小編最近刷朋友圈,好多人發的內容是:仙女打卡,踢咪、提米、踢米。。。。
不知道在幹什麼,咱也不敢說,咱也不敢問。
近期ForShare遠控木馬較為活躍。而且傳播版本是將帶有遊戲物品價格信息的圖片跟病毒捆綁在一起,在執行時通過偽造的遊戲道具交易價格圖片迷惑遊戲玩家,舅問你迷不迷。
一、長話短說
ForShare遠控木馬由國內黑客2015左右開發完成,在多個平臺均有源碼可供下載,攻擊者可根據自己的需要靈活修改定製。中招後電腦即被遠程控制,鍵盤輸入、桌面窗口信息被實時採集和上傳,該遠控木馬還可實現語音監聽,屏幕控制,遠程控制攝像頭、DDoS攻擊,以及竊取受害者的敏感信息。
二、說來話長
這次ForShare病毒樣本PE信息顯示編譯時間為2019年12月28日。
啟動後首先通過命令net stop UIODetect關閉交互式服務檢測提示。
在C盤根目錄下創建C:\\jpg.jgp,C:\\1.bat,並通過C:\\1.bat中的CMD命令打開圖片:
%SystemRoot%\\system32\\cmd.exe /c start C:\\jpg.jpg &attrib c:\\jpg.jpg +h &attrib c:\\1.bat +h
Jpg.jpg圖片打開時的內容,其中包含一些虛擬遊戲道具的價格信息:
然後進入遠控木馬主體代碼,傳入標識參數"Forshare82"。
通過VirtualAlloc動態申請內存,並將模塊PcMain.dll映射到內存,然後跳轉到入口處執行。
獲取時間拼接到"Global\\\\klt %d"作為全局事件名,創建互斥體保證模塊具有唯一實例
與服務器建立連接,其中各參數如下:
服務器地址:129.204.169.107
端口:8000
密碼:3800
分組:Default
版本:2020-03-16
判斷是否接到退出命令,如無則通過ResetEvent設置等待事件,保持連接狀態。
將木馬拷貝到Windows目錄下,重命名為scrss.exe,然後添加到註冊表啟動項"Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"。
開啟鍵盤記錄,並實時獲取活動窗口標題信息,將鍵盤輸入和活動窗口數據加密後保存至Windows目錄下,文件後綴為.key。
上線成功後,ForShare可根據服務端指令,完成屏幕控制,語音監聽,上傳和下載文件,執行程序,關機和重啟等多種遠控功能。
而該木馬源代碼在多個共享平臺可供下載,導致黑客可以隨意下載和重新修改編譯。
我們將C&C地址輸入騰訊安圖高級威脅溯源系統查詢,可以看到有較多情報標籤為Forshare或gh0st的與129.204.169.107有關聯,對應樣本的落地文件名為"奧物圖.exe","物價,exe","收購.exe"等。結合此前分析中木馬啟動時打開的圖片信息,可以推測該遠控木馬通過偽裝成遊戲虛擬道具交易進行傳播。
最後建議
1. 輔助易翻車,開掛需謹慎。
2. 省出遊戲時間,上安界網學習他不香嗎。
閱讀更多 安界 的文章
