快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

神话传奇:一款通过卖号在微信群传播的遥控木马

近期,360安全卫士监测到了一批通过微信群传播的遥控木马木马针对在网上倒卖微旗子灯号的人群定向投放。卖号人的交流群里时常有不同的小号在散布引诱性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门

认识卖号人

在阐发遥控木马之前,我们先来认识一下这批遥控木马的目标人群——卖号人。卖号分为很多种,本文首要指的是倒卖微旗子灯号,更详细的应该是卖“微信62数据”。这里简单认识一下“微信62数据”,这个数据是微信用户登录新设备后生成的加密数据,通过导入该数据到新设备中,可以跳过新设备登录验证的步骤直接登录账号,这一串数据是以数字“62”开头,被卖号人习性性的称为“62数据”。以下是一条卖号人提供的微旗子灯号数据,格式为“账号—暗码—62数据—最后登录时间”。

1.png

图1

尽人皆知,微信是个天然营销的平台,围绕在微信圈里的产业链更是举不胜举,自然就有人弄起了微旗子灯号的生意交易。而对于账号交易相等重要的62数据,本身使用起来很是麻烦(需要辅助工具),所以避免不了有人要做一些科普性工作,网上随意找一下62数占有关。

2.png

图2

看上去营销工作做得还可以,因而加扣扣打探一下行情,发现的确是一条产业链。

3.png

图3

关上所谓的平台,实际上是在卓郎上注册的一个“自动发卡”商户,上面提供多种不同品格需求的微信62数据账号。

4.png

图4

后来发现,不少卖号的代办署理人有本人各自的渠道,以下为另一自动零售商户:

5.png

图5

这些卖号的代办署理人平时还会通过微信群来进行交流。我们尝试联系某个卖号的代办署理人,经过沟通后发现有人专程负责在微信群里散布引诱性的遥控木马程序。

6.png

图6

故意思的是,卖号代办署理人一般都会使用微信电脑版来工作,正常情形下群里的木马文件自动接收后会被360识别为木马并隔离查杀,只有效户主动去找归并运行木马程序才会中招。

7.png

图7

经了解,进这个群需要交50块RMB,有一定的门槛,目前该群已满500人,其中却有不少“混进去”的小号在散布该木马。

8.png

图8

遥控木马阐发

下面以上文提及的微信群内散布的最新样本“国内老号500个62数据.exe”为例进行阐发。传播者试图以“国内老号500个62数据”之类的文件名引诱卖号人下载运行木马开释体,传播中的木马文件名以及程序图标都比较有诈骗性。该木马的首要运行流程以下图所示:

9.png

图9

(一)、木马开释体

木马开释体运行后首要的功能代码都在窗口Form1的活动过程函数TForm1:FormActivate里,启动后先从资源里开释一个加密的zip压缩包,保存到D盘根目录命名为:“如遇登录器打不开.txt”。该压缩包里存放了首次感染用户需要用到的所有文件,被解压到用户的图片目录(该目录将作为木马的装置目录),解压暗码为“2017”。要是装置目录里事前已存在恶意程序“KGGouWo.exe”(酷狗躺枪。。。),说明不是首次运行,就直接关上一个已存在的文本文件“成功数据(127).txt”。

10.png

图 10

这里顺便提下,由于木马判定了“D:\\如遇到登录器打不开.txt”这个压缩文件是否存在,所以在没有D盘的体系,企业黑客,木马文件会开释失败,没法继续后续举动。

Clipboard Image.png

图11

看一下压缩文件解压到装置目录后文件列表。

Clipboard Image.png

图12

接着,在装置目录下创建一个名为“360管家.lnk”的诈骗性快捷方式,快捷方式的目标指向了刚解压出来的一个被行使的白程序“gamecore.exe”。

Clipboard Image.png

图13

“gamecore.exe”实际上是酷狗官方的一个程序组件,且具有有用的数字署名。

Clipboard Image.png

图14

“gamecore.exe”启动后未经校验就会直接启动同目录下的文件名为“KGGouWo.exe”的程序。木马作者通过“白加黑”的要领,匹敌安全软件的拦截。

木马开释体将伪造的“360管家.lnk“的快捷方式复制到体系的启动目录下完成开机启动,详细的完成的过程比较有特点。

起首,组织一个特殊的命令行以下:

C:\Documents andSettings\Administrator\My Documents\My Pictures\baidu.com execmd copy"C:\Documents and Settings\Administrator\My Documents\My Pictures\360管家.lnk" "C:\Documents andSettings\Administrator\「最先」菜单\程序\启动\360管家.lnk"

从该命令行可以看出,调用的程序为装置目录下的“baidu.com”这个程序,该程序实在是个NirCmd命令行工具。

Clipboard Image.png

图15

命令行给该工具传递“execmd copy”命令来把“360管家.link”快捷方式拷贝到最先菜单里的启动目录,由此完成自启动的目的。在xp环境下“baidu.com”的程序路径包含空格且作者未使用双引号包含(发现此处是木马的bug,在win7以上环境能正常运行命令行),命令行被截断将导致后续执行失败以下:

Clipboard Image.png

图16

然后,木马开释体将组织好的命令复制到体系剪贴板里。

Clipboard Image.png

图17

最后,木马开释体启动同目录下的“Spy++.exe”来运行剪贴板里的命令。 “spy++.exe”通过调用“baidu.com”命令行工具来摹拟键盘操作,起首是发送“Win+R”快捷键来关上windows运行窗口,接着使用“Ctrl+V”快捷键粘贴事前复制好的命令行,然后马上就按归车键执行,从而完成运行剪贴板里命令行的操作,并且最后为了避免引起用户的嫌疑,还调用CMD命令删除运行记录。

Clipboard Image.png

图18

添加开机启动以后,木马开释体味直接运行“360管家.lnk“,通过白程序“gamecore.exe”启动恶意程序”KuGouWo.exe”。以后,木马开释体关上一个“成功数据(127).txt”来迷惑中招用户。

Clipboard Image.png

图19

“成功数据(127).txt”内容以下所示,可以看到是一些微信账号以及62数据。

Clipboard Image.png

图20

(二)、遥控木马

KGGouWo.exe的图标伪装成私服的样式,实在是个遥控木马,当运行在非装置目录时,会显示传奇游戏的图片,来诈骗用户。

Clipboard Image.png

图21

当程序运行在装置目录(“My Pictures”,即用户图片目录)时,才会触发遥控流程。

Clipboard Image.png

图22

遥控流程需要的一些API函数是在程序窗体初始化的时辰预备好的。详细过程是拼接所需API函数的字符串后,调用“LoadLibraryA”以及“GetProcAddress”获得。

Clipboard Image.png

图23

程序进入遥控流程后,会先连接遥程控制端服务器,地址为:“27.54.***.211:8100”,连接协定使用TCP连接。

Clipboard Image.png

图24

连接遥程服务器后,注册WM_Socket新闻,绑定窗口新闻处理函数来接收遥程可读新闻,新闻码为0×1400。

Clipboard Image.png

图25

然后网络用户体系信息预备进行上线,网络的信息包括用户名、主机名、体系版本、硬件信息、说话区域、文档路径等,并使用“|”连接,以后将数据进行压缩后再发送给控征服务器进行上线要求。

Clipboard Image.png

图26

压缩后封包的格式为“长度|压缩数据”,接收的控制端数据也采用类似的格式。

Clipboard Image.png

图27

接着进入处理0×1400号新闻的流程,当判定有可读数据时就接收遥程控制数据后最前辈入控制流程。

Clipboard Image.png

图28

进入控制流程后,经过一系列的长度检查以及数据解析以后,得到控制命令字符串。对于新上线的中招机器,服务器会返归一个“Ping”命令字符串,该命令串随后会被用来与木马程序里定义的一系列控制命令作比较,要是相同则执行相应的命令操作,以下图的“shenhua”即比较的第一个命令串。

Clipboard Image.png

图29

命令列表里没有“Ping”命令,于是程序会跳出控制流程,进入默认的一个发送心跳包的流程,发送的数据为“Idle”。

Clipboard Image.png

图30

心跳包每一隔10秒钟就会发送一次,用于向控征服务器证实遥控木马始终处于上线状态。

Clipboard Image.png

图31

木马上线后,除了持续发送心跳包外就是守候接收控制端的命令了,然后又归到上述的控制流程,遍历命令列表执行相应的控制命令,命令列表及对应功能以下表所示:

Clipboard Image.png

图32

遥控木马该有的功能都不少。下面看几个常见的功能完成,起首是截屏,核心照样创建屏幕位图。

Clipboard Image.png

图33

清除体系日记,可以看到清除了包括安全事故、DNS事故等多个体系症结日记。

Clipboard Image.png

图34

键盘记录功能包含“Start”以及“Stop”两个开关指令,当开启记录功能时除了配置键盘钩子外还启动了一个辅助程序“mir.exe”。

Clipboard Image.png

图35

键盘记录症结的功能在钩子归调里完成,首要记录受害用户的键盘操作,分为可见字符输入、空格以及其他特殊字符,同时还额外记录了用户剪贴板、当前窗口标题等内容。

Clipboard Image.png

图36

关机、注销体系、重启。

Clipboard Image.png

图37

开启遥程shell是通过创建两个匿名管道来配置cmd进程启动参数的输入输出,同时cmd窗口属性配置为隐躲。

Clipboard Image.png

图38

传播情形

下面是此类遥控木马近来一个月在天下各区域的传播情形分布图,其中广东省为重灾区,占比高达20%以上。

Clipboard Image.png

图39

结语

目前微信是经常使用的交流工具,不罕用户在电脑上也装置了微信,于是微信被传统的PC木马作者盯上作为木马的传播路子。而形形色色微信群中人员复杂,木马作者很容易隐躲本人并将木马伪装成用户感兴致的内容来传播。请泛博用户不要随便点开来历不明的目生链接或文件,及时用安全工具扫描查杀可疑文件,避免给造孽分子可乘之机。

Clipboard Image.png

图40

*

您可能还会对下面的文章感兴趣: