商业远程控制软件误导安装的黑产攻击模式分析

概述

从2019年以来，奇安信病毒响应中心就一直在关注国内黑产远控市场的发展，在移动端贩卖的远控主要以开源的源代码加壳为主，其余有些使用国外免费的版本的远控，比如我们之前披露过的《阿拉伯木马成功汉化，多款app惨遭模仿用于攻击》，只有极少数的在贩卖自己编写的远控程序，如披露过的《黑产新“基建”：沉淀在上游的“虚拟身份”制造机》，而在PC端除了我们已经披露过利用魔改大灰狼的金眼狗、金钻狗、金指狗等黑产组织外，我们还观察到有些二道贩子在贩卖合法远控，这引起了我们对这一领域的兴趣。

总的来说在长时间的调研后，我们认为黑产团伙对于合法远控软件的恶意利用，仍处于各自为战的“小农”经济时代，尚没有出现一个能够给各类黑产团伙提供完整解决方案的机构或者组织，离“工业化”时代还有很长的路要走。

合法的远程控制软件在未经用户允许的情况下被恶意安装本身并不新奇，之前我们已经披露过多起类似的攻击行动，但在2020年新冠病毒的阴影下，合法远程管理软件被滥用的情况格外严重，所涉及合法远控的种类和投递诱饵的数量远超以往，并且具有通用化的倾向。黑产团伙通过误导、欺骗、伪装的方式使用户在不知情的情况下安装合法远控软件实现远程控制，且合法远控一般都带有数字签名或者在杀软的白名单中，驻留程度高，对一般用户而言，没有办法轻易的删除和卸载，给个人及单位造成了极大的安全隐患。

经过长时间的收集和统计，我们发现大约有五款合法的远控深受华语黑客团伙的青睐，投递的样本主要通过zip压缩包的形式在各类社交群中进行传播，大部分诱饵会采用SFX的形式去静默安装合法远控软件，少数使用Lnk文件启动。下面我们会根据攻击对象分类，结合具体的案例进行分析。

为避免给合法远控软件造成不良的商誉影响，本文隐去了所有被黑产恶意利用的远控软件的名称。但仍然给出了部分软件界面截图，目的是帮助读者了解和识别远控软件，一旦看到电脑中出现类似软件界面，能够知道自己正在安装一款远控类软件，以免在不知情的情况下被误导安装。

案例分析

• 色情类攻击

在2019年时我们曾经发表了一篇名为《黑吃黑：揭秘零零狗团伙利用裸贷照片等诱惑性手段的攻击活动》的文章，其中提到零零狗团伙利用一款国外的远程控制软件对受害者进行远程控制，2020年初，我们观测到该组织还在活动，投递的诱饵压缩包如下：

压缩包中的诱饵种类众多：

xls类型

色情JPG图片

色情mp4诱饵

攻击流程与我们之前披露的类似，是易语言编写的Dropper，释放静默版本的远控软件

获取远控生成的ID和密码发送到远程服务器

在年初的攻击中零零狗团伙反复使用wqkwc.cn的子域名作为远程C2，投递了大量的诱饵。

除了上述远控外，在2020年初时，我们曾经发表了一篇名为《“正版”监控软件被黑产利用，输出把关不严或成另一个TeamViewer？》，在文中提到了黑产团伙利用合法终端管理软件发起攻击，通过监测，报告发表后依然有零星的样本出现在我们的视野中，样本会在%temp%目录下释放并打开mp4小电影迷惑受害者。

之后再从远程服务器下载合法终端管理软件安装包。

使用的终端管理软件主控端界面如下：

数字签名如下：

• 博彩类攻击

恶意代码由Smart Install Maker打包，使用静默安装的方式安装DSZY.exe

DSZY.exe为合法远控程序监控程序V16.8版本，C2：222.189.238.246:40015，非静默安装界面如下

静默安装后会在%appdata%下释放名为whstdk的目录，并释放相关组件，数字签名如下：

除此之外，还有SFX打包后的样本

自解压包中的内容如下：

新葡京6月数据.exe为上述远控的安装程序，接着会打开聊呗潮信双检测.exe，弹出对话框用于迷惑受害者

根据相关信息我们找到该远控的官网，该远控是目前国内监控软件市场上占有率较高的一款产品。

高知名度同时也带来了高风险性，目前国内有不少第三方下载站都提供该远控破解版的下载，攻击者可以零成本的使用该软件发起攻击。

本机搭建后可以看到有用户信息、实时画面、多画面监控、实时负载、历史记录、监控统计、文件管理、进程列表、服务信息、软硬件管理、监控设置、限制设置等功能，完全满足攻击者的所有需求。主控端管理截图如下：

• 针对金融行业以及股民的攻击

从2019年12月份至今我们陆续观测到有黑产团伙利用合法远控对股民、金融人士发起攻击，在炒股或者金融相关的微信群中大肆传播。

文件图标如下：

释放的诱饵文件如下：

压缩包中包含了自解压程序。

自解压脚本会使ykserver.exe去连接主控端，C2：47.105.134.24:4900

除了自解压形式的样本，还会使用lnk来启动软件

结合样本信息我们找到了该合法远控的官网，据了解该公司经营的是一款在网吧领域较为流行的远程管理软件。

经过调查在第三方下载站也能够下载到该产品。

本地安装后，主控端界面如下：

• 捆绑正常程序

样本均为SFX自解压文件，样本中包含作弊APK并且将恶意的合法远控启动文件隐藏在软件说明或者更新的目录下，以此来降低受害者的警戒心。

样本图标如下：

SFX脚本信息如下：

非静默状态下安装包界面如下：

数字签名如下：

结合样本信息我们找到了该远控的官网

其主控端可以安装在手机上对PC端进行远程控制。无门槛注册，试用时间高达一年。

功能如下：

生成的被控端在VT上的查杀率极低，对于攻击者来说不失为一种既廉价又省力的解决方案。

总结

除上述五种常见的合法远控之外，市面上还有百余款合法远控处于待开发状态，大部分合法远控会通过官方的子域名进行通信，这给我们溯源和描绘攻击者画像带来了极大的困难，同时有不少二道贩子打着免杀远控的旗号在地下论坛贩卖此类远控，坑骗中间人也给黑产市场造成了大量的混乱。安全研究人员务必做好长期对抗的准备。

从预防的角度来讲，大多数诈骗都是利用人性的欲望来进行诱导的，因此，洁身自好，不贪图小便宜，培养风控意识能在很大程度上防范当今的诈骗，从安全的角度来讲，不要点击来源不明的邮件和可执行文件，同时提高个人的安全意识，也能阻止诈骗活动的展开。奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对该家族的精确检测。

IOC

文件Hash：

d51d547164d6ff7f85448fd6c0c0931c

48cd674c4cfaafb89591d6eec1e870f8

dd610d40bdb32283a124d5f4b3523551

ee2f867255f8021031261447f83c1b15

7067c78f79e40ca79daa01231a9b39bf

ee2f867255f8021031261447f83c1b15

080bb2ed8cc79e6c57778d4db6f9de12

54caa259825cb8c13c8239990dc07793

958bc12d45278a0bdef00e5fb62edfb4

4e1683bb8dab772fa58e6ec72cd9707e

006ab74787654bca5a12ab385fd5af90

8b40110982b08bfbd36b6457ce289a41

99cec3b9c3337097588704b78fe9aa38

947ce907e1424ebbcbf8a2b80fe34153

9f6220d24a3db7306599f538fa9b50d1

b83cada6724955cfe9a53c7724b856be

49eb9b2b26509d8fab038ecb5ab5306c

E7f1c40ca7e9dfcf80c783cdb84e2a18

da2b7657fac4a1c3ac249df2a19d3eea

cdc6846e668d3ce8bfa56b756239ec17

80f543116f0e61432c6cb52cddcc0281

3159b6d224a6fdf85515523088fdf1dd

9060d15f9f767f4f3bc913e9501b15e2

183b2b8e285ad43f2dbd0c326fbbda9e

c0953f99585617c91c908cd2f04a3876

a762f193b1f2164cc8d6f4fbd0b28abb

c8bd23d75d4e0f9bd9cef9ca06d35706

5b95bf3e5a9eca55df2520ea4f2c46ce

8eac881218f4e79ce3e5ddc15b6b5d61

cfcf97b8dd8bca9b38f49ea0e0e5c530

fcda234ccbf6569e8ae16120b5e58a5f

C2：

wqkwc.cn

222.189.238.246:40015

124.156.166.145:22

47.105.134.24:4900