一种来自中国的"Zero Detection Trojan"：GLASSRAT（EXE）

230f4

A remote access Trojan used sparingly in targeted attacks has been found after living under cover for three years, undetected by most security gear.

The RAT, dubbed GlassRAT, was signed with a certificate belonging to a popular Chinese software company with hundreds of millions of users worldwide. The RAT was used to spy on Chinese nationals working in commercial outfits, and could have ties with other malware campaigns dating back to 2012.

密码：infected

https://threatpost.com/stealthy- ... ial-targets/115453/
http://www.infosecurity-magazine ... rodetection-trojan/
http://www.net-security.org/malware_news.php?id=3161
https://securityledger.com/2015/ ... r-years-undetected/
http://itsecuritynews.info/2015/11/23/peering-into-glassrat/

这个是 EXE 文件，各位可以开动了

驭龙

ESET毫无压力


虚拟机双击，ESS文件监控阻止


关闭文件监控，样本成功运行，但无法重复运行


运行成功以后，母体自我删除，保留DLL模块注入到rundll32.exe中，且模块无法用PC Hunter提取。


ESET 一切正常没有被灭，但监控恢复以后，没有发现注入到rundll32中的DLL病毒模块。

重启动以后，ESS干掉updatef.dll病毒模块本体


DLL的模块病毒体，无密码

xyz0703

作死双击，BD MISS，文件消失，无后台进程

狐狸糊涂

更正一下,BDIS2015汉化版双击
双击后,BD被强暴...怀孕了..

毛豆新人

CIS miss
CIMA： 极其可疑（Suspicious++）  就一个自删除动作给了这么高的危险度  http://camas.comodo.com/cgi-bin/ ... 880384a7158e07ae399
反毛豆沙盘（rundll32.exe出错），不反vbox


关闭沙盘动作： 与CIMA一致
FlashUtil.exe         修改文件         C:\ProgramData\Application Data\updatef.dll
FlashUtil.exe         修改文件         C:\ProgramData\Application Data\updatef.dll
FlashUtil.exe         创建进程         C:\Windows\SysWOW64\rundll32.exe
FlashUtil.exe         修改注册表项         HKLM\SYSTEM\ControlSet002\Services\RasAuto\Parameters
FlashUtil.exe         创建进程          C:\Windows\SysWOW64\rundll32.exe
FlashUtil.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
FlashUtil.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
随即自删除，viruscope什么也没看见，灵敏度太低

shadowqs

AVG 双击后的反应..扫描没反应

，就一个.

驭龙 发表于 2015-11-26 14:33
其实ATC本质架构还是AVC，只是拦截类型多了

另外ESET双击安然无恙

ATC被灭了？国产的毒太牛逼了

我下了个BD试了下 ATC 可以防御啊 怪了

pal家族

下面如实反馈卡巴斯基针对这个样本的表现。没有任何偏袒和针对。

1 卡巴斯基出现严重失误将这个文件信任。尚不清楚这是哪个郭嘉的实验室的人干的。


2 本人冒着极大的风险，仍然实机双击了样本。
幸运的是，卡巴斯基竟然防御成功。
经过分析，这是卡巴斯基多层次防御的体现事实如下

双击之后样本貌似删除了自身，在C盘programdata文件下释放了主体dll文件这个文件是入库的。
同时创建了启动项。

首先是应用程序控制组件通过KSN拦截住了dll立了首功（本次失误KSN也是罪魁祸首！）
26.11.2015 19.10.12;应用程序已添加至组受信任组;Adobe? Flash? Player 10.1 r53;Adobe? Flash? Player 10.1 r53;D:\360安全浏览器下载\FlashUtil\FlashUtil.exe;11/26/2015 19:10:12
26.11.2015 19.10.13;应用程序已添加至组不信任组;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;11/26/2015 19:10:13
26.11.2015 19.10.13;已阻止应用程序启动;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;C:\PROGRA~3\APPLIC~1\updatef.dll;11/26/2015 19:10:13

随后应用程序控制组件调用特征码，将其检测为病毒，在其注入其他程序前删除了它，避免了后续感染。

最后高级清除启动，将恶意dll先关启动项删除。


整个过程都跟SW和文件监控没有关系。。。也可以印证不光文件监控，SW和应用程序控制也可以调用特征库。

当然，本次误将恶意文件加白是不能容忍的严重失误。
上一个帖子里的本家族病毒也是我上报之后才入库的，可见，卡巴斯基很可能根本没有收集到这一系列病毒，也是十分令人后失望的！

sanhu35

完整点的行为

创建DLL
写自启动
修改驱动服务
用rundll32加载黑DLL
调用CMD自删除
重启后就是黑DLL起作用了

2015-11-26 21:28:48    创建文件    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护高危文件

2015-11-26 21:28:50    修改文件    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护高危文件

2015-11-26 21:28:55    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RasAuto\Parameters\ServiceDll
值: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [注册表组]驱动服务 -> [注册表]*\System\*Controlset*\Services\*\Parameters\*; ServiceDll

2015-11-26 21:28:58    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RasAuto\Start
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-26 21:29:01    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\Select\Default
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-26 21:29:10    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32 "C:\DOCUME~1\ALLUSE~1\APPLIC~1\updatef.dll",AddNum
规则: [应用程序组]『询问』病毒测试

2015-11-26 21:29:14    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c erase /F "C:\Documents and Settings\Administrator\桌面\FlashUtil\flashutil.exe"
规则: [应用程序组]『询问』病毒测试

2015-11-26 21:29:16    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\FlashUtil\flashutil.exe
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

nick20010117

@230f4

EnZhSTReLniKoVa

解压大蜘蛛 直接隔离
"flashutil.exe","Trojan.MulDrop6.15054  ","已隔离","C:\users\natsukihanae\desktop\flashutil.exe",

诸葛亮

TR/Drop.Agent.46344 [trojan]'

230f4

xyz0703 发表于 2015-11-26 13:07
作死双击，BD MISS，文件消失，无后台进程

你一定要还原系统，不然。。。我什么都不知道

xyz0703

230f4 发表于 2015-11-26 13:25
你一定要还原系统，不然。。。我什么都不知道

吃鲸

驭龙

狐狸糊涂 发表于 2015-11-26 13:38
双击后,BD被强暴...怀孕了..

啥，ATC被灭？一会儿我去试一试ESET去，哈哈

230f4

狐狸糊涂 发表于 2015-11-26 13:38
双击后,BD被强暴...怀孕了..

这东西那么厉害！！！？