欧美午夜人成精品_好姑娘3完整版在线观看中文韩剧_性ⅩXX东北老太老头国产_一个添下面两个吃奶把腿扒开_日本波多野结衣无码黄色一级视频_国产剧情麻豆正在播放_亚洲欧美另类日韩变态首页_亚洲av免费影视_91免费在线播放_五月丁香婷婷综合

近期，火絨威脅情報(bào)中心監(jiān)測(cè)到一個(gè)名為“企業(yè)智能化服務(wù)平臺(tái)” 網(wǎng)頁(yè)上托管的文件存在惡意行為，火絨安全工程師第一時(shí)間提取樣本進(jìn)行分析。分析中發(fā)現(xiàn)樣本為易語(yǔ)言編寫的成熟后門，能根據(jù) C2 指令實(shí)現(xiàn)對(duì)受害者機(jī)器的完全控制。除此之外，它還會(huì)檢測(cè)受害者機(jī)器中殺軟的安裝情況進(jìn)行對(duì)抗，上傳受害者系統(tǒng)中相關(guān)信息，并設(shè)立開(kāi)機(jī)啟動(dòng)項(xiàng)進(jìn)行持久化駐留等。目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺，請(qǐng)廣大用戶及時(shí)更新病毒庫(kù)以提高防御能力。

觀察到樣本來(lái)源頁(yè)面如下圖所示。打開(kāi)該網(wǎng)頁(yè)后會(huì)自動(dòng)下載一個(gè)名為 "合同.rar" 的文件到本地。解壓運(yùn)行該文件后，會(huì)從內(nèi)存中解密多個(gè)子文件進(jìn)行加載和釋放，最終運(yùn)行易語(yǔ)言遠(yuǎn)控代碼，實(shí)現(xiàn)對(duì)受害者機(jī)器的完全訪問(wèn)控制。此外，根據(jù)火絨威脅情報(bào)系統(tǒng)顯示，該后門還會(huì)偽裝成其它商業(yè)文件進(jìn)行傳播，觀察到的其偽裝的文件名有 “supe-告知函.exe”、“電子合同.xls” 等。

                                                                                                    網(wǎng)頁(yè)界面

樣本執(zhí)行流程如下所示：

                                         樣本執(zhí)行流程圖

                                             易語(yǔ)言入口點(diǎn)

“合同.exe” 執(zhí)行時(shí)，會(huì)先檢查 “tomcat.exe” 進(jìn)程是否存在?！皌omcat.exe” 進(jìn)程實(shí)際上是下一階段惡意代碼的執(zhí)行文件。如果存在，則直接結(jié)束該進(jìn)程：

                                                          檢查 tomcat.exe 進(jìn)程

                                           檢測(cè) 360tray.exe 并釋放 payload

                                                                   密文對(duì)應(yīng)的殺軟列表

但當(dāng)殺軟數(shù)量不止一個(gè)時(shí)，“合同.exe” 程序則會(huì)進(jìn)一步執(zhí)行驅(qū)動(dòng)對(duì)抗操作。該程序首先會(huì)獲取本地網(wǎng)絡(luò)適配器信息以禁用無(wú)線網(wǎng)卡：

                                                                       獲取網(wǎng)絡(luò)適配器信息

接著檢查 "ZhuDongfangYu.exe" 進(jìn)程是否存在。如果存在，則解密并釋放 "C:\g.sys"、"C:\y.sys"、"C:\all.exe" 3 個(gè)文件運(yùn)行以進(jìn)行驅(qū)動(dòng)對(duì)抗操作，然后繼續(xù)釋放并執(zhí)行下一階段 payload：

                                                  驅(qū)動(dòng)對(duì)抗操作

其中，釋放文件中的"all.exe" 程序，根據(jù)字符串信息可以確認(rèn)其來(lái)自于開(kāi)源項(xiàng)目 RealBlindingEDR（https://github.com/myzxcg/RealBlindingEDR），該開(kāi)源項(xiàng)目以分享對(duì)抗 AV/EDR 的技術(shù)為主。此外，文件中的 "g.sys" 和 "y.sys" 也是該項(xiàng)目相關(guān)文件，在此不做詳細(xì)分析： 

                                                                                all.exe 界面信息

                                                                                       RealBlindingEDR 項(xiàng)目截圖

                                                                                                釋放 conf.ini

                                                                                           conf.ini 內(nèi)容展示

接著解密出另一個(gè)可執(zhí)行文件 "tomcat.exe"，第一次解密得到的字節(jié)碼還要通過(guò)內(nèi)存遍歷，用指定的密文替換 tomcat.exe 中作為占位符的 "kkk" 字符串：（根據(jù)后面的分析可知，該指定密文為要連接的 C2 IP）

                                                                                                  解密字節(jié)碼并替換

                                                                              替換內(nèi)容

最后啟動(dòng) "tomcat.exe" 進(jìn)程，開(kāi)啟下一階段操作：

                                            啟動(dòng) "tomcat.exe" 進(jìn)程

                                                              釋放文件列表

該程序會(huì)在前期初始化階段解密出 E_Loader.dll 和 HP-Socket 等 dll 用于內(nèi)部加載以實(shí)現(xiàn)第三方功能。根據(jù) HP-Socket 官網(wǎng)介紹，其中的 HP-Socket 為高性能網(wǎng)絡(luò)通信框架，同時(shí)它為易語(yǔ)言的編程語(yǔ)言提供接口。

獲取殺軟列表

進(jìn)程遍歷

C&C：

HASH：