吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6499|回复: 107
收起左侧

[PC样本分析] “李鬼”软件暗设后门,对抗杀软侵蚀系统

   关闭 [复制链接]
火绒安全实验室 发表于 2024-8-20 18:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2024-8-20 16:44 编辑

近期,火绒威胁情报中心监测到伪装成有道翻译安装包的样本存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现该样本使用白加黑、反射加载 DLL 进行免杀,最终下载后门代码实现对受害者主机的控制。同时,它还会绕过 UAC 实现无弹窗执行,并存在创建服务设置自启动进行持久化驻留等行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
Image-0.png
火绒 6.0 查杀图

根据文件属性可以看出,该样本没有数字签名,而真实安装包含有数字签名:
Image-1.png
文件属性对比

样本执行流程如下所示:
Image-2.png
流程图

一、样本分析
安装
该样本是一个使用 Inno Setup 工具打包的安装包,其中包含有道翻译的文件以及 riotg.exe 、 vrgl.dll 、 RiotReport.inf 、 FSharp.Compiler.Service.dll 等文件:
Image-3.png
装载恶意程序

具体来说, riotg.exe 和 FSharp.Compiler.Service.dll 是白文件,其中 riotg.exe 是主程序,主要用于加载 vrgl.dll ;而 FSharp.Compiler.Service.dll 经过 vrgl.dll 加载后,被用于存放解密后的 RiotReport.inf 文件代码。
vrgl.dll 是解密器,而 RiotReport.inf 则包含被加密的恶意代码。
根据该样本内嵌的 Inno Setup 脚本,用户安装完成后该程序会启动 riotg.exe 并创建指向 riotg.exe 的开始菜单和桌面快捷方式:
Image-4.png
设置启动和创建快捷方式

值得注意的是,有道翻译的官方安装包并非采用 Inno Setup 工具进行打包,而是使用了另外一种名为 NSIS (Nullsoft Scriptable Install System)的工具:
Image-5.png
对比图

第一阶段—通过修改内存跳入关键代码
riotg.exe 是一个经过签名认证的白文件,通过签名和文件名可以推测它是拳头游戏(Riot Games)旗下瓦罗兰特(Valorant)的卸载程序。该样本利用 riotg.exe 本身会加载 vrgl.dll 文件的性质,将此白文件释放的 vrgl.dll 替换为病毒作者编写的恶意文件,且该恶意文件通过 ollvm 进行了混淆。
进行动态调试后发现,当恶意文件 vrgl.dll 被加载时,会将跳转指令写入到 riotg.exe 中的 0x140001000 地址:
Image-6.png
修改内存

而在 riotg.exe 的 WinMain 函数中,存在对 0x140001000 地址的调用,这就导致了恶意代码的执行:
Image-7.png
riotg.exe 白文件代码逻辑

汇编代码对比:
Image-8.png
修改前后对比图

程序一旦执行,就会跳转到下图所示的函数地址,从而开始运行恶意代码:
Image-9.png
恶意代码入口

第二阶段—解密代码并写入到 DLL 段中
利用异或解密,解密出字符串 RiotReport.inf :
Image-10.png
解密字符串

通过传入的 RiotReport.inf 字符串读取 RiotReport.inf 文件的内容,并将读取到的内容存入分配的内存中。该文件包含被加密的恶意代码:
Image-11.png
读文件

接着,加载白文件 FSharp.Compiler.Service.dll ,同时将 FSharp.Compiler.Service.dll 段的内存权限设置为 0x40 (读写执行权限)。然后,解密 RiotReport.inf 文件的数据,并将解密后的数据写入到 FSharp.Compiler.Service.dll 段 + 0x2000 偏移的内存中:
Image-12.png
覆盖 FSharpDll 内存段

通过一系列的赋值操作后,调用解密后的代码,即为加载后门下载器 DLL 的入口:
Image-13.png
调用代码

第三阶段—内存反射加载 DLL
通过遍历模块链表,利用 kernel32.dll 模块名称长度特征寻找 kernel32 模块,并获取该模块地址。
再遍历导出表,通过字符串比较,获取 GetProcAddress 函数地址:
Image-14.png
获取 GetProcAddress 函数地址

然后获取一系列函数地址:
Image-15.png
获取函数地址

通过异或解密,解密出导出函数 E82A4733D89E2867 :
Image-16.png
异或解密

通过异或解密,解密出后门下载器 DLL 压缩版:
Image-17.png
解密后门 DLL

将被压缩的 DLL 数据进行解压缩:
Image-18.png
解压缩

手动加载 DLL ,部分重定向表的处理如下图所示,除此之外还有复制节区、导入表处理、导出表处理等:
Image-19.png
手动加载 DLL

调用导出函数 E82A4733D89E2867 :
Image-20.png
调用导出函数

第四阶段— UAC 绕过、创建服务
第一次启动 riotg.exe 时会使用开源项目 UACME 绕过微软 UAC (用户账户控制)中 59 号方法,即使用 UacMethodDebugObject 方法进行绕过 UAC 。
具体原理是通过低权限进程(如 winver.exe )获取调试对象,然后启动高权限进程(如 computerdefaults.exe )并设置调试对象,等待调试事件为 CREATE_PROCESS_DEBUG_EVENT ,此时通过调试事件获取高权限进程(如 computerdefaults.exe )的进程句柄,复制句柄时赋予 PROCESS_ALL_ACCESS 权限,最后用新句柄启动具有提升权限的 riotg.exe 程序:
Image-21.png
Github 中代码-提权操作

第二次启动的具有提升权限的 riotg.exe ,通过提权过程中的进程启动情况可以看出,是由 computerdefaults.exe 启动的:
Image-22.png
进程启动情况

提权后启动的 riotg.exe 会获取网卡信息、计算机名、硬盘驱动器型号等信息,猜测可能用于标记用户。
此次 riotg.exe 启动后,会通过 wmic diskdrive get model 命令,获取硬盘驱动器的型号信息:
Image-23.png
获取硬盘驱动器型号信息

同时执行 powershell -Command Add-MpPreference -ExclusionPath C:\ 命令,将 c 盘置于 Windows Defender 白名单中,以防止 Windows Defender 检测出异常:
Image-24.png
powershell 执行

还会复制四个关键文件到 C:\Windows\RiotGames 文件夹下,并设置只读隐藏系统属性:
Image-25.png

然后,创建自动启动的服务,并设置了如果被关闭就自动重启的时间为 0min ,即立即重新启动。
第三次启动的 riotg.exe 通过自动启动的服务启动。此次启动 riotg.exe 后会开始下载后门模块:
Image-26.png
riotg.exe 服务属性

第五阶段—下载后门模块
设置服务器 IP 和端口,其中 80 端口和 443 端口循环切换:
Image-27.png
设置 IP 和端口

开始下载后门模块,连接服务器 154.91.82.161 :
Image-28.png
初始化并连接服务器

通过 recv 函数接收数据,接收的数据即为后门模块:
Image-29.png
接收数据

异或解密函数代码,该函数只有 IsEncrypt 为 1 时才会进行解密,否则只进行内存复制和初始化:
Image-30.png
解密函数

将数据存放于注册表 HKEY_CURRENT_USER\Console\1\d33f351a4aeea5e608853d1a56661059 中,并执行后门模块:
Image-31.png
执行后门模块

后门模块
后门模块通过内存反射加载后门 DLL ,并调用 DllMain 函数创建后门主线程:
Image-32.png
创建主线程

模块将记录剪切板数据和当前窗口信息:
Image-33.png
记录剪切板

还会进行记录键盘之前的初始化、设置日志名、获取 input 对象等操作:
Image-34.png
初始化

键盘记录相关代码:
Image-35.png
记录键盘

其中,键盘记录文本会写入到 CSIDL_COMMON_APPDATA\DisplaySessionContainers.log 文件中:
Image-36.png
记录键盘日志

之后,模块会检查是否有监控或者安全软件:
Image-37.png
遍历窗口检查

一直循环遍历到没有监控或者安全软件为止:
Image-38.png
反复检查

如果没有安全软件,模块将会向远控服务器发送主机详细信息,其中包含内存、CPU、磁盘、网卡、主机名、权限等级、时间等信息:
Image-39.png
发送信息

同时开始接收远控指令。

远控功能
设置新远控服务器 IP ,用于动态变更远程服务器:
Image-40.png
设置新远控服务器

清空日志:
Image-41.png
清空日志

检查进程名是否存在:
Image-42.png
检查进程名是否存在

下载并执行:
Image-43.png
下载执行

除此之外,还有截屏、重新打开本进程、关闭本进程、关闭电脑等远控功能。

二、附录
C&C:
Image-44.png

HASH:
Image-45.png

免费评分

参与人数 46吾爱币 +41 热心值 +42 收起 理由
yayul + 1 + 1 我很赞同!
网瘾大哥 + 1 不错 在这也能看到 我还以为只在火绒论坛发这个
papapo + 1 + 1 我很赞同!
wozi + 1 谢谢@Thanks!
beiwangqing + 1 + 1 用心讨论,共获提升!
1201net + 1 + 1 鼓励转贴优秀软件安全工具和文档!
屁屁屁啪啪啪 + 1 + 1 我很赞同!
yangqing020629 + 1 + 1 我很赞同!
SkaraZane + 1 + 1 用心讨论,共获提升!
xiao73 + 2 + 1 热心回复!
熊猫拍板砖 + 1 + 1 我很赞同!
sw7057 + 1 热心回复!
ioyr5995 + 1 + 1 我很赞同!
Wormhole + 1 谢谢@Thanks!
i7_720qm + 1 + 1 谢谢@Thanks!
小朋友呢 + 2 + 1 热心回复!
lxg6120c + 1 + 1 谢谢@Thanks!
qsj521521 + 1 + 1 谢谢@Thanks!
gzsklsskszngc + 1 + 1 我很赞同!
cbh + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Issacclark1 + 1 谢谢@Thanks!
aiyinyin + 1 + 1 我很赞同!
LIwen123 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
星空迷徒 + 1 谢谢@Thanks!
qjlfl + 1 + 1 用心讨论,共获提升!
aliang709394 + 1 + 1 我很赞同!
957840251 + 1 + 1 我很赞同!
唐小样儿 + 1 + 1 我很赞同!
anonyman + 1 + 1 虽然看不懂,但是不影响我一直使用火绒
18868195147 + 1 热心回复!
LJJ001 + 1 + 1 我很赞同!
Haoyua + 1 + 1 原来是官方啊!
树袋熊睡醒了 + 1 + 1 我很赞同!
yiwenji + 1 谢谢@Thanks!
liuxuming3303 + 1 + 1 谢谢@Thanks!
bugof52pj + 1 谢谢@Thanks!
qiaoyong + 1 + 1 热心回复!
cloudfend + 1 + 1 谢谢@Thanks!
jianghaiaoy0u + 1 + 1 用心讨论,共获提升!
HanXinchen + 1 + 1 我很赞同!
afrend + 1 热心回复!
wang380006 + 1 + 1 热心回复!
a1221331441 + 1 + 1 我很赞同!
UBm0bTRe4O + 1 + 1 用心讨论,共获提升!
wanfon + 1 + 1 热心回复!
gameyw + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

怜渠客 发表于 2024-8-20 18:26
火绒,YYDS
shimianmaifu 发表于 2024-8-20 21:59
火绒加油

今天修了台电脑发现一进程占用cpu85%,进程路径还是个空文件夹,任务管理器了好多upate进程和乱七八糟名字进程,原机有360已无法打开,重新安装后依旧无法运行,这是被针对了。。。。

卸载后安装火绒查出并杀掉病毒
四君子 发表于 2024-8-20 18:27
xk0068 发表于 2024-8-20 18:36
火绒给力啊
collinchen1218 发表于 2024-8-20 18:44
我就说,印象中有道是nisis安装程序
LoveCHN 发表于 2024-8-20 18:59
嘿嘿 前排前排~
ike666 发表于 2024-8-20 19:05
大佬,学习一下
zhaoysh1004 发表于 2024-8-20 19:28
感谢分享
ceciliaaii 发表于 2024-8-20 19:31
大佬给力
laotzudao0 发表于 2024-8-20 19:41
大佬厉害
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 01:12

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表