jps.exe

jps.exe收藏本站找回密码开启辅助访问OTP 登录 注册 找回密码
安基网

请输入搜索内容
搜索

首页资讯软件IT技术公开课人才投稿

冰盾DDoS防火墙
冰盾DDoS防火墙
专业防护DDoS和CC攻击15年，网站和游戏服务器的保护神
点击了解详情
安基网›首页›资讯›IT业界› 查看内容
使用AutoIt脚本进行键盘记录窃取的“新奇玩法”
2016-11-16 17:05| 投稿: son850318

免责声明：本站系公益性非盈利IT技术普及网，本文由投稿者转载自互联网的公开文章，文末均已注明出处，其内容和图片版权归原网站或作者所有，文中所述不代表本站观点，若有无意侵权或转载不当之处请从网站右下角联系我们处理，谢谢合作！

摘要: 近日，哈勃分析系统捕获到一类木马，与通常的木马不同的是，新发现的这类木马在payload中大量使用了混淆的AutoIt脚本来实现各种恶意功能，包括混淆、虚拟机检测、傀儡进程内存替换、键盘记录等行为，同时实现了包括W ...
近日，哈勃分析系统捕获到一类木马，与通常的木马不同的是，新发现的这类木马在payload中大量使用了混淆的AutoIt脚本来实现各种恶意功能，包括混淆、虚拟机检测、傀儡进程内存替换、键盘记录等行为，同时实现了包括Win2000在内的多种操作系统，以及32位和64位在内的高度兼容。

以下是对此木马各阶段的详细分析。

阶段一：Downloader
木马的Downloader的形式最近已经屡见不鲜，依然是发送带宏的文档，引诱受害者启用宏。

使用混淆过的宏脚本，从固定的网址上下载exe并运行。

宏的内容本文中不详述。此外，通过域名信息进行搜索可以得知，此恶意域名伪装的是美国支付汇款网站Ria Money Transfer，并且曾经假冒该网站的名义发送过钓鱼邮件。注册此域名用的电子邮件和电话号码都是无效状态。

下载下来的exe会被命名为puttyx86.exe，同时使用iTunes软件相关的文件信息伪装自己。实际上，该exe文件是一个RAR自解压包。

阶段二：Extractor
查看上一阶段下载的RAR包，可以发现，其自解压部分代码进行了混淆，实际功能是利用解压出来的jps.exe去执行aul-fns。

其中jps.exe是一个AutoIt脚本解释器，并且带AutoIt签名，不会被安全软件报毒。而aul-fns是混淆过的autoit脚本。

可是，当使用jps.exe执行这个aul-nfs以后，系统直接蓝屏了。这又是怎么回事呢？

于是，尝试对压缩包中的AutoIt脚本进行解密和分析。接下来的AutoIt脚本都是经过解密后的结果。经分析，脚本运行的步骤如下：

首先，读取压缩包中的另一个文件ovq.ppt，该文件为一个经过混淆的配置文件，用于配置脚本的各种功能。

接下来，脚本检查当前路径是否在temp目录下，并且检查当前没有qsq目录窗口。因为之前的puttyx86.exe会自解压到qsq目录，木马作者以此逻辑防止分析人员自己去找到这个目录。如果不满足条件，脚本则会结束系统的所有进程，并且强制重启系统。

然后，脚本设置当前目录中的所有文件隐藏和只读，然后通过压缩包的另一个文件ovq.ppt的数据，解密出另一个AutoIt脚本，然后写到随机文件名的au3文件中去，最后拉起这个新的脚本。

阶段三：Keylogger
新的恶意脚本运行后，会将系统目录中\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe复制到\temp\RegSvcs.exe，然后读取原自解压包的另一个文件eck，并且将读取的数据附加到新复制的RegSvcs.exe文件的末尾，为傀儡进程做准备。

有了修改后的RegSvcs.exe文件之后，脚本会创建并挂起新进程，创建以后Unmap原有的内存并用自己的替换，以此完成傀儡进程替换。替换时，脚本使用了DllStructCreate，DllStructGetData、DllStructSetData、DllStructGetPtr等AutoIt自己提供的接口，脚本编写起来并不复杂。

内存替换之后，RegSvcs变成了一个脚本解释器，重新执行au3脚本。新的au3脚本逻辑稍有不同，会使用CallWindowProcW来执行一段shellcode。

这段shellcode的作用是记录键盘与窗口内容，然后发送到服务器。经搜索，此keylogger与知名的商业木马Limitless Keylogger比较类似，该木马目前作者已停止支持。追踪其上传时所用的C&C服务器域名，只能发现使用的是一个动态域名服务，未能继续深入下去。

在拉起keylogger之前，根据配置文件的内容，木马还会先执行一些准备工作。据监测，从恶意网址下载到的木马变种较为频繁，基本上是几个小时就会变化一次。这样频繁的变种，除了改变文件特征躲避安全软件检测之外，还会使用不同的配置文件以启用不同的功能。

例如，一些变种会检测虚拟机进程、判断是否存在D盘、检测Cuckoo Sandbox等，如果不满足则直接退出。

另外一些变种会执行一些常见的恶意操作，比如禁用UAC、禁用任务管理器、添加自启动项等。

脚本还有很多其他功能，比如可以下载执行配置文件中的URL，但目前没有发现变种在配置文件中开启过相关选项。

在分析过程中还发现，脚本支持系统非常全，包括32位、64位系统，甚至兼容Win2000。

总结
此木马在运行过程中，大量使用了经过混淆的AutoIt脚本，配合RAR自解压脚本和宏，以达到躲避安全软件检测的目的。AutoIt脚本比较完整，支持包括Win2000在内的各类操作系统。木马最终会通过傀儡进程的方式，拉起一个比较成熟的keylogger，对受害者的键盘输入进行记录和回传。

Tag标签:

小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请 点击这里 注册账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！

免责声明：本站系公益性非盈利IT技术普及网，本文由投稿者转载自互联网的公开文章，文末均已注明出处，其内容和图片版权归原网站或作者所有，文中所述不代表本站观点，若有无意侵权或转载不当之处请从网站右下角联系我们处理，谢谢合作！

1
鲜花

握手

雷人

路过

鸡蛋
刚表态过的朋友 (1 人)
鲜花
匿名

收藏邀请
上一篇：只用一台笔记本发动DDoS攻击，就能让大型服务器下线
下一篇：数据显示希捷 8TB 硬盘的可靠性出色
相关阅读
• 怎么找到路由器的IP地址 提高工作效率• 微软向客户提供SQL Server免费授权与培训• 逆天改命！14核E5 CPU 破解之后性能秒i7• 非VIP会员看视频轻松免费去广告的方法• 4K和超高清是一回事吗？• 实力DIY！8代酷睿i5/i7绝缘贴问世：方便兼容100系主板• TDD 方法开发渗透测试工具：代理扫描器（第二集）• “Windows 10.1”正式现身！• OpenSSL漏洞• 结束不了系统进程？开什么国际玩笑• IBM发布LinuxOne服务器 最高10TB内存• 中国何时能真正有自己的操作系统？• Win10正式版Bug又来了• 小到难以置信！神器的OV SDP新型固态硬盘• Google、微软、Mozilla、思科、英特尔等七大厂共组开放媒体联盟，推下世代影音格式• 一款功能强大的Web shell工具RC-SHELL• 肥皂盒大小的Android电脑来了• Dropbox全球用户突破5亿!• Kaspersky Cleaner• 用电脑给手机充电却不耐用：都是它在捣鬼• 微软无解！Win10用户突然减少：装回Win7• 拯救老机：Windows XP SP4又来了• 卡巴斯基推出首款操作系统：放心，会很安全！• 金士顿发布全新硬件加密U盘
最新评论

评论

IT业界
数码港
互联网
安全报
币链圈
科技眼
职场族
创业邦
Ｅ生活
警示窗
最新

能够删除杀毒软件的新型Linux挖矿木马来袭
FIT 2019不见不散！大会详细议程公布
用户设备易被黑的十大机场
数字货币价格普遍回暖 比特币重返4200美元
红魔MARS游戏手机发布 液冷+风冷+炫彩灯+边
00后没见过 这些老产品依旧堪称神器
因MacBook和iMac屏幕进灰事件 苹果遭遇集体
美司法部指控两名伊朗黑客勒索攻击 造成300
网络黑灰产已近千亿 个人信息泄露是源头
真相令人崩溃 你在网上设的密码大多数形同
00后“白帽黑客”7天挖11企业漏洞！今年17
高达800万次下载量的npm包被黑客篡改代码，
黑客“自学成才”进行DDOS攻击，杭州一集团
工信部：监测处置网络安全威胁约3397万个
最近，互联网一个47年的协议就要停止支持了
5毛1GB太便宜！固态价格持续下降可以入手了
“多才多艺”的安卓木马Rotexy已在3个月里
专家发现一个Spotify的网络钓鱼活动
Uber被曝270万用户信息被黑客盗取 遭监管机
移动支付排名：微信第一、支付宝第二、Appl
专为AR/VR场景打造 高通正在开发全新SoC
苹果macOS曝三个零日漏洞，可导致Mac电脑被
越南黑客组织“海莲花”被指针对东南亚发起
13款恶意安卓APP被曝光，总下载量超过56万
攻击者可通过侧通道攻击暴露Facebook、XBox
聊一款专为图形工作者准备的笔记本电脑
恐怖！一天之内比特币跌破3500美元，官媒发
共享充电宝退潮后：那些海量旧电芯去了哪里
人工智能如何与现代黑客和网络犯罪作斗争
非常琐碎的Spotify钓鱼活动被专家发现
Web应用服务器性能压力测试
任天堂Switch 6.2系统被破解 黑客将于本周
虚拟机加密：超融合世界的加密策略
python编程实现局域网arp抓取室友网上浏览
9款电脑黑科技小软，开启你成就网络管理员
斯诺登：比特币终将消失 加密货币则会永生
警惕eval()的安全漏洞
自学Python入行数据挖掘，听听数据挖掘美女
马斯克考虑移居火星 建立基地不返回地球
新型 Linux 病毒，脚本超 1000 行，功能复
渗透测试——黑客如何通过QQ号获取到你的手
黑客怎么利用手机进行网络渗透测试！
黑客入侵电脑常用的5种手段，如果你电脑里
黑客的“攻”与“受”之防火墙
安卓已过时？华为、荣耀参与测试全新操作系
亏损超1亿！比特币价格大跌，两万多部矿机
乳胶枕被检出含致癌物，还是花6800买的！乳
英语不好？那你就试试TensorFlow官方中文版
Hadoop学习-块、网络拓扑、副本策略、机架
超详细的Linux时间同步配置方法
比特币跌破3500美元至2017年9月以来的最低
北京一培训公司员工为赚提成收集千万个人信
腾讯QQ发布公告：因安全功能升级 不再提供
苹果macOS曝三个零日漏洞，可导致Mac电脑被
Facebook提高发现账户劫持漏洞的赏金金额
Linux内核发现两个尚未修复的DoS漏洞
淘宝双12大促玩法曝光：必须设店铺红包
PS4出现一位黑客 把不尊重他的玩家永久断开
你的ofo押金退了吗？
2019互联网校招薪酬曝光 看你能拿到多少钱
感恩节黑客也搞起了黑五大促 但甩卖的是你
网上谍影：境外间谍情报机关通过互联网窃取
亚马逊用户电子邮箱地址在黑色星期五前夕外
vivo NEX2首次曝光：极致双面屏＋22.5W超级
百度网盘六周年庆活动上线：新用户1元买一
国产手机逆势崛起 苹果三星被挤压
QQ v9.0.8.24194 体验版发布
小米蓝牙耳机Air现身FCC：10小时续航
比特币再次暴跌 感恩节当周市值损失四分之
iOS登录，退出流程整理
© 2003-2018 安基网（SAFEBASE.CN） 京公网安备11010802027589号 京ICP备10030376号-6 【手机版】Powered by Discuz 存档 联系信箱: 0daybank