提起遠(yuǎn)控木馬��,灰鴿子、Gh0st等等都是臭名昭著����。與這些木馬相比,商業(yè)級(jí)遠(yuǎn)控軟件的監(jiān)控能力毫不遜色�,只不過(guò)這類軟件有著合法身份,并且在安裝和運(yùn)行時(shí)都會(huì)有明顯提示����。
但如果商業(yè)級(jí)遠(yuǎn)控軟件能夠被黑客玩壞,讓它實(shí)現(xiàn)隱藏運(yùn)行���,那么它就會(huì)變成威力巨大的遠(yuǎn)控木馬,因?yàn)檫@類商業(yè)級(jí)軟件會(huì)被大多數(shù)安全廠商識(shí)別為合法程序�����。
360QVM團(tuán)隊(duì)就數(shù)次發(fā)現(xiàn)商業(yè)級(jí)遠(yuǎn)控軟件遭惡意利用的情況����,在此進(jìn)行詳細(xì)分析。
0x01 樣本概況
樣本是個(gè)常見(jiàn)的使用色情誘惑類名稱的壓縮包“我們小姐的相片”�,在解壓后得到一個(gè)批處理文件和一個(gè)隱藏的文件夾。依靠色情等擦邊球傳播��,這是木馬病毒慣用的手段。
隱藏文件夾內(nèi)文件如下:
批處理文件經(jīng)過(guò)混淆加密��,用以對(duì)抗靜態(tài)檢測(cè):
0x02 批處理流程
對(duì)批處理文件的解密結(jié)果:
其中主要命令為:
Part 1:
獲得當(dāng)前日期時(shí)間并保存到ok.txt�,形如201510151742;
帶參數(shù)運(yùn)行g(shù)e.log�,即進(jìn)入命令行版的rar;
解壓文件user.txt到文件夾user���,并刪除源文件���。
Part 2:
之后則是創(chuàng)建文件夾c:user0和c:78g并復(fù)制解壓的文件。
user0目錄:
78g目錄:
此時(shí)另外兩個(gè)文件開(kāi)始運(yùn)行:
ok.txt是之前命令運(yùn)行生成的包含當(dāng)前日期時(shí)間的文件�����,tu1.txt是user目錄中原有文件���。
再運(yùn)行pb.bat�����,此時(shí)該目錄下僅剩一個(gè)名為照片的快捷方式����。
Part 3:
pb.bat中內(nèi)容同樣是混淆加密的:
解密后命令:
ok.txt是之前保存有當(dāng)前日期時(shí)間的文本,此處通過(guò)查找字符來(lái)判斷樣本激活時(shí)間是否在指定時(shí)間范圍內(nèi)�����。
添加注冊(cè)表��。此處添加的內(nèi)容將在下面介紹����。
打開(kāi)一張圖片,此時(shí)的“照片”��,方才成為真正的圖片�����。
至此���,批處理的命令已經(jīng)結(jié)束,全程不存在病毒�。當(dāng)用戶想再次打開(kāi)“照片”時(shí),則會(huì)運(yùn)行“照片.lnk”指向的程序��。
0x03 利用小眾軟件隱藏遠(yuǎn)控程序
照片所指����,是一款名為裝模作樣的窗口隱藏工具�,usersys.ini是該軟件的配置文件�����。
該軟件也并不是病毒�,其配置文件具備“指定啟動(dòng)時(shí)自動(dòng)隱藏并運(yùn)行指定程序”的功能。
樣本預(yù)設(shè)的配置���,使svchnst.exe運(yùn)行時(shí)便會(huì)啟動(dòng)C:user0svchest.exe并隱藏這兩個(gè)程序的界面���。
而svchest.exe實(shí)為一款名為“網(wǎng)靈”的商業(yè)遠(yuǎn)控受控端。對(duì)于具有合法身份的商業(yè)遠(yuǎn)控�����,很多殺毒軟件原則上也是不報(bào)毒的�。
該程序運(yùn)行時(shí)原本有明確提示;但由于svchnst的隱藏運(yùn)行�����,該遠(yuǎn)控受控端的圖標(biāo)和提示便被隱藏。
因?yàn)榫W(wǎng)靈受控端安裝包在安裝時(shí)需要填入網(wǎng)靈服務(wù)id和密碼����,并將這些信息保存到注冊(cè)表hklmsoftwareanypc01中:
這也可以解釋上述批處理命令中,需要添加注冊(cè)表的原因�。
0x04 總結(jié)
病毒作者事先在一臺(tái)電腦上用商業(yè)遠(yuǎn)控配置好受控端,使用批處理來(lái)添加同等配置信息��;再借助一款窗口隱藏工具�,隱藏商業(yè)遠(yuǎn)控端開(kāi)啟時(shí)的提示。這樣�����,受害者在不知不覺(jué)間���,就遭到了攻擊者的毒手�;而攻擊者也無(wú)需編寫(xiě)惡意程序���,通過(guò)合法商業(yè)遠(yuǎn)控的隱藏實(shí)現(xiàn)就控制了受害者的電腦���。 在此我們提醒廣大網(wǎng)友:木馬并不只是exe等可執(zhí)行程序�����,類似.bat這樣的腳本文件同樣很危險(xiǎn)。如果遇到不熟悉的文件格式或是陌生人發(fā)來(lái)的可疑文件�,切莫輕易點(diǎn)擊運(yùn)行。
