查看: 2693|回复: 10
收起左侧

[其他相关] 警惕,某传奇私-FuWHQL RootKit再度活跃

[复制链接]
wwwab
发表于 2022-11-11 19:12:06 | 显示全部楼层 |阅读模式
近期发现多例疑似同源RootKit感染的例子:(图中仅为部分)

目前发现恶意驱动至少存在两个下载C&C服务器,且恶意驱动均以label1110XX.sys的文件名被下载至本地。
经过测试核实,XX部分目前可取01-20,每个样本哈希值均不相同:
(图中仅计算部分文件哈希值)

通过查询其中的某个恶意驱动下载C&C服务器的威胁情报,发现疑似恶意驱动劫持配置信息:

进一步查询威胁情报后发现某一传奇私-Fu登录器客户端通信样本:

该传奇私-Fu登录器客户端样本确实属实存在加载恶意RootKit驱动的行为,查询到其中的某个通信服务器被威胁情报平台标记为“FiveSysRootkit木马”:

并且该样本使用了txt2pdf白加黑的方式加载恶意驱动:(黄线代表白加黑,红线代表恶意驱动)

查询该通信服务器的威胁情报,发现了多个传奇私-Fu登录器客户端样本,并且在2022年9月底至11月异常活跃:

其中最早2022-06-13的样本,发现使用PotPlayer白加黑进行恶意驱动的加驱,如图所示:,与本人于2022-5-17发布的《警惕!传奇私-FuRootKit使用PotPlayer白加黑进行传播行为完全一致,可见其进化速度之快

样本将在稍后放出

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5人气 +13 收起 理由
huorong + 3 感谢提供分享
tdsskiller + 3
Jerry.Lin + 3 版区有你更精彩: )
隔山打空气 + 2 版区有你更精彩: )
fzp070 + 2 版区有你更精彩: )

查看全部评分

fzp070
发表于 2022-11-11 19:16:58 | 显示全部楼层
感谢分享!
不过帖子还需编辑下,图文有些杂乱
ANY.LNK
发表于 2022-11-12 16:39:03 | 显示全部楼层
能麻烦发一下相关的恶意域名或链接吗?微软上报相关样本要求提供更多信息
tdsskiller
发表于 2022-11-12 16:52:28 | 显示全部楼层
太强了
wwwab
 楼主| 发表于 2022-11-12 17:15:08 | 显示全部楼层
ANY.LNK 发表于 2022-11-12 16:39
能麻烦发一下相关的恶意域名或链接吗?微软上报相关样本要求提供更多信息

我这边分4单上报的已经全部Malware了

Analyst comments:
We have reviewed the files and added malware detections for them to the next definition update. The latest definition information is available here: https://docs.microsoft.com/microsoft-365/security/defender-endpoint/manage-updates-baselines-microsoft-defender-antivirus  Thank you for contacting Microsoft.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +5 收起 理由
huorong + 3 精品文章
ANY.LNK + 2 感谢解答: )

查看全部评分

nicole
发表于 2022-11-12 17:49:11 | 显示全部楼层
感谢分享。

重排版一下吧手机看的比较难受
例如文字与图片之间多打几个回车
wwwab
 楼主| 发表于 2022-11-12 18:35:19 | 显示全部楼层
病毒下载C&C服务器是真的多啊,该不会都是肉鸡或者跳板吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jirehlov1234
发表于 2022-11-12 18:46:48 | 显示全部楼层
wwwab 发表于 2022-11-12 10:35
病毒下载C&C服务器是真的多啊,该不会都是肉鸡或者跳板吧

https://blog.51cto.com/IDC02COM/5671448

评分

参与人数 1人气 +1 收起 理由
wwwab + 1 666,没看懂这是什么原理

查看全部评分

wowocock
发表于 2022-11-13 09:11:19 | 显示全部楼层
白利用DLL的MD5发下
wwwab
 楼主| 发表于 2022-11-13 17:27:28 | 显示全部楼层
wowocock 发表于 2022-11-13 09:11
白利用DLL的MD5发下

太多了统计不过来,txt2pdf那个白加黑组件有点复杂,之前样本区也出现过,有多个组件构成。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-2 22:29 , Processed in 0.134872 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表