“小龍女”網銀被盜案關鍵惡意程式變形捲土重來

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2016/03/29 18:20

Author: kangxiaopao

0x00 背景


TeanViewer是全球知名的合法遠端控制,一般用於線上遠端協助。它的一個定製版服務,已經不是第一次成為其他遠控的幫兇了。在2014年的時候因為“小龍女”李若彤經紀人被騙100萬轟動一時,現在又重新回到大眾的視線。這次TeamViewer不再單單只是TeamViewer了,它變了。這次TeamViewer還攜帶著灰鴿子

0x01 變種前


變種前,不法分子主要透過廣泛收集受害者資訊,然後有針對性的進行欺騙。這樣下來的每一單金額都相當的大。我們來看看他的主要手法,不法分子冒充警察告知使用者的正涉及某項洗錢活動,把涉及金額說的相當的大,你不相信?不法分子非常貼心的為你準備了專門的熱線以及網站供你查詢。當你撥打不法分子為你提供的電話號碼的時候,其實與你通話的就是那些對你錢包意圖不軌的人。(為啥要打他給提供的電話號碼呢╮(╯▽╰)╭)。它讓你登入某個有關部門的網站去檢視你自己的資訊,一看資訊什麼的全對,哎喲媽呀,真的是自己啊。然後就掉進了圈套。開始對不法分子放鬆警惕,開始信任,並且乖乖的聽話。然後我們的TeamViewer就上場了,一個定製版的TeamViewer就出現在了使用者面前,你看它長的像下面這個樣子。標題有沒有很屌?圖示有沒有很嚇人?

p1

定製版的把使用者名稱和密碼都寫死了的,只要你點選連結,你就自動上線了。然後在你輸入你的銀行卡相關資訊後,你的錢錢就沒了,沒了,沒了。是真的沒了,找不回來了的那種。下面就是作案手法

p2

0x02 變種後


變種後的可變態了,不再是需要經過很久資訊收集的物件了,而是把範圍擴大了。雖然用的還是TeamViewer,可是它已不是當初的那個他了。它在原來的基礎上升級了一下,在虛偽面紗背後,它還能釋放出一個灰鴿子。變種前我們可以說,那都是針對有錢人的,我們看看就好,現在已經擴散開了,這就提醒了廣大使用者,不要輕信陌生人的電話,不要輕易點選不該點選的程式。下面我們就來探究一下新變種到底是個什麼東西,從而採取預防措施。

0x03 樣本分析


樣本執行流程

p3

樣本行為分析

這個是母體程式,母體雖然也叫China.exe,但是他不具備TeamViewer的數字簽名。它是一個惡意的程式

p4

主體程式釋放出兩個程式,其中一個是合法的遠控程式China(TeamViwer),會連線到遠端客服端,能對使用者電腦進行遠端控制。

p5

看看看,這個China.exe是有簽名的,這個才是正常的TeamViewer。

p6

另外一個遠控就是我們前面看到的svchost,這個遠控是在背地裡執行著的,所以這就降低了不法分子盜取使用者資金的難度,以及使受害者範圍更加的廣。讓我們看看他都在背後做了些什麼詭異的操作。先判斷在system32下是否能夠找到自己的替身,沒找到的話就將自己複製過去並替自己的替身將屬性設定為系統檔案。

p7

p8

然後透過呼叫GetVersion函式來判斷程式當前執行的環境是什麼系統,根據判斷結果選擇是否對程式的許可權進行提升。為了不讓作業系統 彈框框╮(╯▽╰)╭

p9

提升程式執行許可權的地方。是不是很眼熟,大部分木馬病毒程式中差不多都會看到這個程式碼。o(╯□╰)o

p10

程式透過寫入一個服務,從而讓背後的遠控長期駐紮在使用者的系統中,而且在呼叫CreatService的時候,為引數StartType指定的SERVICE_AUTO_START。該遠控就會在系統啟動的時候,隨著服務控制管理器的啟動而自動啟動

p11

執行自己的替身的同時還會釋放出一個bat檔案,來替自己處理後事。消屍滅跡。

#!bash
:Repeat
del "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe"
 If Exist "C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\svhost.exe" Goto Repeat
 del %0

新啟動的替身會開啟iexplore,並將自身注入到了iexplore程式中,讓iexplore做在自己的傀儡。

p12

讀取程式自己的資料到記憶體候中,為待會兒注入iexplore做準備

p13

動態獲取到ZwUnmapViewOfSection函式的地址,用來解除安裝iexplore的記憶體資料。同是為待會兒注入做準備。也就是跟古代小說一樣,被壞人給洗腦了,什麼都忘記了。

p14

然後壞人們就會開始往你的腦子裡灌輸一些黑暗的,反動的思想,然後我們的iexplore也就成了這個樣子。╮(╯▽╰)╭

15

傀儡開始要做壞事了。想找到了目標,然後開始出擊。呼叫ResumeThread會回覆了執行緒,然後我們的傀儡程式就跑起來了

p16

透過對域名解析,獲取到ip地址,這裡木馬製作者用的是花生殼提供的動態域名,所以跟蹤不到作者的私人資訊。作者有很強的私人資訊保護意識,雖然利用了兩款遠控軟體但是兩款都是都很難追蹤到作者背後的資訊。

p17

獲取到受害者的主機名,還有主機地址

p18

從這裡就可以很清晰的看出傳送的資料

p19

還獲取了大量檔案資訊,然後就會進入一個長期監控的狀態。等待不法分子傳送遠端命令。

p20

0x04 溫馨提示


為防上當受騙,提醒廣大市民在接到自稱“公檢法”機關的來電時,一定要認真核實對方身份,切勿輕信對方發來的網址。如果遇到電腦滑鼠被他人控制、顯示器忽然黑屏等異常情況,應立即拔掉網線,重啟電腦後使用安全軟體全盤掃描殺。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章