捕获腾讯御见WannaMiner挖矿木马
克日,腾讯电脑管家发现Smartoffice等办公软件通过云端控制向用户电脑违规安装多款页游,该软件的违规推广有意避开北上广深、珠海等都会。仅在某软件中央下载平台,Smartoffice下载量高达490万次,腾讯电脑管家建议用户使用软件处理功能卸载非法软件。0x1 概述
克日,腾讯电脑管家发现Smartoffice许多其他办公软件在用户机械上非法安装页面游戏和其他应用程序,给用户带来了很多麻烦。在分析了这些软件后,发现它通过天真多变的云控制控制版本发布了插件和剧本,并在用户机械上执行了安装代码,这种行为是非常隐藏的。此外,该软件使用的云控制发布代码模式也存在潜在风险。一旦开发部门没有严格控制被黑客入侵,就很容易更改云代码,然后向用户机械发布任何恶意代码。
从软件中央下载平台可以看出,Smartoffice下载量高达490万次:
(图1:软件中央下载平台)
(图2:用户电脑莫名其妙安装页游)
0x2 Smartoffice软件模块分析
从软件中央下载Smartoffice,通过对软件模块的逐一分析,可以看出软件是通过的com软件目录中的绑架方式smartoff.dll注入到系统Explorer在此过程中,每次启动时都会注入smartoff.dll模块的Explorer将以下令行smartup在软件目录中拉起SmarLive.exe历程。
(图3:Smartoffice 软件目录结构)
(图4:下令行拉起SmartLive.exe历程)
SmartLive.exe该模块主装载模块,需要下令smartup启动,否则不执行后续代码直接退出,然后建立名称__SmartSouresup_Mutex__软件中的所有云控制行为都是从这个线程中首先执行的:
(图5:启动条件)
(图6:主要事物线程)
线程内首先获取自身目录路径,再拼接外部文件名组成一个外部加密文件的全路径,该路径文件是主装载模块同目录结构下的smoUplive.cache文件。主装载模块读取文件后,在内存中使用des算法解密,最后打开得到一个PE文件。
(图7:加密的外部文件路径)
(图8:解密内存PE)
经由内存Dump该PE后来可以看出是静态引用Lua5.3.4版本引擎的DLL,主装载模块通过遍历导出函数获得解密云Lua剧本,执行Lua剧本。
(图9:嵌入lua5.3.4引擎)
(图10:拉取执行Lua 剧本功效导出函数
调试该DLL可发现其Lua剧本通过云地址:
腾讯自研TAV杀毒引擎斩获AV-Test测评12连胜
hxxp://config.wddma.com/src/smartds.html获取,读取html页内加密的Lua在剧本文件在内存中使用DES通过算法解密操作Dump下解密后的的Lua从剧本的内容可以看出,剧本通过函数通过函数IsNoBzArea()判断是否为北京、上海、广州、深圳、珠海IP,当用户IP来自上述地区的,直接退出剧本。也就是说,北上广深、珠海等地IP用户不会出现弹框推装等行为,幕后操作人员为了避免大多数平安公司在该地区的监控。
(图11:解密内存Lua剧本)
(图12:关闭UAC 云拉插件函数
(图13:主页上的功效函数化)
(图14:区域过滤判断函数,清理北上广深珠海等炮轰区域)
(图15:多条件过滤推装代码片段)
进一步调查Dump模块C 与Lua剧本的交互接口函数可以发现其功效非常厚,接口功效主要包括内存操作、注册表操作、js相关下令分析实施,AdbShell操作等功效......该软件不仅可以通过这些接口对用户实现PC通过举行弹框、推装、主页篡改等行为AdbShell对毗邻PC该模块实现了移动设备进一步推装的能力Lua接口。
(图16:软件预留Lua接口函数)
0x3 同源分析
Smartoffice使用签名为重庆西溪科技中心,通过腾讯威胁情报中心查询,签名可以与易压缩解压软件相关,通过易压缩软件官方网站域名可以与数十个其他网站相关,部门网站涉及桌面笔记、压缩、办公、阅读等软件类型。经调查,发现享受桌面笔记,易压缩也有与内存解密云控制相关的代码模块,其代码相似性非常高,可以编写为统一组织。
(图17:Smartoffice署名)
(图18:易压缩签名)
(图19:几十个网站通过易压缩网站邮箱信息关联)
(图20:Smartoffice、 易压缩,享受便签高度一致DLL 模块内存解密码
0x4 结语
各种在线软件分发渠道好坏参半,用户下载的软件往往隐藏着杀戮。腾讯计算机管家建议用户应尽可能从正式的官方渠道下载软件。此外,腾讯计算机管家的软件管理还提供软件下载、安装、升级、卸载等服务,具有高速下载、插件安装、恶意软件卸载等特点,计算机管家用户可以放心使用。
(图21:腾讯电脑管家软件剖析界面)
Office公式编辑器高危漏洞修复率仅为15%