0x00 前言

---

本月初微博上有知名大V曬出一封私信截圖，私信是以某記者名義發出，要求採訪該大V博主，並提供了一個網盤連結作為“採訪提綱”。當博主下載網盤中存放的所謂“採訪提綱”後，該檔案被360安全衛士檢測為木馬進行清除。

我們根據截圖中的網盤連結下載了偽裝“採訪提綱”的木馬進行分析，發現這是來自於一個長期從事木馬植入與資料竊取的不法駭客團伙，該團伙利用盜取或冒名的各類賬號，對賬號關聯人發起攻擊，木馬功能包括錄音、遠端上傳或下載任意檔案、服務管理、檔案管理、螢幕監控等，很明顯是意圖竊取資料進行勒索或售賣來謀取利益。

0x01 樣本資訊

---

0x02 樣本流程圖

---

0x03 樣本詳細分析

---

>> XXXX採訪提綱.exe<<

木馬作者將自己的樣本做成一個word文件的樣子。不管從圖示還是名字上面來看都是word的樣子誘導使用者去點選檢視。但是這個卻是一個exe程式。該exe程式執行時首先會在C盤下面嘗試寫一個空檔案，看是否能夠寫入成功。如果寫入成功他就會刪除該檔案，然後開始執行一系列操作來在安裝自己。首先釋放大量檔案，作者將自己的資料夾設定為了隱藏。如果我們的資料夾選項中沒有勾選顯示隱藏搜保護的作業系統檔案我們是看不到的。

釋放檔案完畢後接下來會建立VSTquanjuhe.com這個可執行檔案，VSTquanjuhe程式會執行explore來開啟C:\OA路徑。彈出一個空的docx文件。(ps:測試沒有裝word，所以這裡比較尷尬，沒有word圖示)

接下來用ua.exe這個程式來解壓links.ini檔案，解壓密碼為”█噎冪蕟嚄Щ暜囖醃∷滸濤∑”,解壓後判斷判斷系統是多少位的如果是32位的就執行Win1.bat檔案，如果是64位的就執行Win2.bat(Win2.bat內容和Win1.bat內容相似，只是不再判斷是多少版本的系統)

>> Win1.bat <<

該檔案的內容主要是先判斷是否存在swapfile.sys檔案，來判斷作業系統版本的。如果存在就將test1.pfx重新命名為2016mt.1r放到C：\Windows目錄下，否則就將test2.pfx檔案重新命名為2016mt.1r放到C：\Windows目錄下.接下來 呼叫regedit.exe來執行ua.lnk→執行mew.1r→msg 系統需要升級→關機重啟

>>ua.lnk<<

寫入登錄檔，並關聯檔案。將.1r檔案與”VBEFile”檔案相關聯以及將.3f檔案與”inifile”檔案相關聯。使這兩種字尾的檔案能按vbe和inf檔案的形式開啟。

>> mew.1r <<

該檔案是一個被加密了5次的vbs檔案，原始檔開啟看到的像是一堆亂碼.

如圖:

最後解密到的指令碼內容

解密後的vbs檔案的主要功能就是模擬滑鼠去點選執行C:\$NtUninstallKB1601A$\BinBackup\MYTEMP檔案下的8.3f檔案

>> 8.3f <<

在RunOnceEx下寫入了一個登錄檔，開機時就啟動2016mt.1r(vb檔案)檔案。

>> 2016mt.1r <<

開機後執行2016mt.1r→0s.bat檔案→呼叫regdit執行lang2.lnk→解壓abc1601.bat→執行shotdown

>> os.bat <<

用abc.os檔案去覆蓋qmvext.db檔案，該檔案時用來存放規則的檔案。寫入規則後的檔案就不會被查殺了。這裡作者用自己的資料檔案替換使用者的資料檔案。就是為了繞過騰訊管家的查殺。不過這個漏洞在2013就在烏雲上報導過了。

>> lang2.lnk <<

透過呼叫regeedit /s來執行reg檔案。該檔案的主要作用是關聯檔案以及在登錄檔在Active Steup下的StubPath鍵下寫入了C:\\$NtUninstallKB1601A$\\BinBackup\\super.inf，寫入登錄檔寫入後，super.inf檔案會在作業系統啟動後第一時間啟動。比任何一個程式都要先啟動。

>> abc1601.dat <<

abc1601.data是一個被加密了的壓縮檔案。解壓密碼為“▓羋奤柒♀懋髖瓊♂蠟蕙纗▓ ”。解壓後出現一個shotdown檔案，然後ua.exe會執行shotdown檔案，shotdwon釋放FreeImage.dll檔案,接下來FreeImage.dll會釋放出並執行FreeImage.exe

>> FreeImage.exe <<

該檔案是先將自己寫的函式的地址寫入在程式中，這樣就提高了分析者對樣本分析的難度

將地址寫死在程式中後，透過對暫存器的呼叫來呼叫自己寫的函式。一直在不停的call eax來呼叫函式

在對該遠控功能分析的時候，我們發現該遠控具備的功能大概如下

錄音
遠端上傳以及下載檔案
服務管理
檔案管理
螢幕監控

該遠控主要透過注入svchost程式來啟動。下面就是他的注入過程。先以管理員許可權執行svchost.exe

接下來就對他進行注入了。先呼叫WriteProcessMemory函式對svchost.exe寫入資料，接下來呼叫SetThreadContext函式來設定EIP然後呼叫ReumeThread來恢復執行緒

透過新設定的EIP我們找到了被注入的svchost.exe的入口地址(透過對寫入檔案前下CC斷點),用OD附加後除錯發現。被注入的檔案就是FreeImage本身。如果注入成功，FreeImage就結束執行。不過不管注入成不成功svchost也會發起資料連結，結合在動態分析對該遠控功能的分析和對資料包結構的分析。可以看出，該遠控是一個灰鴿子改版過來的RemoteABC遠端控制軟體

圖.上線包

如果系統版本不是win8及其以上,則2106mt.1r是由test1.pfx解密而來檔案主要內容如下

執行os.bat(覆蓋騰訊信任檔案資料庫檔案)→解壓abc.data→解壓inst.ini→執行會釋放出遠控的shotdown.exe→呼叫regedit.exe執行lang1.lnk→重啟電腦

>> inst.ini <<

解密後得到的檔案是作者事先寫好的360衛士的信任區資料檔案和一個安全工具及其相關的元件

>> lang1.lnk <<

lang1.lnk將bmd.vbe寫入了啟動項裡面。寫入後會開機自啟動，啟動後執行bmd.vbe

>> bmd.vbe <<

bmd.vbe檔案也是被加密過5次的vbs檔案，它主要執行ub.lnk以及gsxt.bat

>>ub.lnk<<

ub.lnk解密mtfile.tpi檔案。並執行ing.exe檔案

>> gsxt.bat檔案主要內容<<

gsxt.bat透過呼叫一個rootkit工具，刪除替換殺軟的信任區檔案，從而將木馬加入使用者的信任區。儘管該木馬專門針對360安全衛士進行破壞，試圖躲過查殺，但360多重防護體系的“下載保護”將木馬直接報毒清除，使其無法執行起來，從而有效保護了使用者避免中招。

0x04 木馬背後

---

在我們捕獲的同族系樣本中，還發現一個命名為“left and right base trigger, left and right bumper s136mould20000pieces.exe”的樣本。該檔案屬於工程技術類文件，而圖示則是一個資料夾圖示。與上面分析的樣本不同的的是，它是在OA資料夾下釋放的，並且不再是Word文件，而是四個STEP文件。STEP檔案是一個國際統一的CAD資料交換標準，根據這四個STEP檔案內容來看，是針對SolidWorks 2014這款軟體的。

這個木馬團伙最近一段時間，使用遠控控制伺服器，均是位於青島的阿里雲伺服器中心。

兩個木馬使用的遠控上線地址：

下面是近期該族系傳播比較多的幾個變種，涵蓋多個行業：

木馬傳播檔名	主要傳播方式	木馬傳播主要針對人群
2016年樣片拍攝方案及費用1.exe	聊天軟體	攝影師、模特等從業人員
大道包裝鋼平臺技術要求1208.exe	郵件	工程專案相關從業人員
12-8日操作建議.exe	聊天軟體	股票證券相關從業人員/炒股人群
核實一下賬戶資訊.exe	聊天軟體/郵箱	銀行業相關從業人員/財會人員
超級3m匯款單.exe	網盤	金融理財人群
新出樓盤.exe	聊天軟體	房地產相關從業人員/有房屋買賣需求人群

不難發現：木馬的檔名、傳播渠道、針對人群這三組指標都有極高的統一性，這明顯不是那種常見的“撒網捕魚”式的木馬，而是前期先獲取到一部分人的郵箱、通訊軟體、社交平臺等賬號密碼，之後人工分析原賬號持有者的社交圈和社交習慣，再根據分析結果定向傳送定製的木馬程式，增加木馬投放的成功率，同時也方便更有目的性和更高效的竊取中招使用者機器上的資料。植入中招使用者機器中的是遠控木馬而不是普通的盜號木馬，這樣也是更方便認為的控制要獲取的資料，目的性進一步提高。

關係草圖大體如下：

這裡只是將已經展現在我們面前的第一層關係圖畫出來，不難發現在這種有人工參與的目的性極強的攻擊方式下，很容易的形成一個鏈式反應。只要參與運營的人手夠多，就足以在短時間內掌握大量的特定行業內部資訊——而這能換取的經濟利益顯然是巨大的。

0x05 總結

---

此類定向木馬具有明顯的專一性，需要較高的人工參與度，所以傳播方式並不是傳統木馬的以量取勝，而是轉變為定點打擊的精準小範圍傳播。雖然成本更高，但顯然收益也更加可觀。同時避免大規模的傳播也就等同於降低了被各大安全廠商雲安全機制發現的風險。

應對此類木馬，安全軟體的查殺固然必不可少，使用者的自我防範意識也必不可少。對於好友突然發來的檔案，也要多加註意。安全軟體已經提示風險的檔案，切莫隨意開啟。廣大網民也要注意自身的賬號安全，對於洩漏的密碼要及時廢棄，以防自己的賬號成了木馬團伙攻擊的武器。360網際網路安全中心也會繼續關注該木馬家族的發展，積極提供應對方案，保障網民安全。