37期報(bào)告匯總
安天發(fā)布《大灰狼遠(yuǎn)控利用QQ號(hào)上線》報(bào)告
“大灰狼”遠(yuǎn)控是一款不斷更新、升級(jí)的遠(yuǎn)控,安天追影小組曾經(jīng)對(duì)“大灰狼”樣本進(jìn)行分析,《安天周觀察》曾在第22期和第29期,分別發(fā)布《大灰狼遠(yuǎn)控分析》報(bào)告和《大灰狼遠(yuǎn)控變形DNS分析》報(bào)告,提及其具有連接到某個(gè)QQ號(hào)空間,通過該QQ號(hào)上線的行為。近期,研究人員再次披露“大灰狼”遠(yuǎn)控的另一個(gè)匿名上線漏洞,安天追影小組隨即進(jìn)行了分析。
該樣本具有釋放PE文件到系統(tǒng)目錄、自復(fù)制為常見系統(tǒng)進(jìn)程名、自刪除、修改注冊(cè)表、設(shè)置自啟動(dòng)、通過CMD隱藏刪除自身、創(chuàng)建可疑進(jìn)程、設(shè)置調(diào)試器權(quán)限、檢查攝像頭、連接網(wǎng)絡(luò)和查找殺毒軟件相關(guān)進(jìn)程等行為。經(jīng)追影小組分析發(fā)現(xiàn),連接控制端下載的文件與之前分析的相符,同樣名為“NetSyst**.dll”(**為兩位隨機(jī)數(shù)字)。
樣本行為:
1.
樣本首先下載“NetSyst96.dll”到APPPatch中。
2.
自我復(fù)制到系統(tǒng)目錄下,并以子進(jìn)程的方式打開,監(jiān)測(cè)和監(jiān)視新硬件設(shè)備并自動(dòng)更新設(shè)備驅(qū)動(dòng)。
3.
通過訪問“982471559”這一QQ號(hào)來上線,在本樣本分析過程中,研究人員猜測(cè)該QQ號(hào)的昵稱已改變,不再有效。
除了本次分析的樣本,追影小組在對(duì)其他威脅事件進(jìn)行情報(bào)收集的過程中,曾捕獲到大量以QQ昵稱作為上線昵稱的樣本,一旦訪問成功,惡意軟件會(huì)獲取到上線IP,受害主機(jī)將受到黑客的遠(yuǎn)程控制。
“大灰狼”遠(yuǎn)控有著較長(zhǎng)的歷史,且有專人負(fù)責(zé)開發(fā)維護(hù),更新迭代較快。其特色為通過QQ昵稱找到上線地址,這樣的方式有利于快速更新C2,且對(duì)避免殺毒軟件的查殺有一定的作用,而“免殺”也正是其吸引用戶的一個(gè)方式。為了避免被此類遠(yuǎn)控攻擊,安天追影小組提醒廣大用戶加強(qiáng)安全意識(shí),不要隨意打開陌生鏈接,通過官方網(wǎng)站下載正版軟件。