FinalShell – 一个免费且好用的ssh工具
最近刚重装完系统,新系统需要安装一些环境,在网上找 finalshell 的时候,发现搜出来两个 finalshell 官网:
第二个官网的域名是:www.finalshell.org
这个域名感觉更真实一点,点进去之后长这样:
下载发现安装包 Defender 会报毒
到这里已经发现事情的严重性了,众所周知,finalshell 拥有大量的用户。而此网站在搜索引擎里排名第二,很多像我这样的小白用户还是很容易上当下载的
先把这个域名丢到微步看一下,发现注册时间为 2023-07-30 日,是刚刚注册几个月的新域名
注册信息都有设置隐私保护,看不到
数字证书这里我们可以看到也是 2023-09-27 刚申请的证书,并且还是 Let's Encrypt 的免费证书
再看正确官网:hostbuf.com
是白名单域名,注册时间在 2016 年,且 whois 等信息都是公开的
我们将下载回来的安装包样本上传到微步沙箱看看
参考云沙箱进行分析
从静态分析模块中可以看出,样本的是 WinRAR 打包的
从行为检测模块中可以看出,样本在运行后会 %temp% 目录中释放两个文件,分别是:install.exe 和 install_8.exe
同时还有疑似载荷下载行为
在执行流程中,可追溯到这个IP:107.148.48.35
这个 IP 来自于 install_8.exe ,此时再结合沙箱释放文本中的检出,大概可以实锤这个 install_8.exe 是木马了
总结一下上面的信息,样本采用 "Self-extracting (SFX) archives" 方式,将 install.exe 和 install_8.exe 打包,而其中的 install_8.exe 是一个马,解压后并会自动运行连接到 107.148.48.35 下载其他文件
人工分析
首先使用 7z 工具验证一下安装包情况,可发现挂马的 FinalShell 是将马和正常的 FinalShell 打包一起,利用 SFX 的特性安装到系统中
第一阶段分析:
将 install_8.exe 拖到 ida 打开,提示以下信息 (再次实锤为木马)
样本首先会根据 C://ProgramData//Micros//xiaomum.lnk 是否存在来判断机器是否被感染过
如果没有过,则在 http[:]//107.148.48.35:35/3.txt 下载 shellcode,并采用文件映射的方式,放在内存中开始运行
第二阶段:
将 shellcode 转换为 exe,投入到云沙箱中可以看到,该 exe 中存在多个 URL
可见有 6个 功能组件,就留给其他人分析,大概有释放 DLL 的模块、持久化模块还有利用漏洞驱动强制 KILL 进程的模块
http[:]//107.148.48.35:35/1.txt
http[:]//107.148.48.35:35/2.txt
http[:]//107.148.48.35:35/3.txt
http[:]//107.148.48.35:35/4.txt
http[:]//107.148.48.35:35/5.txt
http[:]//107.148.48.35:35/6.txt组织关联
目前,微步团队已判定为 "紫狐" 组织
此域名情报已更新为 "恶意软件"
某些 CSDN 的博文还会提到去此恶意网址下载 finalshell,具有极强的诱导性
大家下载请认准官方网站为:
https://www.hostbuf.com/
感谢:@烟花易冷丶 @隐
关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境,0006 获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
备用号,欢迎关注
原文始发于微信公众号(刨洞安全团队):发现新恶意团伙紫狐!针对finalshell的供应链事件
