知名軟體被利用，小心主機被開後門

背景概述：

近日，深信服終端安全研究團隊中捕獲到了一個木馬程式，攻擊者透過網路釣魚的手段誘導受害者點選執行郵件中附帶的木馬程式，結合正常的Adobe CEF Helper程式進行攻擊；在區域網內透過共享目錄進行傳播，並在使用者主機上留下後門程式進行竊密或者其他惡意行為。

詳細分析：

從受害主機上的情況來看，病毒主要有三個部分構成：

木馬的啟動程式Explorer.exe其實為正常的Adobe CEF Helper程式，是Adobe Creative Cloud程式的元件之一：

該組織應該是發現了這個Helper程式會在執行過程中去以函式名的方式獲取到Hex.dll中CEFProcessForkHandlerEx的函式地址並執行。所以就偽造了一個假的Hex.dll並匯出同名函式CEFProcessForkHandlerEx進行一個劫持的過程。

這個偽造的CEFProcessForkHandlerEx函式首先會搜尋當前程式對應可執行檔案目錄下的AdobeUpdates.dat檔案：

 

然後將檔案中的資料讀出來：

 

用0當做隔斷，取前十個位元組作為秘鑰，第十二個位元組開始作為帶解密的內容。進行一個迴圈異或的解密：

 

異或的過程：

 

檔案內容，前十個位元組為迴圈異或的秘鑰：

異或完成後得到Payload：

然後開始執行Payload程式碼，其會將病毒的三個檔案複製到複製到%UserProfile%以及%Appdata%目錄下，並將Explorer.exe重新命名為AAM Updates.exe：

還會新增自啟動登錄檔項：

然後會建立新的程式AAM Updates.exe：

然後結束自身程式：

 

新建立的程式會持續執行，並與惡意地址進行持續的通訊，並且會不斷地想共享目錄寫下惡意的快捷方式，並將病毒複製到共享目錄。

嘗試與惡意的地址進行通訊：

 

寫下的快捷方式，意在透過用快捷方式讓內網其他使用者不小心將病毒執行起來：

 

日常加固：

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服產品解決方案：

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。