安服仔分析日记——记一次Telegram木马处置

大家好，我还是那个神龙大侠，近来肚子里也没有什么墨水了，只能捡捡最近工作中的一些日常小case跟大家分享分享，刚好近期给一个客户处置木马，发现一个小有意思的持久化隐藏技术，跟大家汇报下我的分（蹚）析（坑）思路。

NO.1

没有困难的工作，只有勇敢的打工人

安服仔的我工作中最常见的场景就是，客户部署了咱家的TDP，紧接着就发现一堆主机在那报失陷，客户难免眉头一皱，你们情报准吗？保熟吗？风险大么？咋处置？我要跑路吗？

作为一名 booker，其实对咱家的产品还是很有信心的。不巧，某客户刚部署了 TDP，便告警了若干个“Quasar远控工具”，甲方爸爸直接问号脸～

遇到问题，解决问题，“客户的成功就是我们最大的成功”。

先要来告警的情报 IOC，通过最好用的情报社区X，我们可以确认该情报当前还真实有效，不过这个域名是不是很多人乍一看都会觉得这怕不是windows的更新域名被你们误报了，hhhh

接着，我们要简单分析下该 IOC 的上下文，通过其关联的通信样本，可以发现有一个名为“TelegrCN.msi” 的样本，看名字大家也应该就知道是什么软件了吧～

通过详尽的样本分析报告与运行截图，基本可以判定这个中文版的 Telegram 被捆绑了后门木马，在安装后会反连上面的域名进行木马通信。

根据初步的分析结果，于是弱弱地跟客户反馈“这个终端大概率是安装了盗版的Telegram软件吧，建议定位排查一下，如果有的话，可以卸载后再看看”～

果不其然，客户在终端上确认用户安装了中文版Telgram，且全盘扫描发现了存在风险的电报安装包，卸载后也不再产生告警。

Nice，完美解决～

NO.2

早安，打工人！

安全的路上总是一波未平一波又起起起起起起起起起起起起起起起起起起起...

次日上班后，甲方爸爸又带着疑问在群里出现，昨天处置的机器为什么今天又告警了？？？

毫无疑问，这种情况必然是有持久化技术在维持木马重启后的运行，那这次肯定得细分析下看看了。

毕竟这种小木马也用不着花那么大精力去逆向，一般我们可以直接用火绒剑或Procmon去监控这个进程的动作就能分析个七七八八。正好公司近期发布了PC端EDR产品OneSec，我就用它来试试看。在安装了 Agent 的机器上运行这个中文版的Telgram样本，msi安装包执行后释放的恶意dll文件落地就告警了，且产生了前面的恶意域名解析请求。

可以看到释放的文件位于C:ProgramDataDISMService目录下，在机器上查看，发现果然多了DISMService目录及其释放的恶意文件，还能看到TimeUpdate字样的文件，是不是和告警的域名互相呼应。

找到了木马的根源，我们还关注的是它是如何持久化的，所以再重启一下系统看看告警的进程链关系：

smss.exe —> wininit.exe —> services.exe —> svchost.exe —> Dism.exe —> Explorer.exe

了解windows系统服务启动过程或者看过之前那期《揭密：被黑客玩坏的svchost进程》的小伙伴，通过这个进程链大概也能看到，Dism.exe 这个恶意进程的父进程是svchost.exe，再上一层是 services.exe、smss.exe，这是典型的服务管理器开机后启动服务的过程。

通过上述的进程链启动关系，再加上木马的dll文件名为“DISMService”，所以，大意的我就认为这个木马是通过注册一个服务来实现持久化，于是就通过手动查找以及Autoruns等工具对系统服务一顿分析，但结果愣是没找到这个恶意的服务项。（当然，在排查启动项时，也对计划任务、注册表、启动目录等启动项都搂了一遍，也未曾发现异常）

此时的我懵了，咨询了两个师傅也都说这么分析没毛病，那他重启后是怎么起来的呢？难道是RootKit？

于是反过来再仔细看了看进程链，突然发现svchost.exe进程的命令行参数是“-k netsvcs -p -s Schedule”，Schedule，靠～这不是计划任务的服务组件么，所以说那这里svchost启动的并不是恶意的DISM服务，而是系统的计划任务服务，然后是计划任务拉起了恶意程序......

那问题又来了，为啥前面通过Autoruns和计划任务管理器taskschd.msc就没发现这个恶意的计划任务呢？？？难道是计划任务隐藏？？？

于是又去逐条翻计划任务、查计划任务文件，结果...果...不其然，在计划任务存储目录“C:WindowsSystem32Tasks”下发现了名为“DISMService”的计划任务配置文件，这个配置文件竟然没有被Autoruns和taskschd.msc发现...小伙子有点东西呃～

NO.3

拨开云雾见天明

由于阅历有限，还是上网查了一下关于计划任务的隐藏技术，偶然发现一篇详细的计划任务原理及隐藏姿势分析文章，文后另附链接。

学习得知，每一项计划任务都有对应的注册表项，其中有一个安全描述符SD的键值如果被删除后，就可以实现计划任务的完全隐藏，6哇！！！

HKLMSoftwareMicrosoftWindows

NTCurrentVersionScheduleTaskCacheTree{TaskName}SD

回头再看下这个中文版Telgram的木马的计划任务注册表：

NO.4

一通下来，总得出个处置方案吧

1. 卸载盗版的Telegram软件；

2. 删除恶意文件目录“C:ProgramDataDISMService”；

3. 删除恶意计划任务配置文件“C:WindowsSystem32TasksDISMService”；

4. 以System权限启动cmd，再启动注册表，删除恶意计划任务项“HKLMSoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeDISMService”。

NO.5

最后，网络世界并没有那么美好

软件商业化繁荣的今天，大家对“好软件”的需求也会更迫切。有需求就会有市场，形形色色的软件下载园、捆绑软件、伪造官网和盗版软件络绎不绝。

以本文分析的中文版Telgram为例，我抱着做实验的心态，随手谷歌了一下“Telegram官网”，映入眼帘的第一条搜索结果就是舒服的中文结果，页面简洁让你感觉友好且又人畜无害。

当我们下载他去沙箱分析后，结果也不出我所料，事实上Telgram官方本身也未曾提供中文版本的安装包，那些披着中文马甲的Telgram十有八九也都不正经。

最后，我由衷的建议在网络世界冲浪的朋友们，擦亮眼睛，慎重下载和使用非官网的盗版软件，绿色上网，如有拿不准的文件，可以尽情使用微步的免费文件分析沙箱：https://s.threatbook.com

那些常年游走于圈子的捉鹰人朋友们，“好兄弟们”分享给你的琳琅满目的好工具、好软件、Exp、PoC亦或者是好大瓜，都要慎重慎重再慎重，多长个心眼，莫要被鹰啄了眼～

参考链接：https://mp.weixin.qq.com/s/ktGug1VbSpmzh9CEGKbbdw

- END -

微步应急响应团队为企业客户提供应急响

原文始发于微信公众号（微步在线应急响应团队）：安服仔分析日记——记一次Telegram木马处置