理論基礎(chǔ)

1.木馬根據(jù)分類可以分為

1.1.遠(yuǎn)控木馬:能夠遠(yuǎn)程控制感染主機(jī)，實現(xiàn)遠(yuǎn)程監(jiān)控、文件操作、網(wǎng)絡(luò)攻擊等功能;

1.2.密碼盜取木馬:通過記錄用戶輸入的鍵盤記錄或屏幕截圖方式竊取用戶的密碼或賬號信息;

1.3.釣魚木馬:通過偽裝成銀行網(wǎng)站、商場等形式，欺騙用戶輸入敏感信息，從而竊取用戶的敏感信息;

1.4.加密木馬：通過將用戶的文件加密，并要求用戶支付贖金才能解密，從而達(dá)到敲詐的目的;

1.5.下載木馬：能夠感染主機(jī)上下載其他惡意軟件，比如廣告軟件。

2.遠(yuǎn)程控制的木馬，它可以對目標(biāo)計算機(jī)進(jìn)行交互性訪問（實時或非實時），可以下發(fā)相應(yīng)的指令觸發(fā)惡意軟件的功能，也能獲取目標(biāo)的各種數(shù)據(jù)。其交互性是雙向的（攻擊者-被控制端）。

3.情報的IOC往往是域名、IP、URL形式（有時也會包括SSL證書、HASH等形式），這種IOC可以推送到不同的安全設(shè)備中，如NGFW、IPS、SIEM等，進(jìn)行檢測發(fā)現(xiàn)甚至實時阻截。這類情報基本上都會提供危害等級、攻擊團(tuán)伙、惡意家族等更豐富的上下文信息，來幫助確定事件優(yōu)先級并指導(dǎo)后續(xù)安全響應(yīng)活動。威脅情報最普遍的使用場景，就是利用IOC情報（ Indicators of Compromise）進(jìn)行日志檢測，發(fā)現(xiàn)內(nèi)部被攻陷的主機(jī)等重要風(fēng)險。

4.DarkComet它是由 Jean-Pierre Lesueur（稱為 DarkCoderSc）開發(fā)的遠(yuǎn)程訪問木馬（稱為 RAT），在 2012 年初開始擴(kuò)散，它用于許多有針對性的攻擊，能夠通過網(wǎng)絡(luò)攝像頭拍照或屏幕截圖，通過連接到 PC 的麥克風(fēng)竊聽對話，并獲得對受感染機(jī)器的完全控制。

5.DarkComet 主要功能：遠(yuǎn)控，對用戶行為進(jìn)行監(jiān)控并為攻擊者開啟 SYSTEM 后門，竊取用戶信息并回傳竊取的信息發(fā)送給攻擊者，同時還可以下載其他惡意軟件。

基礎(chǔ)分析

從下圖看，該樣本大小并不是很大，也沒有進(jìn)行數(shù)字簽名。

通過下圖工具查看到，該樣本是Delphi語言開發(fā)的。相信它是80后才能接觸到的開發(fā)語言，所以使用這個語言基本是上年紀(jì)了，delphi在一些早期發(fā)展起來的公司的內(nèi)部工具或系統(tǒng)還會存在低維開發(fā)。

從下圖的工具分析出，該樣本并沒有依賴第三方的dll模塊，所以主要功能實現(xiàn)都集中在惡意樣本這個exe應(yīng)用程序中。

靜態(tài)基礎(chǔ)分析是不好分析出具體的功能和數(shù)據(jù)，接下來就重點動態(tài)分析下該exe樣本。

動態(tài)分析

1.基礎(chǔ)隱藏啟動

點擊啟動病毒樣本程序后，它會先將原始的軟件通過重命名為._cache_惡意樣本.exe并進(jìn)行設(shè)置隱藏保存，在去運(yùn)行已感染病毒的exe程序。所以._cache_惡意樣本.exe它是原始未感染的程序。

2.釋放文件

樣本啟動后，將所有要釋放的文件在指定路徑下，進(jìn)行創(chuàng)建文件夾然后在文件夾下釋放樣本文件。

3.設(shè)置自啟動

通過往注冊表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun路徑下寫入應(yīng)用程序信息，實現(xiàn)程序的自啟動的行為。

4.啟動程序

通過執(zhí)行命令調(diào)用bat文件，bat文件里面實現(xiàn)的是啟動三個應(yīng)用程序功能。

下圖是真正的應(yīng)用程序的功能，它號稱能進(jìn)行查詢QQ相關(guān)信息和對指定手機(jī)號碼進(jìn)行短信轟炸功能。

5.查詢和短信轟炸

查詢qq相關(guān)功能都是通過調(diào)用執(zhí)行qq相關(guān)的接口去查詢獲取信息的。

短信轟炸功能是通過設(shè)定的幾個指定域名，再循環(huán)通過設(shè)定手機(jī)號碼去注冊域名里面的用戶，然后實現(xiàn)短信轟炸功能。

下圖是整個應(yīng)用分析功能的概述小結(jié):

功能分析

1.感染功能

通過搜索指定desktop、Downloads和Documents這三個目錄下的所有的exe應(yīng)用程序，并且判斷這些目錄下的exe程序下是否有EXEVSNX或EXERESX區(qū)段信息，如果有那么就對這應(yīng)用程序進(jìn)行感染傳播。

2.設(shè)置隱藏文件

通知直接調(diào)用系統(tǒng)SetFileAttributesA函數(shù),將應(yīng)用設(shè)置為隱藏狀態(tài)，如果沒有將文件屬性中的隱藏屬性打開，那么是沒辦法看到應(yīng)用程序。

3.收集環(huán)境信息

通過獲取電腦相關(guān)的系統(tǒng)和硬件信息，然后將信息上傳到對應(yīng)的服務(wù)器上。

4.鍵盤記錄

通過調(diào)用SetWindowsHookExA實現(xiàn)鉤子注入技術(shù)，進(jìn)行監(jiān)控鍵盤的輸入信息并進(jìn)行相對應(yīng)的信息上傳。

5.郵件發(fā)送

使用的是Delphi中封裝好的郵件發(fā)送庫,使用郵件服務(wù)器是smtp.gmail.com，它所發(fā)往的郵件目的xredlinel@gmail.com。

下圖是整個應(yīng)用分析功能的概述小結(jié):

情報IOC?

從樣本中分析出xred.mooo.com它是屬于危險和惡意的情報。

樣本中的一個服務(wù)器ip:124.222.126.226地址，它也是被收錄為威脅信息。

應(yīng)對方案

一些安全小建議:

1.網(wǎng)絡(luò)上或者社交軟件上的應(yīng)用程序不要亂下載或啟動：

2.系統(tǒng)上安裝殺毒軟件并更新到最新病毒庫特征：

3.在運(yùn)行軟件安裝包前，先檢測下軟件的大小和數(shù)字簽名信息或用病毒查殺軟件查殺下。

感染的修復(fù)方案（建議自動化用病毒查殺軟件處理或者寫程序?qū)崿F(xiàn)）：

1.通過病毒查殺軟件進(jìn)行查殺已感染的應(yīng)用程序并修復(fù)。

2.手動方式刪除注冊表設(shè)置的自動啟動的程序，并將進(jìn)程強(qiáng)制關(guān)閉。

3.手動去查找Desktop、Downloads和Documents這三個目錄下的所有的exe應(yīng)用程序，并用工具查看是否包含EXEVSNX或EXERESX區(qū)段，如果有那么就會是被感染了，直接刪除掉。(還有另外一種方式就是關(guān)閉隱藏文件功能，然后搜索關(guān)鍵詞._cache_為前綴的應(yīng)用程序，默認(rèn)會先將原始的保存成這個。)

編輯：黃飛

?