腾讯安全发布企业网络安全年度报告：每周18%的企业吸毒

【文章摘要】 腾讯御用威胁情报中心监控发现一个大灰狼远程控制木马变种，正在传播伪装成会员联系方式的虚假文件。经分析，木马变种由XINKE木马团伙行使多个钓鱼文件Flash破绽（exploit.cve-2018-15982）中毒计算机将被攻击者完全控制。            

   一、概述

   

       

   

   克日，腾讯御见威胁情报中心监控发现了一个“大灰狼”远程控制木马变种，传播伪装成会员联系方式的虚假文件。经分析，木马变种由XINKE木马团伙行使多个钓鱼文件Flash破绽（exploit.cve-2018-15982）中毒计算机将被攻击者完全控制。    

   

       

   

   注：“XINKE”木马团伙是腾讯御见威胁情报中心通过社区发现算法发现的病毒木马黑产团伙。    

   

       

   

   变种远控木马采用多种诱惑手段：伪装成图片，ppt试图诱使受害者点击文件和银行账单；行使正常程序(白文件)挪用病毒组件(黑文件)；隐藏攻击程序jpg解密执行文件。从犯罪手法判断，“XINKE”木马团伙是病毒木马黑产惯犯。    

   

       

   

   大灰狼远程控制木马是黑色生产圈中流行的远程控制工具。据说木马的原作者已经去世，相关代码已经流浪到黑色生产圈开源共享。不同的病毒木马团伙在定制和创新后宣布了许多变体。    

   

       

   

   病毒播种者多次行使白加黑挪用逃避查杀，从一系列下载jpg解密病毒执行模块，检测当前系统是否处于调试环境。如果是这样，病毒程序将停止后续行动。如果是普通用户环境，将安装大灰狼远程控制软件，实现目标计算机的完全控制。    

   

       

   

       

   

   病毒传播者伪装编造的会员资料

   

   
   

   

   
   

   

       

   

   伪装成PPT、银行帐单的攻击文件    

   

   
   

   

       

               

       

   

   攻击文件包含伪装会员信息    

   

       

   

       

   

   二、详细分析    

   

   安装模式为逆火大灰狼(大灰狼远程控制的变种之一)，入口处解密内置PE文件，XOR EEBOF，巨细0x4a00，文件原名FileRename.dat    

       
   

   
   

   

       

   

   解密后得到一个upx压缩过的PE文件、内存加载和执行    

       
   

   
   

   

       

   

   继续下载jpg文件    

       
   

   
   

   

       

   

   对jpg验证尾部0x12字节    

       
   

   
   

   

       

   

   检查尾字符串：SSSSSSVID:2013-SV1，验证通过后，解密jpg文件    

       
   

   
   

       
   

   
   

   

       

   

   解密后仍然获得一个UPX压缩后的PE 文件，内存加载和挪用主函数Dllqidongxiang    

       
   

   
   

   

       

   

   Dllqidongxiang函数，建立互斥“NHQDX”(逆火启动项)下载伪造的会员资料文件，以制止怀疑。apple.xlsx，并展现出来    

       
   

   
   

   

       

   

   在文件0x10005A50另一个加密的地方另一个加密处PE文件，不同或密钥 EEBOF”    

       
   

   
   

   

       

   

   0x5a50下载下载函数mm638域名上的NHQDXZXZK.jpg，原始文件名称FileRename.exe解密NHQDXZXZK.jpg并调出函数Dllqidongxiang    

       
   

   
   

   

       

   

   FileRename.exe内置12个未加密的PE这些文件主要是白色的    行使模块的黑组合    

       
   

   
   

   

       

   

在入口处释放设置启动项的启动项inf代码    

       
   

   
   

   

   执行安装windows.inf文件设置多个白启动项    

       
   

   
   

   

       

   

   X86杀软过程将在环境中进行检测。如果有杀软过程，则启动schedule.exe(一个正常的白程序)    

       
   

   
   

   

       

   

   schedule.exe以正常的数字签名作为行使模块    

       
   

   
   

   

       

   

   schedule.exe当前目录将在启动后启动HBuilderService.exe作为服务启动    

       
   

   
   

   

       

   

   而HBuilderService.exe还有一个带有正常数字签名的模块，这里是双层白行使。    

   

       

   

   HBuilderService启动后，搜索并加载当前目录music.dll，该dll其实是黑色的dll，在导出函数AunXXHunmmerEngine在函数中执行后门安装操作，下载多个jpg模块。    

       
   

   
   

   

       

   

   HummerEngine、music、COMSupport.dll都是用来威胁的dll，启动白启动项时会自动加载，大大提高了木马的存活率。    

   

       

   

   3个挟制dll选择木马效果相似COMSupport.dll剖析，COMSupport.dll是在WallPaper.exe启动时加载模块（WallPaper.exe）也使用正常的数字签名。    

       
   

   
   

   

       

   

   COMSupport.dll导出函数 WSCreateInstance解密内存文件NH.dat，代码气概相似，    

   

       

   

   
   

   

       

   

   解密后挪用NH.Main函数，NH.dll模块在TLS回调中测试了系统环境。    

   

       

   

   判断当前环境是否反病毒逆向环境（OD、沙箱等。)，检测常用的逆向工具工艺名称，逆向环境不会有后续操作。    

   

       

暴风激活工具传播独狼Rootkit新变种

   

   
   

   

       

   

   环境检测通过后，阅读目录TorchWooc.jpg并解密    

   

       

   

   
   

   

       

   

   解密后得到一个EXE文件，再PROCESS HOLLOWING手艺注入到WallPaper.exe这里命名的白历程FakeWallPaper.exe，FakeWallPaper.exe入口处下载NH.jpg，并释放到c:\program files\apppatch    

   

       

   

   
   

   

       

   

   对NH.jpg图案验证，尾部验证“SSSSVID ：2013-SV1”解密后获得符号UPX压缩过的dll，原始名NH.jpg，大灰狼远程控制模块导出两个函数    

   

       

   

   
   

   

       

   

   挪用DllFuUpgradrs函数，参数为"s7S9srG9tbK9rqef"，该串是C2不同或解密后获得的密文"47.52.65.18:8008"，木马内置明文C2，如果域名不能上线，则选择IP上线。    

   

       

   

   
   

   

       

   

   作为主函数，在上线前收集所需信息，如用户名、硬盘大小、内存、CPU，也包罗历程信息    

   

       

   

   
   

   

       

   

   检测Mutex“Nmbbre hjveaika”防止重复运行，获取本机在线分组信息    

   

       

   

   
   

   

       

   

   黑客为了毗邻内网而与内网相邻3389，在NH.jpg x0952c0内置一个PE文件    

   

       

   

   
   

   

       

   

   从特征上看，本文件是开源端口转发工具LCX，用于内网机械3389端口映射到黑客主机端口，方便远程桌面登录内网机械。    

   

       

   

   
   

   

       

   

   大灰狼远程控制是一个开源远程控制软件，有很多版本。经过连续跟踪，发现该团伙使用了一个商业版本，存储在反火工具中，称为反火大灰狼。

   

       

   

   
   

   

       

   

   部门协议字段：    

   

       

   

   
   

   

       

   

   另一个 木马C2地址： www.hkxinke.com：8080，如果域名不能分析，它将毗邻第一个 IP类型的C2。    

   

       

   

   木马在无杀软环境中直接启动ManicTime.exe，ManicTime.exe它是一白色签名文件，启动后加载木马目录music.dll，白行使比杀软环境少。    

   

       

   

   X64在环境中下载三个tpi文件，现实是带密码的压缩包，密码都是qweasdzxcqazwsxedc/'][;.    

   

       

   

   
   

   

       

   

   V3.tpi和V4.tpi时间治理软件(隐私收集)分别出名manictime不同版本来自百度百科的先容    

   

   
   

   

       

   

   AX.tip它包含数据库操作相关模块。并将隐私收集软件设置为系统隐藏，不能索引    

   

       

   

   
   

   

   木马使用Manic版本比较早，V1.3建于2010年左右，V1.4是2014年

   

       

   

   
   

   

   旧版本的ManicTime的所有纪录日志都在ManicTime.sdf存储在数据库中，可以方便地发送指令直接搜索数据库。

   

       

   

   
   

   

   Manic.exe启动后，木马将建立线程监控Manic.exe过程及启动项。

   

       

   

   逆火大灰狼远程控制木马行使更多白色签名模块以避免软阻挡，文件启动一般流程：    

   

       

   

   
   

   

   三、安全建议    

   

   1. 使用计算机管家阻止危险程序    

   

       

   

   
   

   

       

   

   2. 建议用户升级Adobe Flash Player到最新版本，停止遭遇Flash破绽攻击。    

   

   建议升级计算机管家的软件治理效果，也可以参考Adobe下载官方通知：
   https://helpx.adobe.com/security/products/flash-player/apsb18-42.html    

   

       

   

   3、不要相信网上传播的各种脱库资料和会所档案，容易下载运营，中毒风险大。    

   

       

   

   4、建议修改windows关闭资源管理器显示选项“隐藏已知文件类型的扩展名”功效可以快速识别是否有文件后缀。使用文档图标PPT、PDF、XLS，后辍却是EXE基本上可以判断为恶意程序。    

   

   4.病毒家族地图    

   

   “XINKE”木马团伙是腾讯皇家威胁情报中心通过社区发现算法发现的木马团伙。它经常通过缺陷、钓鱼文件和其他方式传播木马。该团伙还计划了插件、私人服务、交通威胁、后门安装等非法交易。    

   

       

   

       

   

   
   

   

   IOCs    

   

   域名：
   hkxinke.com
   az8888.cn
   az9888.com
   18k8.cn
   game9888.cn
   mm638.com
   
   IP
   47.52.65.18
   
   URL
   hxxp://www.xiaoniuxitong.com/KJ/Music.jpg
   hxxp://www.xiaoniuxitong.com/kj/dlljz.jpg
   hxxp://www.xiaoniuxitong.com/kj/AX.jpg
   hxxp://www.xiaoniuxitong.com/kj/v4.jpg
   hxxp://www.xiaoniuxitong.com/kj/v3.jpg
   hxxp://www.mm638.com/KJ/NHQDXZXZK.jpg
   hxxp://www.mm638.com/KJ/AX.jpg
   hxxp://www.mm638.com/KJ/V3.jpg
   hxxp://www.mm638.com/KJ/V4.jpg
   hxxp://www.mm638.com/KJ/DLLJZ.jpg
   hxxp://www.mm638.com/KJ/Music.jpg
   hxxp://www.mm638.com/KJ/ummer.jpg
   hxxp://img.027cgb.com/546888/MYKH/GZ/ZXLSX.jpg
   hxxp://img.027cgb.com/546888/KJ/NH.jpg
   hxxp://www.az8888.cn/1.exe
   hxxp://www.az9888.com/1.exe
   hxxp://www.18k8.c1/1.exe
   
   MD5
   03b93bec29c7349c8572c68b5148d7d9
   603e2aa76367815fb300cf3fe1c568c5
   cf5669bf3e222302771dac726e5a9264
   2860d4ded41926ff833b21b1cdd30f11
   5154794e5983f20ccc3a75313e40c246
   6a03c1ff4ec5889ad152bb6c3e976038
   fb27138decd71d262536ea063debebd7
   558e99202f5321628292474ef2fa66ec
   8b3980e3a2f6bcc00e8a46ebdb5ff849
   fca0337e6e1d4db12ef7b4a1f80d55be
   525d5a4e81b7393c97a20bf88c3b6426
   80ee02f2e37716d90bff4a94a4529dbb
   cbcca06d55890ec917b8c6b0408849f0
   7fc279c294edbe78dc4b79caa708c971
   3a321d43fc02774a6365b19df96bd21c
   121a1105fec7754f31c8c316350a324d    

   

       

   

   参考资料    

   

   行使最新flash破绽，通过“流量宝”攻击流量

   

   https://mp.weixin.qq.com/s/xIO69OJhSTTQOee9_lHAMA    

腾讯电脑管家：使用刷量神器或电脑完全失控 投机刷