

火绒是可以拦截查杀的,大家别担心
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表