警惕「偽裝者」木馬攻擊,會將遠控木馬和挖礦木馬裝在電腦上

長按二維碼關注

御見威脅情報中心

一、概述
騰訊安全御見威脅情報中心近期捕獲到一批偽裝成各類正常「軟體程序」進行攻擊的病毒，看起來可能下載了個工具軟體，運行後，「偽裝者」木馬內置的惡意腳本就會從病毒控制者的伺服器下載遠程控制木馬和門羅幣挖礦木馬運行。騰訊安全專家建議用戶注意防範，使用騰訊電腦管家保護系統，運行軟體安裝包前，先檢查安裝包的大小和數字籤名。

被病毒假冒的軟體程序包括遊戲軟體、文檔閱讀軟體、視頻播放軟體、瀏覽器等。病毒執行後釋放VBS腳本，連接伺服器下載另一段腳本代碼執行，並通過腳本下載安裝DarkComet木馬對電腦進行遠程控制，同時植入門羅幣挖礦木馬。通過關聯分析還發現木馬下載伺服器傳播的另一個樣本，該樣本會利用瀏覽器登錄密碼搜集工具WebBrowserPassView搜集用戶密碼，保存到文件並上傳至伺服器。

此次攻擊的特點為：在投放木馬時偽裝成各類軟體的安裝包，在最終植入的木馬運行時又偽裝正常軟體的進程名，用來下載惡意腳本代碼及病毒木馬的伺服器是攻擊者入侵後控制的某些色情和酒店網站伺服器，「偽裝者「木馬還會使用短連結地址、伺服器校驗等方法來躲避分析人員的追蹤。

在整個攻擊過程中使用大量網民熟悉的軟體名稱來命名木馬文件，通過攻擊其他網站來下載自己的惡意程序，十分善於隱藏和偽裝自身，因此我們將其命名為「偽裝者」木馬。

「偽裝者」木馬攻擊流程

二、詳細分析
以其中一個偽裝成知名PDF閱讀軟體的木馬進行分析：
從官網下載的正常的Foxit Reader安裝程序的屬性，其版本已經更新到9.5.0.20723，擁有合法的數字籤名，並且文件大小為75.8M

而查看木馬偽裝成Foxit Reader的病毒程序屬性，顯示文件版本為2.3.2008.2923,沒有數字籤名，並且文件大小也只有200K，從信息來看非常可疑

分析發現木馬使用7-Zip SFX生成了可執行程序，生成時通過壓縮算法進行壓縮，木馬的體積會大大減小。

運行後釋放子木馬到目錄%AppData%\7ZipSfx.000\dgfvg6t346teg.exe，將母體中包含的PE數據寫入文件中, 然後拉起木馬執行

dgfvg6t346teg.exe先判斷是否已經存在指定的VBS腳本文件，若存在則將原來的文件刪除，然後創建文件%AppData%\TouchpadDriver\TouchPad.vbs（文件名偽裝成觸摸板驅動程序），並寫入經過混淆的VBS腳本代碼

混淆只是將字符替換成了字符碼，將執行命令「Execute」轉換為顯示命令「WSH.echo」即可看到原來的代碼

腳本代碼拼接完整URL（hxxps://x.co//touchpad），並從該URL下載另一段VBS腳本代碼執行
hxxp://x.co//touchpad是一個短連結地址，請求時同過重定向跳轉到hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3，然後從該地址下載惡意代碼

打開該網站pornxxxx.com是一個色情網站，黑客攻陷了該網站並利用其伺服器來下載木馬

分析時發現hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3在通過瀏覽器或其他下載軟體訪問時會返回404錯誤，無法下載到惡意代碼；而在病毒釋放的VBS腳本卻可以下載到惡意代碼。推測是木馬伺服器對Get請求數據包的參數做了校驗，從而保證只在木馬運行環境中返回代碼執行

返回的代碼主要完成以下功能：
1、結束可疑的挖礦進程
2、下載DarkKomet後門木馬植入
3、下載門羅幣挖礦木馬啟動挖礦

三、RAT木馬
腳本下載木馬的地址：hxxp://www.thedecxxxxx.com/filegator/repository/tsl.png
下載後保存為到%temp%目錄，然後命名為ChromeInstaller-xxxxxxx.exe，偽裝為Chrome瀏覽器安裝包程序啟動。通過進一步分析可發現，該木馬為DarkComet遠控木馬，具有遠程操作，敏感信息搜集等大量遠控功能。

訪問下載地址www.thedeckxxxxx.com為越南某酒店的網站，推測該網站已被黑客攻陷。

木馬下載運行後拷貝自身到目錄：C:\Users\[guid]\Documents\MSDCSC\ChromeUpdater.exe，繼續偽裝成Chrome升級程序執行

添加到註冊表Run啟動項，達到隨機啟動

調試分析該遠控木馬程序，可以看到，樣本運行後會讀取資源區中的」DCDATA」資源，然後進行解密，解密後得到配置信息如下：
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-NAFAPZM}
SID={pro-serv}
FWB={0}
NETDATA={10.119.193.17:2223|185.82.217.154:2223|185.82.217.154:4271}
GENCODE={w7qqzeFtkGwa}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\ChromeUpdater.exe}
KEYNAME={Chrome Updater}
EDTDATE={16/04/2017}
PERSINST={1}
MELT={1}
CHANGEDATE={1}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH4={1}
SH7={1}
SH8={1}
SH9={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --

通過解密出的信息可以知道，攻擊者使用的控制伺服器地址為：
10.119.193.17:2223、185.82.217.154:2223、185.82.217.154:4271

根據木馬特點可以確定為DarkComet，是由一個來自法國的獨立程式設計師（Jean-Pierre Lesueur）開發的遠程訪問木馬（RAT），該木馬自2014年起被發現由APT組織用於針對敘利亞地區的相關攻擊活動中。當作者發現該程序被用於間諜活動後，便停止了繼續開發。

該木馬具有信息搜集、網絡控制、電源操作、服務操作、下載執行文件等大量遠控功能：

下面是該後門程序執行相關功能的代碼片段：

四、挖礦木馬
腳本在植入DarkComet木馬後，繼續執行判斷系統版本為32位或64位，從而下載相應版本的挖礦木馬
hxxp://89.161.175.214//diana/images/t6.ico
hxxp://89.161.175.214//diana/images/t3.ico

將挖礦木馬保存為%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe（偽裝遠程控制軟體TeamViewer），隨後拼接字符得到連接礦池所需的用戶名 「vazgen8882」，將其作為登錄參數啟動挖礦程序
拼接字符：

 

挖礦進程啟動參數：
%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe -o asia.cryptonight-hub.miningpoolhub.com:20580 -u vazgen8882.2 -p x --donate-level=1 --safe -B

五、關聯分析
通過關聯分析發現下載DarkComet木馬的伺服器目錄下存在另一文件
hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg
內容為經過混淆的VBS代碼，混淆方法與前文中用於下載的腳本一致，解碼後發現腳本功能同樣為下載和執行木馬，並且會將木馬搜集到的信息上傳到伺服器

混淆的VBS腳本

解碼後的腳本：

該VBS腳本下載的木馬
(hxxp://www.thedeckxxxxxx.com/filegator/repository/httpccr.com
)實際上為搜集和保存在瀏覽器中的各類網站登錄用戶名和密碼的工具WebBrowserPassView，黑客利用該工具其進行攻擊時以隱藏窗口的狀態運行（偽裝正常進程名chrime-sync.exe），然後將搜集到的登錄密碼保存為text文件，並發送至伺服器
hxxp:// 111.68.119.123/~prolabm/tempfiles/l/f/l.php

該工具正常運行時界面如下：

搜集登錄密碼相關代碼如下：

 

將搜集的密碼數據保存為%Temp%favicon.ico，將其上傳至伺服器

六、安全建議
1、不要運行來歷不明的程序。
2、在軟體下載站下載任何軟體需要十分警惕，注意查看軟體包的大小和數字籤名，如果發現要下載的軟體只在幾十KB到幾MB，又沒有數字籤名，建議刪除，推薦通過電腦管家的軟體管理下載安裝常用軟體。
3、保持殺毒軟體實時開啟，攔截可能的病毒攻擊。

IOCs

MD5

d08c4f6ef706216e7af4bee0b759d764
e609db4a8f2c64de9236f57a87bd049b
b55c4f882232c5451b1e977a7992d4ce
adc5a5db5a0e8064e1010ca76bbcabc5
779a0372b0df79e8eb4565e9af95f665
d409d54ff0da983effe23b21dd708aa6
5efc097ac23fd32c374b74e1c130c42d
7e0f9f1c138fc9dcc6b28091a2e042fb
24952c4208e049ccc05b17a509606442
6b0a6518f592044021ffc7cf1fec8c0d
444ec695f32858c3c8902185026d648f

IP
45.40.140.1
111.68.119.123

C&C
10.119.193.17:2223
185.82.217.154:2223
185.82.217.154:4271

URL
hxxp://x.co//touchpad
hxxps://pornxxxxx.com/wp-content/uploads/2018/04/?ver=5.3
hxxp://www.thedecksaigon.com/filegator/repository/tsl.png
hxxp://89.161.175.214//diana/images/t6.ico
hxxp://89.161.175.214//diana/images/t3.ico
hxxp://www.thedecksaigon.com/filegator/repository/httpccr.com
hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg
hxxp://111.68.119.123/~prolabm/tempfiles/l/f/l.php

了解騰訊企業級安全產品