本帖最后由 tony099 于 2025-9-18 12:27 编辑
第一次写分析报告 写的不好大佬们多担待谢谢此样本来源 病毒吧求助者获取到的更新: 2025-9-18 附上释放的恶意文件
——————————————————
摘要本文对一个伪装为“VMware Workstation Pro 17.6.3 精简注册版”的恶意可执行文件进行深度技术分析。该样本并非传统意义上的下载器或广告软件,而是一个精心构造的后门化安装器(Backdoored Installer),利用合法软件的安装流程实现权限提升、进程注入、痕迹清除与潜在C2通信。 其传播方式典型为“破解软件捆绑”,目标是绕过用户信任机制,在高权限上下文中建立持久化落脚点。分析表明,该样本具备环境感知能力、Living-off-the-Land(LotL)行为模式,并疑似采用Domain Fronting技术隐藏C2通信,属于典型的高级供应链污染攻击。
样本基本信息[td]
| 属性 | 值 | 文件名 | VMware_Workstation_Lite_17_6_3_24583834_精简安装注册版.exe, setup.exe, mod.exe | 文件类型 | Win32 EXE (GUI) | 文件大小 | 284.63 MB (298,460,948 字节) | MD5 | 7f2642015de45cdfc5aa5b3423f2b787 | SHA-1 | 9f73b6d64f0876b779a9385d33540ab66f9c0186 | SHA-256 | 9959f112f16104393d60975803ed02fc641fdd752d9a7adffec05add3b328688 | Imphash | 0b2424dcbbe3d9e5561cafa3f9097a53 | TLSH | T1A6E83332A9591064E39942384A67F559D6FA7C1003F580FB636CB51B2F3AEF6CE36702 | 编译器 | Microsoft Visual Studio 2019 (v16.11) | 时间戳 | 2025-02-20 10:41:57 UTC | 数字签名 | ❌ 未签名(但包含微软时间戳证书) |
静态特征分析1. PE结构与Overlay该样本包含一个极大规模的 Overlay 数据区(296,681,748 字节),熵值高达 7.96,几乎占整个文件的99%。该区域极可能为嵌入的 MSI 安装包或完整 VMware 安装镜像,用于在运行时释放并执行。 PE节区结构如下: [td]
| 节区 | 虚拟大小 | 熵值 | 说明 | .text | 493,642 | 6.61 | 代码段 | .rdata | 166,810 | 5.41 | 只读数据 | .rsrc | 1,049,708 | 6.10 | 资源段(含多语言界面) | Overlay | 296,681,748 | 7.96 | ⚠️ 内嵌安装包 |
2. 版本资源伪造样本伪造了完整的版本信息,极具欺骗性: Product: VMware WorkstationDescription: VMware installation launcherOriginal Name: setup.exeFile Version: 17.6.3Copyright: Copyright © 1998-2025 Broadcom.
结合中文文件名“精简安装注册版”,明确针对中文用户群体,利用其对“破解软件”的需求实施社会工程攻击。
动态行为深度剖析
1. 权限提升:滥用 msiexec.exe 实现 SYSTEM 权限执行样本通过以下命令启动安装流程: msiexec.exe /V /i "%TEMP%\{...}\VMwareWorkstation.msi"
- /V 参数启用“管理安装”,绕过标准 UAC 提示。
- msiexec.exe 以 SYSTEM 权限运行,实现权限提升。
- 此为典型的 Living-off-the-Land Binary (LOLBins) 技术(MITRE T1218.011)。
2. 进程注入:劫持 Google\updater.exe样本执行远程线程注入,目标为: C:\Program Files\Google\GoogleUpdater\bin\updater.exe注入流程: - OpenProcess 获取句柄
- VirtualAllocEx 分配内存
- WriteProcessMemory 写入恶意代码
- CreateRemoteThread 执行
目的推测: - 利用可信进程绕过 EDR 监控
- 禁用 Chrome/ChromeDriver 自动更新
- 建立持久化通信通道
3. 痕迹清除:主动删除系统日志缓存样本删除以下文件: - KnownGameList.update
- KnownGameList.bin
- WerFault.exe 相关元数据
此举旨在禁用 Windows 错误报告(WER)机制,防止异常行为被上传至微软遥测系统,属于典型的反追踪行为(MITRE T1070.001)。
4. 环境感知:探测企业策略样本频繁查询以下注册表项: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\→ NoControlPanel, NoInternetIcon, NoDrives这些键值通常由企业组策略(GPO)设置。样本通过此行为判断是否处于受控环境,并可能据此调整攻击策略(如降低活跃度),属于环境感知型恶意软件。
C2通信机制分析1. 内存中发现的C2模板
http://%s.com/info?id=%u24583834%1$s&%2$s=%3$s%%%02x
- %u24583834%:硬编码安装包版本号,用于标识感染源。
- %1$s:用户/机器标识(可能为 SID 或 MAC 哈希)
- %2$s, %3$s:键值对参数,用于上传系统信息
该模板表明样本具备动态构建C2请求的能力,但可能采用延迟激活机制,在沙箱中未触发。
2. CDN掩护下的潜在C2(Domain Fronting?)样本连接以下域名: - www.microsoft.com
- res.public.onecdn.static.microsoft
均为 Microsoft Azure CDN 域名。结合其连接的 AS16625(Azure)、AS54113(Fastly)IP,存在使用 Domain Fronting 技术的高可能性: 此类技术已被 Cobalt Strike、Lazarus 等高级威胁组织广泛使用。
持久化手段
1. 通过 Windows Installer (MSI) 安装机制注册持久化组件
写入 MSI 安装包到系统目录
C:\Program Files (x86)\Common Files\VMware\InstallerCache\{6E541D29-21D9-4803-A6FF-3F2E6850D284}.msiC:\Users\<USER>\AppData\Local\Temp\{6E541D29-21D9-4803-A6FF-3F2E6850D284}~setup\VMwareWorkstation.msi
调用系统安装服务
msiexec.exe /V
在注册表中创建 Installer 用户数据项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\...
2. 创建系统级 Rollback 脚本,确保安装状态可恢复
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts\C:\Config.Msi\5de7eb.rbs
写入临时脚本文件
C:\Config.Msi\5de7eb.rbs
3. 释放可执行文件到系统公共目录,供后续服务调用 释放多个可执行文件到 Program Files (x86):
C:\Program Files (x86)\Common Files\VMware\USB\DriverCache\vnetlib.exeC:\Program Files (x86)\Common Files\VMware\USB\DriverCache\vnetlib64.exeC:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe
访问 Common Files 目录:
C:\Program Files (x86)\Common Files\VMware\InstallerCache
4. 进程注入合法更新程序,实现隐蔽驻留
注入多个 Google Updater 进程:
C:\Program Files\Google2096_2021383250\bin\updater.exeC:\Program Files\Google3352_208169071\bin\updater.exeC:\Program Files\Google3688_402173230\bin\updater.exe
表明样本使用 反射注入(Reflective Injection)或 APC 注入,将恶意代码写入内存后替换执行流
5. 创建全局互斥体(Mutex),防止重复运行并标识已感染
Global\MSILOG_084279931db8deegol.ismmv_pmeT_lacoL_ataDppA_onurB_sresU_:CGlobal\_MSISETUP_{29569BA1-9B5A-4699-8698-3571369A69CA}
样本通过 5 项确凿行为实现持久化控制[td]
| 持久化机制 | 证据 | 1. MSI 安装注册 | 写入 .msi 文件,调用 msiexec,注册 Installer 组件 | 2. 系统回滚脚本 | 创建 Rollback\Scripts 注册表项和 .rbs 文件 | 3. 系统目录驻留 | 释放 vnetlib.exe 等到 Program Files (x86) | 4. 进程注入 | 注入 Google Updater.exe(开机自启进程) | 5. 全局互斥体 | 创建 Global\MSILOG_... 等互斥体防止重复运行 |
在之前测试中样本发沙箱和反虚拟机 一旦检测到相关环境 就不释放恶意文件 后台的进程和正常软件好像一模一样??
结语该样本代表了当前恶意软件演化的一个重要趋势:不再追求完全隐蔽,而是通过“合法功能 + 社会工程”赢得用户主动执行。它不仅提供真实价值(安装VMware),还优化用户体验,让用户在享受便利的同时,亲手打开系统大门。 防御此类威胁,需从用户教育、终端行为监控、网络流量分析三方面协同发力。 “最危险的不是病毒,而是你认为安全的安装包。”
| 
发表于 
楼主