原文地址:http://drops.wooyun.org/papers/11244

0x00 前言

本月初微博上有知名大V曬出一封私信截圖，私信是以某記者名義發出，要求采訪該大V博主，并提供了一個網盤鏈接作為“采訪提綱”。當博主下載網盤中存放的所謂“采訪提綱”后，該文件被360安全衛士檢測為木馬進行清除。

我們根據截圖中的網盤鏈接下載了偽裝“采訪提綱”的木馬進行分析，發現這是來自于一個長期從事木馬植入與數據竊取的不法黑客團伙，該團伙利用盜取或冒名的各類賬號，對賬號關聯人發起攻擊，木馬功能包括錄音、遠程上傳或下載任意文件、服務管理、文件管理、屏幕監控等，很明顯是意圖竊取數據進行勒索或售賣來謀取利益。

0x01 樣本信息

0x02 樣本流程圖

0x03 樣本詳細分析

>> XXXX采訪提綱.exe<<

木馬作者將自己的樣本做成一個word文檔的樣子。不管從圖標還是名字上面來看都是word的樣子誘導用戶去點擊查看。但是這個卻是一個exe程序。該exe程序運行時首先會在C盤下面嘗試寫一個空文件，看是否能夠寫入成功。如果寫入成功他就會刪除該文件，然后開始執行一系列操作來在安裝自己。首先釋放大量文件，作者將自己的文件夾設置為了隱藏。如果我們的文件夾選項中沒有勾選顯示隱藏搜保護的操作系統文件我們是看不到的。

釋放文件完畢后接下來會創建VSTquanjuhe.com這個可執行文件，VSTquanjuhe進程會運行explore來打開C:\OA路徑。彈出一個空的docx文檔。(ps:測試沒有裝word，所以這里比較尷尬，沒有word圖標)

接下來用ua.exe這個程序來解壓links.ini文件，解壓密碼為”█噎冪蕟嚄Щ暜囖醃∷滸濤∑”,解壓后判斷判斷系統是多少位的如果是32位的就運行Win1.bat文件，如果是64位的就運行Win2.bat(Win2.bat內容和Win1.bat內容相似，只是不再判斷是多少版本的系統)

>> Win1.bat <<

該文件的內容主要是先判斷是否存在swapfile.sys文件，來判斷操作系統版本的。如果存在就將test1.pfx重命名為2016mt.1r放到C：\Windows目錄下，否則就將test2.pfx文件重命名為2016mt.1r放到C：\Windows目錄下.接下來 調用regedit.exe來運行ua.lnk→運行mew.1r→msg 系統需要升級→關機重啟

>>ua.lnk<<

寫入注冊表，并關聯文件。將.1r文件與”VBEFile”文件相關聯以及將.3f文件與”inifile”文件相關聯。使這兩種后綴的文件能按vbe和inf文件的形式打開。

>> mew.1r <<

該文件是一個被加密了5次的vbs文件，源文件打開看到的像是一堆亂碼.

如圖:

最后解密到的腳本內容

解密后的vbs文件的主要功能就是模擬鼠標去點擊運行C:\$NtUninstallKB1601A$\BinBackup\MYTEMP文件下的8.3f文件

>> 8.3f <<

在RunOnceEx下寫入了一個注冊表，開機時就啟動2016mt.1r(vb文件)文件。

>> 2016mt.1r <<

開機后運行2016mt.1r→0s.bat文件→調用regdit運行lang2.lnk→解壓abc1601.bat→運行shotdown

>> os.bat <<

用abc.os文件去覆蓋qmvext.db文件，該文件時用來存放規則的文件。寫入規則后的文件就不會被查殺了。這里作者用自己的數據文件替換用戶的數據文件。就是為了繞過騰訊管家的查殺。不過這個漏洞在2013就在烏云上報道過了。

>> lang2.lnk <<

通過調用regeedit /s來執行reg文件。該文件的主要作用是關聯文件以及在注冊表在Active Steup下的StubPath鍵下寫入了C:\\$NtUninstallKB1601A$\\BinBackup\\super.inf，寫入注冊表寫入后，super.inf文件會在操作系統啟動后第一時間啟動。比任何一個程序都要先啟動。

>> abc1601.dat <<

abc1601.data是一個被加密了的壓縮文件。解壓密碼為“▓羋奤柒♀懋髖瓊♂蠟蕙纗▓ ”。解壓后出現一個shotdown文件，然后ua.exe會運行shotdown文件，shotdwon釋放FreeImage.dll文件,接下來FreeImage.dll會釋放出并運行FreeImage.exe

>> FreeImage.exe <<

該文件是先將自己寫的函數的地址寫入在程序中，這樣就提高了分析者對樣本分析的難度

將地址寫死在程序中后，通過對寄存器的調用來調用自己寫的函數。一直在不停的call eax來調用函數

在對該遠控功能分析的時候，我們發現該遠控具備的功能大概如下

錄音
遠程上傳以及下載文件
服務管理
文件管理
屏幕監控

該遠控主要通過注入svchost進程來啟動。下面就是他的注入過程。先以管理員權限運行svchost.exe

接下來就對他進行注入了。先調用WriteProcessMemory函數對svchost.exe寫入數據，接下來調用SetThreadContext函數來設置EIP然后調用ReumeThread來恢復線程

通過新設置的EIP我們找到了被注入的svchost.exe的入口地址(通過對寫入文件前下CC斷點),用OD附加后調試發現。被注入的文件就是FreeImage本身。如果注入成功，FreeImage就結束運行。不過不管注入成不成功svchost也會發起數據鏈接，結合在動態分析對該遠控功能的分析和對數據包結構的分析。可以看出，該遠控是一個灰鴿子改版過來的RemoteABC遠程控制軟件

圖.上線包

如果系統版本不是win8及其以上,則2106mt.1r是由test1.pfx解密而來文件主要內容如下

運行os.bat(覆蓋騰訊信任文件數據庫文件)→解壓abc.data→解壓inst.ini→運行會釋放出遠控的shotdown.exe→調用regedit.exe運行lang1.lnk→重啟電腦

>> inst.ini <<

解密后得到的文件是作者事先寫好的360衛士的信任區數據文件和一個安全工具及其相關的組件

>> lang1.lnk <<

lang1.lnk將bmd.vbe寫入了啟動項里面。寫入后會開機自啟動，啟動后運行bmd.vbe

>> bmd.vbe <<

bmd.vbe文件也是被加密過5次的vbs文件，它主要運行ub.lnk以及gsxt.bat

>>ub.lnk<<

ub.lnk解密mtfile.tpi文件。并執行ing.exe文件

>> gsxt.bat文件主要內容<<

gsxt.bat通過調用一個rootkit工具，刪除替換殺軟的信任區文件，從而將木馬加入用戶的信任區。盡管該木馬專門針對360安全衛士進行破壞，試圖躲過查殺，但360多重防護體系的“下載保護”將木馬直接報毒清除，使其無法運行起來，從而有效保護了用戶避免中招。

0x04 木馬背后

在我們捕獲的同族系樣本中，還發現一個命名為“left and right base trigger, left and right bumper s136mould20000pieces.exe”的樣本。該文件屬于工程技術類文檔，而圖標則是一個文件夾圖標。與上面分析的樣本不同的的是，它是在OA文件夾下釋放的，并且不再是Word文檔，而是四個STEP文檔。STEP文件是一個國際統一的CAD數據交換標準，根據這四個STEP文件內容來看，是針對SolidWorks 2014這款軟件的。

這個木馬團伙最近一段時間，使用遠控控制服務器，均是位于青島的阿里云服務器中心。

兩個木馬使用的遠控上線地址：

下面是近期該族系傳播比較多的幾個變種，涵蓋多個行業：

不難發現：木馬的文件名、傳播渠道、針對人群這三組指標都有極高的統一性，這明顯不是那種常見的“撒網捕魚”式的木馬，而是前期先獲取到一部分人的郵箱、通訊軟件、社交平臺等賬號密碼，之后人工分析原賬號持有者的社交圈和社交習慣，再根據分析結果定向發送定制的木馬程序，增加木馬投放的成功率，同時也方便更有目的性和更高效的竊取中招用戶機器上的資料。植入中招用戶機器中的是遠控木馬而不是普通的盜號木馬，這樣也是更方便認為的控制要獲取的資料，目的性進一步提高。

關系草圖大體如下：

這里只是將已經展現在我們面前的第一層關系圖畫出來，不難發現在這種有人工參與的目的性極強的攻擊方式下，很容易的形成一個鏈式反應。只要參與運營的人手夠多，就足以在短時間內掌握大量的特定行業內部信息——而這能換取的經濟利益顯然是巨大的。

0x05 總結

此類定向木馬具有明顯的專一性，需要較高的人工參與度，所以傳播方式并不是傳統木馬的以量取勝，而是轉變為定點打擊的精準小范圍傳播。雖然成本更高，但顯然收益也更加可觀。同時避免大規模的傳播也就等同于降低了被各大安全廠商云安全機制發現的風險。

應對此類木馬，安全軟件的查殺固然必不可少，用戶的自我防范意識也必不可少。對于好友突然發來的文件，也要多加注意。安全軟件已經提示風險的文件，切莫隨意打開。廣大網民也要注意自身的賬號安全，對于泄漏的密碼要及時廢棄，以防自己的賬號成了木馬團伙攻擊的武器。360互聯網安全中心也會繼續關注該木馬家族的發展，積極提供應對方案，保障網民安全。