0x0 背景介紹
近日,深信服安全團隊排查定位到一款偽裝為Windows系統幫助檔案的遠控木馬,攻擊者通過遠控木馬下發挖礦程式到被害主機,佔用主機資源進行挖礦。
0x1 威脅關聯分析
通過威脅分析發現,該木馬連線的域名 fuck88.f3322.net和r.nxxxn.ga是已經被開源威脅情報收錄的兩個惡意域名,同時用於Kryptik木馬的控制端:
查詢域名fuck88.f3322.net的whois資訊,可以看到註冊者使用名為“peng yong”,並且該註冊者同時註冊了多個具有欺騙性的動態域名:
通過深信服雲腦查詢惡意域名相關資訊,在最近一個月內攻擊次數均較為平穩:
服務DLL檔案Remote.hlp是一個偽裝成Windows幫助檔案的後門程式,僅從字串分析,就能夠得到許多功能資訊,而此次事件捕獲的域名所關聯的後門程式中,均存在一條“TheCodeMadeByZPCCZQ”標識字串:
可以推斷,這些後門程式均來源於同一款遠控生成器,並且通過對後門dll的字串分析,有很多中文描述的控制操作,可以確認是一款漢化的遠控程式:
在此次捕獲的安全事件中,除了持久化駐留的後門程式,在被害主機中存在通過後門投放的挖礦程式,偽裝成銀行圖示,佔用主機資源進行挖礦:
命令列中配置的的惡意域名為o.vollar.ga。
0x2 後門母體
1. 檢查互斥體“XXNBbin1”,如不存在則建立該互斥體:
2. 驗證路徑“C:\ProgramData\Microsoft\Windows\GameExplorer”是否存在,如不存在則建立:
3. 建立登錄檔值,並設定如下鍵值:
hKey = HKEY_CURRENT_USER
Subkey = "Software\Microsoft\Windows\Windows Error Reporting"
ValueName = "DontshowUI"
Value = 0x01
hKey = HKEY_LOCAL_MACHINE
Subkey = "software\microsoft\remote\Desktop"
ValueName = ""
Value = "C:\Documents and Settings\Administrator\桌面\"
4. 釋放用於註冊後門服務的DLL檔案,路徑為"C:\ProgramData\Microsoft\Windows\GameExplorer\Remote.hlp",並設定檔案屬性為HIDDEN|SYSTEM:
5. 登錄檔裡新增服務註冊項,不同的母體註冊的服務名稱會有變化:
該樣本中服務名稱為".Net CLR",研究員排查過程中發現有過“Ias”、“FastUserSwitchingCompatibilty”,服務指向的DLL程式都是母體釋放的Remote.hlp:
6. 建立服務並啟動:
7. 釋放"C:\Windows\System32\\Delete00.bat"檔案,清除母體,然後退出母體程式:
0x3 服務DLL
1. 服務DLL檔案通常是遠端控制軟體批量生產的的被控端,會釋放在C:\ProgramData\Microsoft\Windows\GameExplorer\目錄下並命名為Remote.hlp,偽裝成Windows幫助檔案:
2. 通過逆向分析可總結該遠控木馬所具有的功能如下:
獲取主機資訊 | 程式獲取/結束/暫停/恢復
|
滑鼠鎖定/解鎖
| 檔案傳輸
|
螢幕黑屏/解除黑屏
| 重啟/關機/登出
|
隱藏桌面/解除隱藏
| 服務安裝/啟動/停止/刪除
|
系統操作快捷鍵
| 網路管理/代理設定
|
Win7加速開啟/關閉
| 軟體管理
|
hosts檔案修改
| 新增使用者
|
遠端shell
| 訊息傳送
|
檔案壓縮
| 新增QQ群
|
3. 同時,該遠控木馬會檢測是否存在以下安全軟體,嘗試繞過,具體見下表:
Navapsvc.exe | FilMsg.exe |
spiderui.exe | Iparmor.exe |
AVK.exe | KSafeTray.exe
|
360sd.exe
| KvMonXP.exe
|
ashDisp.exe
| kxetray.exe
|
avcenter.exe
| mcupdui.exe
|
avguard.exe
| msseces.exe
|
AVK.exe
| Navapsvc.exe
|
360sd.exe
| 360netman.exe
|
ashDisp.exe
| ns.exe
|
avcenter.exe
| PFW.exe
|
avguard.exe
| QQPCTray.exe
|
360Tray.exe
| RavMon.exe
|
avp.exe
| secenter.exe
|
BaiduSdSvc.exe
| egui.exe
|
ccSvrHst.exe
| 360tray.exe
|
0x4 解決方案
深信服安全產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
0x5 加固建議
1. 使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;
2. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
3. 定期使用安全軟體進行全盤掃描和處置,定期檢測系統漏洞並且及時進行補丁修復。