译文声明
本文是翻译文章,文章原作者Raphael Centeno and Llallum Victoria,文章来源:https://blog.trendmicro.com
原文地址:https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/
前言
随着新冠病毒全球疫情爆发,很多企业都在采取远程办公方式。犯罪分子利用这一“新常态”(员工远程办公的环境和在线工具的普及)来进行犯罪活动。我们发现了两个伪装成Zoom安装程序的恶意软件,通过非官方的途径进行传播。其中一个被安装了后门,允许犯罪分子远程控制计算机,另一个则是在设备中安装Devil Shadow僵尸网络。
::: hljs-center
图1.与合法的Zoom安装程序相比,恶意安装程序的文件大小明显更大。
:::
其实犯罪分子还可以利用其它的视频会议软件来捆绑安装恶意软件。因此,我们正在密切监视其它平台,例程和示例,以检查是否有篡改和捆绑的迹象。为了避免感染,请仅从可信来源(Google Play store、Apple App store和https://zoom.us/download)下载Zoom或其它应用程序。
带有后门的Zoom
我们发现了一个带有后门的Zoom安装程序的样本。恶意程序是一个包含许多加密文件的可执行文件,之后会进行解密并写入文件(%User Temp% Zoom Meetings 5.0.1 setup.exe)中执行。
通过对恶意样本分析后发现,在样本安装时会杀死所有正在运行的远程控制程序,并打开5650端口,通过TCP协议来实现对目标主机的远程访问。同时它还会向注册表中添加四条配置。
::: hljs-center
图2.打开5650端口
:::
::: hljs-center
图3.在注册表中添加四条配置
:::
通过反汇编notification registry函数,查看其中的字符串信息。我们可以知道该函数用于通知C&C,email已经设置,用户凭证已被盗取并且标记该主机可以进行远程控制。
::: hljs-center
图4.反汇编函数
:::
在进行一系列恶意行为之后,为了避免怀疑,Zoom安装程序会正常运行。安装后,犯罪分子可以利用后门在主机执行任意命令。
Devil Shadow僵尸网络
该恶意安装程序由pyclient.cmd文件组成。其中包含恶意命令。cmd_shell.exe文件是一个包含new_script.txt的自解压文件(SFX),其中包含C&C服务器,madleets.ddns.net以及为了获得持久性控制的shell.bat。同上,为了避免怀疑其中还包含了v5.0.1版本的Zoom安装程序。在botnet_start.vbs文件在运行pyclient.cmd文件时,恶意软件还会运行boot-startup.vbs组件以获得持久性控制。
::: hljs-center
图5.恶意文件
:::
::: hljs-center
图6.恶意软件持久性控制
:::
通过我们的分析发现,犯罪分子使用合法的应用程序node来运行new_script.txt,来与C&C服务器进行通信。
::: hljs-center
图7.与C&C进行通信
:::
在pyclient.cmd中,我们发现恶意软件会连接https[:]//hosting303[.]000wenhostapp[.]com,并下载恶意负载。
::: hljs-center
图8.下载应用程序的列表
:::
::: hljs-center
图9.列出可执行的命令。
:::
在下载的可执行文件中,screenshot.exe会拍摄用户桌面和活动窗口的屏幕快照,Webcam.exe会扫描连接到目标主机的所有网络摄像头。
::: hljs-center
图10. Screenshot.exe
:::
::: hljs-center
图11. Webcam.exe
:::
为了掩人耳目,合法的Zoom程序会被正常安装。但是通过查看Task Scheduler,我们发现每当计算机开机时,恶意软件会每隔30秒把收集到的所有信息发送给C&C。
::: hljs-center
图12.每30秒发送一次信息
:::
结论
尽管恶意软件对其自身进行了伪装,但是还可以找到蛛丝马迹。首先,安装程序都不是通过正规途径进行下载的,而且恶意安装程序在安装时明显比正常的Zoom速度慢,因为它需要在运行Zoom之前提取恶意组件。
在冠状病毒流行期间,Zoom因其易用性而变得流行,Zoom也通过不断更新版本来应对出现的安全问题。但是犯罪分子也正是利用了这一点,从而感染尽可能多的主机。在本文的两个样本,都可以实现对企业或非商业行业渗透,从而盗取机密信息。不仅如此,恶意软件还可以记录键盘敲击,使用摄像头,在用户不知情的情况下安装恶意软件,或录制视频和音频。由于应用程序可以运行在多个操作系统上,犯罪分子的攻击也可以进行扩展。
具有远程办公需求的用户可以从以下方面来预防攻击:
1.仅从官网或官方应用市场下载应用程序和软件
2.及时更新软件来获取最新的补丁,使用会议密码和配置主机安全策略。
相关推荐: 原创干货 | 【恶意代码分析技巧】17-对抗检测分析
为了对抗安全工具和安全人员的检测分析,许多恶意代码都包含了对抗检测分析的功能。一方面,恶意代码使用各种技术检测当前的运行环境,判断自己是否正在被检测分析;另一方面,恶意代码还会使用各种混淆技术增加恶意代码分析的难度。 1.反调试 反调试主要是为了对抗调试分析,…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论