恶意文件名称:
telrvp-4.7.exe
威胁类型:
后门木马
简单描述:
Telrvp-4.7是一个伪装成Telegram的恶意安装包,能够使用“白加黑”技术在合法软件中加载Gh0st远控木马变种,其组件均经过了混淆处理。
恶意文件描述
深信服深盾终端实验室在近期的运营工作中,捕获了一个已知黑灰产团伙的新样本。该文件通过伪装成 telegram 中文版软件下载站进行传播。
该样本使用 TrueUpdate 白进程作为攻击的起始进程,再分阶段进行加载并解密后续的恶意组件,最终释放出 Gh0st 远控木马变种。
恶意文件分析
|
文件名 |
描述 |
|
iusb3mon.dat |
包含恶意代码的加密压缩包。 |
|
iusb3mon.exe |
TrueUpdate,indigorose公司开发的程序更新软件。 |
|
Media.xml |
处理后的持续化模块,实DLL。 |
|
ziliao.jpg |
加密后的后门模块,实为DLL。 |
iusb3mon.exe 是 indigorose 公司开发的程序更新软件,原名为 TrueUpdate 。它会使用内置密码去解密同一文件夹内的 iusb3mon.dat 压缩包,并执行压缩包内名为 _TUProj.dat 的自定义升级脚本。该病毒就利用这一脚本执行机制,在_TUProj.dat 中植入了恶意代码。
内存中解密后的 _TUProj.dat 脚本如下图所示,脚本的主要功能是新建线程去执行 g_table_char 里的 Shellcode。
Shellcode 的功能是加载并修复 Media.xml 持久化模块,然后跳转到修复后的DllMain 函数处开始执行。
为了避免检测,Shellcode 会遍历 _LDR_DATA_TABLE_ENTRY 结构体,手动遍历 DLL 的导出表来获取所需函数的地址。
修复后的 DLL 是病毒的核心持久化模块,执行组件完整性检测,环境检测,持久化服务安装,后门 dll 启动等功能。
为了妨碍安全分析人员分析和避免被杀软检测,该组件会检测运行环境是否是虚拟环境和系统中是否存在【杀毒软件】来决定是否执行后续行为。
如下图所示,通过检查机器显卡设备的 Vendor ID(厂商识别码),如果显卡设备的厂商不在 Nvidia,Nvidia,Intel 之中,则很可能是虚拟机环境中。
通过遍历进程检测进程名和注册表键来判断是否安装了【杀毒软件】。
为了实现持久化控制,病毒会通过 CLSID_TaskScheduler com 对象注册服务来实现持续化控制。
在执行完必要的检测后,病毒会尝试运行后门模块。读取并解密 ziliao.jpg 后门模块,从 shellex 导出函数处开始执行。ziliao.jpg 使用简单的异或加密来保护原始后门模块,key 是硬编码在程序中的,在这里是 0x94。
后门模块主要负责连接 C2,下载文件,按键监听,命令执行等多种功能。
为了避免被系统管理员和杀毒软件发现,后门模块会隐藏相关组件和检测杀毒软件的存在。
第一步,通过SetFileAttributesA函数设置木马相关的文件和目录的属性为隐藏和系统文件来避免被用户发现。
第二步,病毒还会通过EnumWindow来枚举并比较窗口名是否包含特定的字符串来判断是否存在被检测的风险。如果存在风险则立刻终止行为。
为了避免C2服务器地址被封禁导致后门失效,后门模块还会从ip.txt文件中获取新的C2地址。
通过设置注册表启动项,注册自身为服务来实现持续化。
监听键盘按键信息和当前前台窗口,将信息保存在%APPDATA%Default.dat文件中。
通过ftp协议下载文件。
经过威胁情报关联,初始样本可能是从伪装成Telegram中文版下载网站下载的telrvp-4.7.exe文件。在该网站上,Android和IPhone平台下载的也是telrvp-4.7.exe文件。目前该网站已经被举报为危险。
telrvp-4.7.exe是由Setup Factory打包的安装程序,打包了此次攻击中所用到的所有组件。
IOCs
文件MD5
1.421285ba7f383ef48e80a3cd3635ca12
2.38576b6fb5f27f812562b779f24b1001
3.4ae5e8bdd68861df10f01fe268859588
4.3c44ffeb6626913540ce8527fdd3bee1
恶意域名/IP
1.coewnkd.top
2.27.124.40.78
解决方案
处置建议
-
避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;
2.定期使用杀毒软件进行全盘扫描。
3.建议避免在非官方网站上下载软件,并认真判断网站的真实性与合法性。
深信服解决方案
【深信服统一端点安全管理系统aES】
已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云端安全能力平台,实时获取最新安全情报,如最新热点漏洞事件、流行病毒和新型威胁,持续进行风险分析与预警,识别外部威胁并拦截。接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服SaaS XDR接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】黑客团伙伪装成telegram官网分发Gh0st远控木马
