一次Todesk安装包后门事件分析

0x01事件发现

在日常搬砖的过程中，发现一位员工的终端由于mmc.exe启动了cmd.exe执行了一段混淆的指令，从而触发了告警。命令行使用了字符串替换来混淆指令，很像灰黑产常用的手段。

根据终端日志定位到了行为来源是非官方的todesk安装包。

0x02日志分析

运行这个todesk安装包，通过抓取样本运行时的日志，发现todesk安装包执行后，会在临时目录下释放并启动irsetup.exe

irsetup.exe创建Your Product安装目录，在里面释放并启动IEManager相关的文件；之后irsetup.exe还释放并启动了一个官方的todesk安装包（经MD5和签名校验，为官方安装包），来进行正常的todesk安装。

IEManager.exe执行起来之后，从118.107.14.42:4388拉取了一个NumenLibrary.dll放到C:UsersPublicDocumentsNumenLibrary.dll：

IEManager.exe还释放了NumenClean主程序Powermonster.exe和一些后续持久化所需的文件。随后原始安装包和irsetup.exe退出。

从终端安全设备的日志中还可以看到，后面IEManager.exe会启动wscript.exe来执行Server.vbe，虽然vbe文件被混淆了，但通过终端日志+后续对其他文件的分析来看，是为了通过DCOM的方式让mmc.exe调用cmd执行unzip.exe，来解压出一个指向Powermonster.exe的快捷方式文件释放到自启动目录实现持久化。这样做应该是为了BypassUAC。

由于企业终端安全设备日志涉及敏感信息，懂得都懂，这里就不放图了

在后续的日志中也可以看到被执行的、部分解混淆的告警中的命令，如下，其实就是实现了解压unzip.dat：

cmd/c C:UsersPublicDocumentsunzip.exe -o -P Startup8888 C:UsersPublicDocumentsunzip.dat-d"C:Users不能透露AppDataRoaming"

随后就看到unzip.exe释放了一个快捷方式在自启动目录，还有一个server.dll。可以推断lnk文件就是上一步被解压出的文件。

然后Powermonster.exe被IEManager.exe启动，过了一会也退出了。未出现其他的可疑行为。

至此，根据日志分析情况，我们需要知道被写入自启动目录下的lnk文件的指向，以及释放的这些文件是否恶意。

0x03样本分析

在之前的日志分析中，我们已经清楚后门安装包运行后，会先释放启动irsetup.exe来释放启动IEManager.exe和启动它所需的其他文件，然后由IEManager.exe在C:UsersPublicDocuments目录释放启动Powermonster.exe及相关的其他文件。

前两个程序运行完毕之后都会退出，所以只需要分析C:UsersPublicDocuments下的文件以及释放在自启动目录中的文件即可。如下是在虚拟机执行样本后，获取到的C:UsersPublicDocuments文件目录。

首先查看unzip.lnk的指向，发现其中的内容与在告警中看到的一致，说明告警的命令行就是因为执行了该lnk触发的。

对快捷方式的命令进行替换字符串解混淆，发现server.dll无实际意义，该指令主要是为了调用unzip.exe解压unzip.dat，实际关键的命令为cmd /c C:UsersPublicDocumentsunzip.exe -o -P Startup8888 C:UsersPublicDocumentsunzip.dat -d "C:Users50443AppDataRoaming"，与在日志中看到的一致。

手动执行下该指令，发现效果是在自启动目录下释放一个lnk文件，该文件指向C:UsersPublicDocuments下的Powermonster.exe，与日志分析的结果一致。

server.vbe虽然被混淆，但根据上面的日志分析，结合unzip.lnk的内容，能推断出vbe的能力是通过DCOM的方式来调用mmc.exe执行lnk文件，为了提权或规避检测。由于lnk中启动了cmd，所以在终端安全设备日志中看到的是mmc.exe启动了cmd.exe。

综合上面的分析，样本所有的操作都是为了启动Powermonster.exe并实现自启动持久化，相关目录下面的所有文件功能分析总结如下：

Powermonster.exe是执行和持久化的最终目标；

NumenLibrary.dll是整个流程正常执行需要加载的dll；

unzip.exe是用来解压dat文件的；

Server.dat可被解压为下面这些文件（实际上已经被IEManager直接释放了）；

unzip.dat可被解压为指向C:UsersPublicDocumentsPowermonster.exe的快捷方式；

Server.vbe被wscript调用，用于通过DCOM的方式启动unzip.lnk；

unzip.lnk指向一段被混淆的指令，指令内容为cmd启动unzip.exe解压unzip.dat，将解压出的文件放到自启动目录下；

还有图中没有的Server.dl，根据解混淆的指令可知没有实际意义，里面只写入了一串Server字符串。

Powermonster.exe经过沙箱和云查鉴定，是安全的。看它的以及属性信息，确认为是NumenClean垃圾清理工具的主程序。

 

于是当天我就把该事件定性为了高级的流氓软件捆绑推广事件，但是晚上睡觉的时候越想越觉得不对劲，如果只是一个流氓推广，为何要弄得如此复杂，事情肯定不会这么简单。由于该样本使用的捆绑传播、提权、持久化手法与灰黑产攻击极为相似，不像普通流氓软件的作风。

在前面的日志分析中，我们发现IEManager.exe执行起来之后，从118.107.14.42:4388拉取了一个NumenLibrary.dll放到C:UsersPublicDocumentsNumenLibrary.dll，如果只是为了捆绑安装一个正常的软件，为何还需要远程拉取一个要加载的dll，而不是直接释放（之前以为NumenLibrary.dll是软件运行起来所需的一个正常dll，就没有深入分析）。

第二天，我将NumenLibrary.dll放入沙箱中分析，发现有远程请求150.242.98.207拉取PE文件执行的行为，以及通过后续的威胁情报关联分析，也确认了是Farfli家族木马。

Powermonster.exe确实会加载NumenLibrary.dll：

随后外联了150.242.98.207：

查看外联动作的堆栈调用，发现确实是在NumenLibrary.dll中调用了外联函数。

由此确认这一阶段是通过白进程加载黑DLL的方式来执行。

如果将NumenLibrary.dll删掉，启动主程序，会报错缺少dll，随后正常启动软件：

 

由于目前远程拉取PE的连接已经无法访问，http://150.242.98.207/pserver.exe已经获取不到，无法进一步分析。

0x04威胁情报分析

150.242.98.207查询威胁情报，发现虽然情报是未知，但是有许多关联的样本：

点进去其中几个样本，发现这些木马具有相同与本次事件样本的行为，远程下载http://150.242.98.207/pserver.exe并执行，与本次事件关联密切，是同一组织所为：

至此可以得知，本次事件是一次Todesk安装包捆绑Farfli木马后门的软件投毒事件，由于最后阶段的木马远程链接失效，所以才没有在日志中看到Powermonster.exe的可疑行为。

根据威胁情报的时间来看，样本的出现时间集中在4月，应该是一种比较新的Farfli变种。

0x05攻击流程

根据上面的分析，后门安装包在第一阶段释放启动的irsetup.exe是为了释放启动正常的todesk安装包和IEManager.exe。

IEManager.exe用于安装启动Powermonster.exe，并远程拉取NumenLibrary.dll放在安装目录下供Powermonster.exe加载，并实现Powermonster.exe的持久化。

Powermonster.exe启动，加载NumenLibrary.dll后，执行NumenLibrary.dll中的恶意代码，远程下载执行木马程序。

整体攻击流程如下（真的好复杂T _ T）：

0x06溯源分析

通过员工终端的DNS解析日志，找到终端运行todesk安装包之前的DNS解析记录，发现了一个todesk相关的域名：todesk.sdfblk.cn。

进入网站之后，发现并不是官网，是伪造的，点击下载，会跳转到一个下载界面，下载之后校验一下MD5，发现确实是中招员工下载的。但是目前该下载链接已经是404了

目前威胁情报对仿冒todesk官网的域名仍是未知状态，这个域名也是最近注册的:

0x07 IOCs

Todesk_setup.exe

4bfb4f472472d92f8ac458bef01e9d6c

numenlibrary.dll

1faada15997e3ed3de052b1d81064298

Powermonster.exe

72c495e9ee7b5bbae6230eae7592f246

todesk.sdfblk.cn

http://222.186.174.76:4561/1/Todesk_setup.exe

http://118.107.14.42:4388/NumenLibrary.dll

http://150.242.98.207/pserver.exe

PS：大家从网上下载软件工具的时候，一定要去官网，并仔细核对域名哦~

原文始发于微信公众号（红蓝攻防研究实验室）：一次Todesk安装包后门事件分析