上班一族注意了！何謂人在公司坐，鍋從天上來？近日，360安全大腦監測發現一款偽裝成辦公軟體的木馬程式，該木馬不僅偽裝成“單據列印系統”這類常用辦公軟體，竟然還擁有合法有效的軟體數字簽名，企圖冒充“良民身份”入侵電腦，並躲避安全軟體的查殺。

        一旦成功矇混過關，該木馬便會在電腦中潛伏工作，包括鍵盤記錄，螢幕控制，語音監聽，檔案管理等等功能，不管是辦公電腦還是家庭電腦，都危害無窮！不過廣大使用者無需擔心，目前360安全大腦已經國內首家支援對該木馬的查殺。

冒充“良民”躲避查殺 兩幅面孔伺機切換

        但是，一旦發現你電腦雲端開啟工作指示，那麼該軟體就會執行潛伏工作，從雲端下發和釋放惡意檔案，對使用者電腦進行安裝佈置，直至完全控制使用者電腦，例如訊息彈窗，鍵盤記錄，螢幕控制，語音監聽、視訊檢視等等功能。

此地無銀三百兩，“戲精”作者妄圖混過審查

        一般來說，一款擁有數字簽名的“正規軟體”會被計算機所信任，而那些惡意程式則由於360安全大腦的實時監測和持續查殺，存活率非常低。正因如此，該木馬作者鋌而走險，妄想通過偽裝成正規公司來提交軟體，企圖矇混過關。在軟體稽核過程中，該作者還多次通過電話和郵箱催促，一再強調自己是正常軟體，實在是“此地無銀三百兩”。

（木馬作者郵件催促，妄圖混過審查）

        360安全專家對惡意軟體進一步溯源分析，發現該軟體公司的營業執照，確認此公司確實存在。

（簽名公司的營業執照）

        除了“正規”的營業執照，木馬作者還特定為該公司申請了合法有效的數字簽名《南充市慶達商貿有限公司》：

        進一步挖掘後發現，該系列遠控木馬與曾經多次出現的Torchwood木馬是同一家族，早在2017年的一篇報告中我們就披露了Torchwood木馬作者的部分資訊（“hxxps://www.anquanke.com/post/id/87775”），與這次木馬作者企圖混白時提供的資訊比較發現，擁有相同的手機號碼和qq號，因此認為是同一人或團伙所為。該木馬作者在上次被曝光後並未收手，持續對木馬進行更新，對抗安全軟體的查殺。（下圖中為我們追蹤到的不同版本的Torchwood木馬控制端）。

（木馬控制端）

工作流程

        該木馬作者主動提交的“單據列印系統”除了正常的功能程式碼之外，還包含了一些加密資訊，解密後會得到木馬雲控地址。根據後續程式碼流程可以知道從雲端下發的檔案是一個DLL模組，該模組將在記憶體中被載入，並執行名為“MainThread”的匯出函式。執行了該DLL功能後，會繼續釋放其他惡意檔案，對使用者電腦進行安裝佈置，直至完全控制使用者電腦。

 （ 木馬工作流程 ）

詳細分析

        執行木馬作者提交的“單據列印系統”軟體程式，該程式首先會檢測雲控地址是否開啟工作流程，如果沒有開啟那麼軟體將會執行無害的流程，顯示正常的程式功能。但是如果雲端開啟工作指示，那麼該軟體就會執行潛伏工作，常駐在使用者電腦中造成危害。

（ 雲控未開啟的執行狀態 ）

        木馬程式檢測到雲端開啟工作流程後下載DLL模組並在記憶體載入執行的程式碼如下。

（ 雲控開啟後的木馬流程 ）

        由於木馬作者提交的軟體版本中雲控地址（hxxp://www.ohmytatoo.com/Tatoo.html）暫未開放，所以並未開始投入使用。不過通過360安全大腦感知，我們卻發現了相同C&C域名的木馬在野傳播案例。如下圖所示，在野木馬程式功能與上述提交的軟體版本基本一致，都是通過雲控地址下載惡意檔案，但與之前版本不同的是，在野木馬中還多了一個加密的惡意程式，在呼叫“MainThread”匯出函式時，會直接載入執行該惡意程式。

（ 在野木馬程式 ）

        對比在野木馬和提交稽核版本的雲控流程，發現C&C地址可以相互替換，執行流程是一致的，兩個程式呼叫惡意DLL的程式碼部分基本相同。

（ 企圖認證的程式                                                                              惡意程式 ）

        從在野木馬雲控地址（hxxp://www.ohmytatoo.com/dll.jpg）下載的檔案，主要功能是在C盤根目錄下建立一個Microsoftxxxxx的目錄（目錄後5位是隨機字元），並將加密惡意模組寫入到該目錄下的檔案“bugrpt.log”，同時再釋放一些輔助模組，文件結構如下圖所示。

（ 木馬釋放的檔案 ）

        其中“schedule.exe”是被木馬利用的”視窗隱藏工具”，可以通過更改同目錄下的配置檔案讓該程式來完成新增自啟動項的任務。

（ 白利用設定自啟動 ）

        接著木馬程式會通過命令列呼叫”temp.exe”（實為WinRAR解壓程式）對 “temp.txt”檔案進行解壓，解壓密碼為”123”。此步驟釋放出來的兩個重要檔案是一組典型的白利用，用於躲避安全軟體的查殺，其中白檔案是騰訊的漏洞掃描程式，被重新命名為“schedule.exe”用以替換剛剛新增自啟動項的”視窗隱藏工具”，而黑檔案則命名成“qmipc.dll”以便在系統自啟白檔案“schedule.exe”時自動被載入。

（ 程式鏈 ）

        “qmipc.dll”模組的主要任務是對加密惡意模組bugrpt.log進行解密和記憶體載入，並啟動名為“Torchwood”的匯出函式。解密的惡意模組即為Torchwood遠控的核心程式。

（ PELoader模組 ）

        進一步對該後門程式進行分析，得到木馬遠控的上線地址為120.24.231.105:7363。

（ 木馬上線地址 ）

        至此，該木馬程式就完成了其安裝工作的任務，可以長期潛伏在受害使用者的電腦中，並實時處於木馬作者的監控之中。下圖是木馬作者雲端使用的後門管理軟體。

（ 木馬控制端 ）

安全建議

        360安全大腦通過多種技術手段防禦和發現最新木馬病毒，並國內首家實現對該類木馬的查殺，對於辦公及家庭電腦，360安全大腦建議：

1、建議廣大使用者前往weishi.360.cn，及時下載安裝360安全衛士，保護個人資訊及財產安全；

2、使用360軟體管家下載軟體。360軟體管家收錄萬款正版軟體，經過360安全大腦白名單檢測，下載、安裝、升級，更安全；

3、避免下載、接收和執行不明來源的檔案，以防中招。