远程控制木马软件

远程控制木马软件
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
另类远控：木马借道商业级远控软件的隐藏运行实现 360安全卫士认证厂商2015-10-20共572190人围观 ，发现 3 个不明物体 数据安全文章
提起远控木马，灰鸽子、Gh0st等等都是臭名昭著。与这些木马相比，商业级远控软件的监控能力毫不逊色，只不过这类软件有着合法身份，并且在安装和运行时都会有明显提示。

但如果商业级远控软件能够被黑客玩坏，让它实现隐藏运行，那么它就会变成威力巨大的远控木马，因为这类商业级软件会被大多数安全厂商识别为合法程序。

360QVM团队就数次发现商业级远控软件遭恶意利用的情况，在此进行详细分析。

一、样本概况

1.png

2.png

3.png

样本是个常见的使用色情诱惑类名称的压缩包“我们小姐的相片”，在解压后得到一个批处理文件和一个隐藏的文件夹。依靠色情等擦边球传播，这是木马病毒惯用的手段。

隐藏文件夹内文件如下：

4.png

批处理文件经过混淆加密，用以对抗静态检测：

5.png

二、批处理流程

对批处理文件的解密结果：

6.png

其中主要命令为：

Part 1：

7.png

获得当前日期时间并保存到ok.txt，形如201510151742；

8.png

带参数运行ge.log，即进入命令行版的rar；

9.png

解压文件user.txt到文件夹user，并删除源文件。

Part 2：

之后则是创建文件夹c:\user0和c:\78g并复制解压的文件。

user0目录：

10.png

78g目录：

11.png

此时另外两个文件开始运行：

12.png

13.png

ok.txt是之前命令运行生成的包含当前日期时间的文件，tu1.txt是user目录中原有文件。

14.png

15.png

再运行pb.bat，此时该目录下仅剩一个名为照片的快捷方式。

Part 3：

pb.bat中内容同样是混淆加密的：

16.png

解密后命令：

17.png

ok.txt是之前保存有当前日期时间的文本，此处通过查找字符来判断样本激活时间是否在指定时间范围内。

18.png

添加注册表。此处添加的内容将在下面介绍。

19.png

打开一张图片，此时的“照片”，方才成为真正的图片。

20.png

此，批处理的命令已经结束，全程不存在病毒。当用户想再次打开“照片”时，则会运行“照片.lnk”指向的程序。

三、利用小众软件隐藏远控程序

照片所指，是一款名为装模作样的窗口隐藏工具，usersys.ini是该软件的配置文件。

21.png

22.png

该软件也并不是病毒，其配置文件具备“指定启动时自动隐藏并运行指定程序”的功能。

23.png

24.png

样本预设的配置，使svchnst.exe运行时便会启动C:\user0\svchest.exe并隐藏这两个程序的界面。

而svchest.exe实为一款名为“网灵”的商业远控受控端。对于具有合法身份的商业远控，很多杀毒软件原则上也是不报毒的。

25.png

该程序运行时原本有明确提示；但由于svchnst的隐藏运行，该远控受控端的图标和提示便被隐藏。

26.png

因为网灵受控端安装包在安装时需要填入网灵服务id和密码，并将这些信息保存到注册表hklm\software\anypc01中：

27.png

这也可以解释上述批处理命令中，需要添加注册表的原因。

四、总结

病毒作者事先在一台电脑上用商业远控配置好受控端，使用批处理来添加同等配置信息；再借助一款窗口隐藏工具，隐藏商业远控端开启时的提示。这样，受害者在不知不觉间，就遭到了攻击者的毒手；而攻击者也无需编写恶意程序，通过合法商业远控的隐藏实现就控制了受害者的电脑。

在此我们提醒广大网友：木马并不只是exe等可执行程序，类似.bat这样的脚本文件同样很危险。如果遇到不熟悉的文件格式或是陌生人发来的可疑文件，切莫轻易点击运行。

*本文作者：360安全卫士（企业账户），转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）

360安全卫士
360安全卫士
207 篇文章
等级： 8级
||
上一篇：走近科学：揭开伪基站的神秘面纱下一篇：美国高中生黑掉了CIA局长私人邮箱
这些评论亮了

lone (3级)此用户已被删除回复
花样招式。
)7(亮了
发表评论已有 3 条评论

lone (3级) 此用户已被删除 2015-10-20回复 1楼
花样招式。

亮了(7)

冰海 (4级) 我思故我在…… 2015-10-28回复 2楼
哈哈，好思路

求样本，来一份~

亮了(0)

孤独寒影 2017-05-20回复 3楼
之前我也干过，用的是Xt800，还各种用exe修改资源文件，实现隐藏弹窗，看完这篇文章才知道，原来还有这个软件，学习了

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
360安全卫士
360安全卫士认证厂商

360安全卫士官方账号

207
文章数
10
评论数
最近文章
十张图看懂Windows平台挖矿木马攻击趋势
2018.11.09

远控木马盗用网易官方签名
2018.10.24

幽灵间谍：TrickBot新变种运用“无文件”技术发起攻击
2018.08.23

浏览更多
相关阅读
网银大盗：Carberp木马又出新变种移花接木大法：新型“白利用”华晨远控木马分析WannaMine僵而不死：假装被美国土安全局查封针对能源部门的神秘恶意软件-shamoon“cerber”敲诈者对CVE-2016-7255漏洞利用分析
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank