警惕“偽裝者”木馬攻擊，會將遠控木馬和挖礦木馬裝在電腦上

一、概述

騰訊安全御見威脅情報中心近期捕獲到一批偽裝成各類正常“軟件程序”進行攻擊的病毒，看起來可能下載了個工具軟件，運行後，“偽裝者”木馬內置的惡意腳本就會從病毒控制者的服務器下載遠程控制木馬和門羅幣挖礦木馬運行。騰訊安全專家建議用戶注意防範，使用騰訊電腦管家保護系統，運行軟件安裝包前，先檢查安裝包的大小和數字簽名。

被病毒假冒的軟件程序包括遊戲軟件、文檔閱讀軟件、視頻播放軟件、瀏覽器等。病毒執行後釋放VBS腳本，連接服務器下載另一段腳本代碼執行，並通過腳本下載安裝DarkComet木馬對電腦進行遠程控制，同時植入門羅幣挖礦木馬。通過關聯分析還發現木馬下載服務器傳播的另一個樣本，該樣本會利用瀏覽器登錄密碼蒐集工具WebBrowserPassView蒐集用戶密碼，保存到文件並上傳至服務器。

此次攻擊的特點為：在投放木馬時偽裝成各類軟件的安裝包，在最終植入的木馬運行時又偽裝正常軟件的進程名，用來下載惡意腳本代碼及病毒木馬的服務器是攻擊者入侵後控制的某些色情和酒店網站服務器，“偽裝者“木馬還會使用短鏈接地址、服務器校驗等方法來躲避分析人員的追蹤。

在整個攻擊過程中使用大量網民熟悉的軟件名稱來命名木馬文件，通過攻擊其他網站來下載自己的惡意程序，十分善於隱藏和偽裝自身，因此我們將其命名為“偽裝者”木馬。

“偽裝者”木馬攻擊流程

二、詳細分析

以其中一個偽裝成知名PDF閱讀軟件的木馬進行分析：

從官網下載的正常的Foxit Reader安裝程序的屬性，其版本已經更新到9.5.0.20723，擁有合法的數字簽名，並且文件大小為75.8M

而查看木馬偽裝成Foxit Reader的病毒程序屬性，顯示文件版本為2.3.2008.2923,沒有數字簽名，並且文件大小也只有200K，從信息來看非常可疑

分析發現木馬使用7-Zip SFX生成了可執行程序，生成時通過壓縮算法進行壓縮，木馬的體積會大大減小

運行後釋放子木馬到目錄%AppData%\7ZipSfx.000\dgfvg6t346teg.exe，將母體中包含的PE數據寫入文件中, 然後拉起木馬執行

dgfvg6t346teg.exe先判斷是否已經存在指定的VBS腳本文件，若存在則將原來的文件刪除，然後創建文件%AppData%\TouchpadDriver\TouchPad.vbs（文件名偽裝成觸摸板驅動程序），並寫入經過混淆的VBS腳本代碼

混淆只是將字符替換成了字符碼，將執行命令“Execute”轉換為顯示命令“WSH.echo”即可看到原來的代碼

腳本代碼拼接完整URL（hxxps://x.co//touchpad），並從該URL下載另一段VBS腳本代碼執行

hxxp://x.co//touchpad是一個短鏈接地址，請求時同過重定向跳轉到hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3，然後從該地址下載惡意代碼

打開該網站pornxxxx.com是一個色情網站，黑客攻陷了該網站並利用其服務器來下載木馬

分析時發現hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3在通過瀏覽器或其他下載軟件訪問時會返回404錯誤，無法下載到惡意代碼；而在病毒釋放的VBS腳本卻可以下載到惡意代碼。推測是木馬服務器對Get請求數據包的參數做了校驗，從而保證只在木馬運行環境中返回代碼執行

返回的代碼主要完成以下功能：

1、結束可疑的挖礦進程

2、下載DarkKomet後門木馬植入

3、下載門羅幣挖礦木馬啟動挖礦

三、RAT木馬

腳本下載木馬的地址：hxxp://www.thedecxxxxx.com/filegator/repository/tsl.png

下載後保存為到%temp%目錄，然後命名為ChromeInstaller-xxxxxxx.exe，偽裝為Chrome瀏覽器安裝包程序啟動。通過進一步分析可發現，該木馬為DarkComet遠控木馬，具有遠程操作，敏感信息蒐集等大量遠控功能。

訪問下載地址www.thedeckxxxxx.com為越南某酒店的網站，推測該網站已被黑客攻陷。

木馬下載運行後拷貝自身到目錄：C:\Users\[guid]\Documents\MSDCSC\ChromeUpdater.exe，繼續偽裝成Chrome升級程序執行

添加到註冊表Run啟動項，達到隨機啟動

調試分析該遠控木馬程序，可以看到，樣本運行後會讀取資源區中的”DCDATA”資源，然後進行解密，解密後得到配置信息如下：

#BEGIN DARKCOMET DATA --

MUTEX={DC_MUTEX-NAFAPZM}

SID={pro-serv}

FWB={0}

NETDATA={10.119.193.17:2223|185.82.217.154:2223|185.82.217.154:4271}

GENCODE={w7qqzeFtkGwa}

INSTALL={1}

COMBOPATH={7}

EDTPATH={MSDCSC\ChromeUpdater.exe}

KEYNAME={Chrome Updater}

EDTDATE={16/04/2017}

PERSINST={1}

MELT={1}

CHANGEDATE={1}

DIRATTRIB={6}

FILEATTRIB={6}

SH1={1}

SH4={1}

SH7={1}

SH8={1}

SH9={1}

CHIDEF={1}

CHIDED={1}

PERS={1}

OFFLINEK={1}

#EOF DARKCOMET DATA --

通過解密出的信息可以知道，攻擊者使用的控制服務器地址為：

10.119.193.17:2223、185.82.217.154:2223、185.82.217.154:4271

根據木馬特點可以確定為DarkComet，是由一個來自法國的獨立程序員（Jean-Pierre Lesueur）開發的遠程訪問木馬（RAT），該木馬自2014年起被發現由APT組織用於針對敘利亞地區的相關攻擊活動中。當作者發現該程序被用於間諜活動後，便停止了繼續開發。

該木馬具有信息蒐集、網絡控制、電源操作、服務操作、下載執行文件等大量遠控功能：

下面是該後門程序執行相關功能的代碼片段：

四、挖礦木馬

腳本在植入DarkComet木馬後，繼續執行判斷系統版本為32位或64位，從而下載相應版本的挖礦木馬

hxxp://89.161.175.214//diana/images/t6.ico

hxxp://89.161.175.214//diana/images/t3.ico

將挖礦木馬保存為%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe（偽裝遠程控制軟件TeamViewer），隨後拼接字符得到連接礦池所需的用戶名“vazgen8882”，將其作為登錄參數啟動挖礦程序

拼接字符：

挖礦進程啟動參數：

%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe -o asia.cryptonight-hub.miningpoolhub.com:20580 -u vazgen8882.2 -p x --donate-level=1 --safe -B

五、關聯分析

通過關聯分析發現下載DarkComet木馬的服務器目錄下存在另一文件

hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg

內容為經過混淆的VBS代碼，混淆方法與前文中用於下載的腳本一致，解碼後發現腳本功能同樣為下載和執行木馬，並且會將木馬蒐集到的信息上傳到服務器

混淆的VBS腳本

解碼後的腳本：

該VBS腳本下載的木馬

(hxxp://www.thedeckxxxxxx.com/filegator/repository/httpccr.com

)實際上為蒐集和保存在瀏覽器中的各類網站登錄用戶名和密碼的工具WebBrowserPassView，黑客利用該工具其進行攻擊時以隱藏窗口的狀態運行（偽裝正常進程名chrime-sync.exe），然後將蒐集到的登錄密碼保存為text文件，併發送至服務器

hxxp:// 111.68.119.123/~prolabm/tempfiles/l/f/l.php

該工具正常運行時界面如下：

蒐集登錄密碼相關代碼如下：

將蒐集的密碼數據保存為%Temp%favicon.ico，將其上傳至服務器

六、安全建議

1、不要運行來歷不明的程序。

2、在軟件下載站下載任何軟件需要十分警惕，注意查看軟件包的大小和數字簽名，如果發現要下載的軟件只在幾十KB到幾MB，又沒有數字簽名，建議刪除，推薦通過電腦管家的軟件管理下載安裝常用軟件。

3、保持殺毒軟件實時開啟，攔截可能的病毒攻擊。

IOCs

d08c4f6ef706216e7af4bee0b759d764

e609db4a8f2c64de9236f57a87bd049b

b55c4f882232c5451b1e977a7992d4ce

adc5a5db5a0e8064e1010ca76bbcabc5

779a0372b0df79e8eb4565e9af95f665

d409d54ff0da983effe23b21dd708aa6

5efc097ac23fd32c374b74e1c130c42d

7e0f9f1c138fc9dcc6b28091a2e042fb

24952c4208e049ccc05b17a509606442

6b0a6518f592044021ffc7cf1fec8c0d

444ec695f32858c3c8902185026d648f

IP

45.40.140.1

111.68.119.123

C&C

10.119.193.17:2223

185.82.217.154:2223

185.82.217.154:4271

URL

hxxp://x.co//touchpad

hxxps://pornxxxxx.com/wp-content/uploads/2018/04/?ver=5.3

hxxp://www.thedecksaigon.com/filegator/repository/tsl.png

hxxp://89.161.175.214//diana/images/t6.ico

hxxp://89.161.175.214//diana/images/t3.ico

hxxp://www.thedecksaigon.com/filegator/repository/httpccr.com

hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg

hxxp://111.68.119.123/~prolabm/tempfiles/l/f/l.php​​​​

閱讀更多 惠州網警 的文章

關鍵字: 黑客 Windows 偽裝者