吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8939|回复: 189
上一主题 下一主题
收起左侧

[PC样本分析] 新型后门病毒伪装常用软件,正通过Google搜索引擎传播

     关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2023-10-30 18:50 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-10-30 18:52 编辑

近期,火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件,通过Google搜索引擎传播,主要针对中文用户。该病毒利用多种方式对抗杀软查杀,被运行后,黑客会立即控制受害者终端并进行任意恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
                 
查杀图


以假冒"QQ音乐"为例,在Google中搜索“QQ音乐”,搜索结果的第一名就是该病毒,如下图所示:


搜索引擎结果


该网站内容与QQ音乐原始官方网站高度相似,诱导用户下载,如下图所示:


病毒伪装的QQ音乐官网


用户运行通过Google搜索引擎下载的伪装安装包之后,程序就会释放病毒文件,随后执行黑客下发的恶意行为,包括文件监控、远程控制、键盘记录、窃取QQ微信隐私信息等。该病毒执行流程,如下图所示:


病毒执行流程


火绒工程师对该病毒进行详细分析后,发现该病毒是《后门病毒伪装成正常文件诱导点击 请保持警惕》报告中所提到的病毒的最新变种。该黑客团伙早期主要利用实时热点在国内的微信群聊中进行病毒的传播,现又以购买谷歌引擎传播病毒,预计后续还会持续更新传播手段。因此,火绒工程师建议大家尽量到官网下载软件,做到先使用安全软件扫描后再使用。




一、样本分析
黑客所伪造的安装包命名为“QQMusic_Music.msi”。当执行该安装包后,真正的QQ音乐安装包会被释放到“C:\Program Files (x86)\qqmusic\qqmusic\”路径中,同时在桌面生成一个快捷方式。此外,病毒相关的文件会被释放到路径“C:\Windows\SysWOW64\dazui2m(随机文件夹名)”并运行。火绒剑能够监控到的行为,如下图所示:



火绒剑监控到的行为图

该病毒采用了"白加黑"的技术策略,以规避安全软件的检测和清除,其隐蔽性表现突出。其中“libcef.dll”是经过黑客修改的病毒文件,而“webprocess.exe”则是一个带有正规签名“白”文件。相关的签名信息,如下图所示:


带签名的“白”文件

"libcef.dll"是被黑客修改过的 DLL 文件,其主要功能是对内层的后门模块进行解密和加载。为了对抗杀毒软件查杀,该 DLL 文件采用了混淆技术。它使用了 C++ 异常以打乱正常程序的执行顺序,这也有效地干扰了安全分析人员的分析工作。这种混淆方法能够阻止 IDA 插件的 "反编译"功能,混淆后的执行流程,如下图所示:


执行流程混淆

内层的后门模块采用了异或加密进行混淆。相关的解密代码,如下图所示:


解密后门模块

后门模块解密后将直接加载到内存中执行,而不会在磁盘上留下任何痕迹。这种方式使得其执行过程难以被传统的磁盘基础防御机制检测到,以此提高了其隐蔽性,相关代码,如下图所示:


内存加载恶意模块

后门模块被加载后会主动连接C&C服务器(154.91.65.25),接收并执行C&C服务器下发的恶意指令,相关代码,如下图所示:


连接C&C服务器


该病毒还会将自身添加到任务计划中,以实施持久化策略,从而达到在受害者电脑上持续运行的目的,相关代码,如下图所示:


添加任务计划

添加完任务计划后,通过系统自带的任务计划程序来查看,如下图所示:


被添加的任务计划

相较之前,最新变种增加了一些新的功能,例如,窃取微信数据库解密密钥、窃取QQ隐私信息、窃取Chrome浏览器数据等恶意功能。利用微信数据库密钥,攻击者能够解密受害者计算机上的微信数据库,从而获取受害者与其他人的聊天记录中的全部内容。通过这些信息,攻击者可以更有效地执行诈骗操作。获取微信数据库解密key并上传至C&C服务器,相关代码,如下图所示:


获取微信数据库key

该变种还具有通过利用 QQ 快捷登录协议来获取本机登录的 QQ 相关信息的能力。这些信息包括但不限于 QQ 好友备注以及好友QQ 号、用户所加入的 QQ 群组等敏感信息。这些数据代表了用户的私人和社交生活的关键方面,其泄露可能会导致严重的隐私侵犯。与微信数据库解密密钥一样,攻击者可以利用这些信息来进行更有效的欺诈行为。获取qq隐私信息,并上传至C&C服务器,相关的代码,如下图所示:


获取QQ隐私信息并上传至C&C服务器

通过对病毒代码的分析,我们可以推测该病毒具有窃取Chrome浏览器数据的恶意模块。在安全人员的调试与分析过程中,尚未捕获到这个恶意模块,但不能排除病毒在后续会下发这个恶意模块的可能性。相关的调用代码,如下图所示:


窃取Chrome浏览器数据

该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,相关功能相比之前变种,变化不大,通过对代码进行比较,我们可以确定该病毒是《后门病毒伪装成正常文件诱导点击,请保持警惕》中提到的病毒的最新变种。相关的功能代码对比,如下图所示:


功能代码对比

其他一些恶意功能如:键盘记录、文件窃取、下载执行恶意程序等恶意功能,这里不在重复赘述,请参考《后门病毒伪装成正常文件诱导点击,请保持警惕》。


二、附录


C&C



HASH

免费评分

参与人数 62吾爱币 +53 热心值 +51 收起 理由
5Axi + 1 谢谢@Thanks!
hl520 + 1 谢谢@Thanks!
hoshitiger + 1 + 1 我很赞同!
BlueCookiss + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
FZyuLI428 + 1 热心回复!
David001 + 1 + 1 谢谢@Thanks!
Tcming + 1 + 1 我很赞同!
Emperormummy + 1 + 1 我很赞同!
maiwens + 1 + 1 谢谢@Thanks!
aihaozhe + 1 + 1 谢谢@Thanks!
just_test + 1 + 1 用心讨论,共获提升!
foxfoxfoxfox + 1 我很赞同!
不懂破解 + 1 + 1 感谢提醒
小橙紫 + 3 + 1 可以,很详细
Q17 + 1 + 1 用心讨论,共获提升!
overnet + 1 鼓励转贴优秀软件安全工具和文档!
Nanx0922 + 1 谢谢@Thanks!
nihuyi + 1 我很赞同!
lxs384797 + 1 + 1 我很赞同!
hktwa + 1 + 1 谢谢@Thanks!
shengjiaohao + 1 + 1 我很赞同!
CODE003 + 1 + 1 我很赞同!
fanny188 + 1 谢谢@Thanks!
战地楠兵 + 1 + 1 我很赞同!
noyes6 + 1 用心讨论,共获提升!
angelurker + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 谢谢@Thanks!
cscscscs + 1 + 1 我很赞同!
fxxxysh010 + 1 + 1 谢谢@Thanks!
zhang19960428 + 1 谢谢@Thanks!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
leweishang + 1 + 1 谢谢@Thanks!
FDE9 + 1 + 1 谢谢@Thanks!
牵手走巷陌 + 1 + 1 我很赞同!
Fuzz + 1 感谢分享
hemingwang0902 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
进击的喵星人 + 1 我很赞同!
PEKO16 + 1 感谢大佬保护我们
Duke0910 + 1 + 1 谢谢@Thanks!
flysea163 + 1 果然远离腾迅就是远离不幸!
davide1024 + 1 我很赞同!
learre + 1 谢谢@Thanks!
gddfcz + 2 + 1 谢谢@Thanks!
抱薪风雪雾 + 1 + 1 谢谢@Thanks!
shadmmd + 1 用心讨论,共获提升!
ws001980 + 1 + 1 谢谢@Thanks!
arctan1 + 1 + 1 我很赞同!
HUAJIEN + 1 + 1 谢谢@Thanks!
theStyx + 2 + 1 谢谢@Thanks!
TSLPY + 1 + 1 谢谢@Thanks!
xinbao339 + 1 我很赞同!
trueray + 1 用心讨论,共获提升!
shenqi88 + 1 + 1 我很赞同!
youxiang160 + 1 热心回复!
5iAnn2020 + 1 谢谢@Thanks!
LAOBILAXI233 + 1 谢谢@Thanks!
luoye2010 + 1 + 1 热心回复!
zjun777 + 1 + 1 谢谢@Thanks!
dlpmmk + 1 + 1 热心回复!
多说无益 + 1 + 1 谢谢@Thanks!
chishingchan + 1 + 1 谢谢@Thanks!
Xaedon + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
玄玉 发表于 2023-10-31 09:16
厉害。现在下东西,都会去看看是不是官网,成习惯了。所以这十来年,电脑都没装过杀毒软件,电脑管家、360啥的也都没装过
推荐
ikunplmm51fan 发表于 2023-10-30 19:21
牛的 一般官网地址都挺短 容易记 不过可能还是会有上钩的
推荐
snel666 发表于 2023-10-31 09:05
上个星期已经公司财务有中招,是通过微信群接收的一个压缩文件传递的。并中招后,自动在公司微信群转发病毒文件,然后退群。
沙发
weizejiang 发表于 2023-10-30 19:05
感谢分享,
3#
terminator314 发表于 2023-10-30 19:10

感谢分享,差一点下载了
4#
takachi 发表于 2023-10-30 19:14
现在谷歌也像百度一样上广告软件了吗
5#
ranbo 发表于 2023-10-30 19:16
看样子还是国内引擎安全一点啊,最多是有捆绑广告
6#
gl1433223 发表于 2023-10-30 19:21
感谢分享,思路太棒了
8#
Mecamodore 发表于 2023-10-30 19:34
感谢分享,今天刚好想下载Q音,就看到这篇帖子了
9#
Srz831 发表于 2023-10-30 19:35
感谢分享提醒
10#
DP811 发表于 2023-10-30 19:37
厉害啊大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表