查杀图

尽管此类攻击看似主要针对开发者，但其潜在影响却远不止于此，甚至可能波及每一位普通用户。以下将详细介绍此类攻击的运作方式及其可能带来的风险，希望广大用户在了解后能够进一步提升终端安全防护意识。

*攻击的起点——开发者

• 一个被篡改的开源库可能被集成到多个软件项目中。由于开源库的广泛使用和高度共享性，这种篡改行为很容易在软件开发过程中传播开来。

• 这些软件项目最终会发布到应用商店，或者通过更新机制推送到用户的设备上。在这个过程中，恶意代码可能会随着软件的分发而扩散到用户手中。

• 隐私泄露：恶意代码可能会窃取个人信息，如账号密码、浏览器Cookies等。

• 远程控制：攻击者可能通过远程访问工具控制设备，甚至监控使用者的一举一动。

• 经济损失：窃取的信息可能被用于欺诈或勒索，导致使用者遭受财产损失。

• 数据勒索：恶意代码可能导致设备运行缓慢、频繁崩溃，以及加密数据以勒索设备拥有者。

执行流程图

2.1 样本信息

2.2 Loader动静态分析

测试执行calc

配置文件

恶意命令

Base64加密

解密

解密VBS脚本

1. 多层递归调用与Base64解码：脚本通过多层递归调用和Base64解码技术，逐步解析出隐藏的下载地址，确保其隐蔽性。

2. 下载7z解压工具：脚本从指定地址下载7z解压工具，并将其保存到C:ProgramDatasevenZip目录中。

3. 执行SearchFilter.exe：在下载并解压相关文件后，脚本会执行SearchFilter.exe，以加载后续的恶意功能。

4. 清理痕迹：脚本会在执行完成后删除下载的压缩包文件。 

下载7z

下载执行恶意程序

• 下载链接：

  https://github.com/Fxkw45/delhi-metro/releases/download/metro/SearchFilter.7z

  该链接指向托管在GitHub上的恶意压缩包SearchFilter.7z。

• 解压密码：

  hR3^&b2%A9!gK*6LqP7t$NpW

  该密码用于解压下载的SearchFilter.7z文件，以释放其中的恶意内容。

解密链接与解压密码

GitHub链接

Electron程序

1. AST（抽象语法树）分析：

   通过构建JavaScript代码的抽象语法树（AST），对代码结构进行解析和重构，以识别混淆逻辑并还原原始代码。

2. 定位最长数组：

   在混淆代码中，通常会将字符串、函数名等关键信息存储在数组中，并通过索引调用。通过分析代码中最长的数组，可以定位到关键的解密逻辑。

3. 引用追踪与解密器定位：

   通过追踪最长数组的引用关系，找到解密器的核心逻辑。解密器通常用于动态还原被混淆的字符串或函数，从而恢复代码的可读性。

4. 逐步解混淆：

   在定位解密器后，逐步还原被混淆的代码逻辑，包括字符串解密、函数调用还原以及控制流扁平化的修复，最终恢复出可读的JavaScript代码。

去除JavaScript混淆

去混淆代码

检测虚拟机

反调试

1. 调试工具：

   watcher.exe
   ProcessHacker.exe
   SystemInformer.exe
   procexp.exe（Process Explorer）

2. 网络分析工具：

   HttpAnalyzerStdV7.exe
   mitmdump.exe
   mitmproxy.exe
   mitmweb.exe
   Charles.exe
   Fiddler.exe
   Fiddler Everywhere.exe
   Fiddler.WebUi.exe
   HTTPDebuggerUI.exe
   HTTPDebuggerSvc.exe
   HTTPDebuggerPro.exe
   Progress Telerik Fiddler Web Debugger.exe
   HTTP Debugger Pro.exe
   Wireshark.exe

3. API 测试工具：

   Postman.exe
   Insomnia.exe
   HTTP Toolkit.exe

4. 安全工具：

   BurpSuiteCommunity.exe（Burp Suite Community Edition）

5. 文件监控工具：

   FolderChangesView.exe

结束进程

1. 修改Windows Defender排除项：将整个C盘添加到Windows Defender的排除列表中，使Defender无法扫描和检测C盘中的恶意文件。

2. 禁用系统还原功能：关闭系统还原功能，阻止用户通过系统还原点恢复系统。

3. 删除卷影副本：清除所有卷影副本（Shadow Copy），彻底删除系统备份，使用户无法通过备份恢复数据。

添加Defender排除项

• GitHub下载链接：

  https://github.com/nguyendeptrai2004/ARFramework/releases/download/Muck/BitDefender.7z

• 解压密码：

  SaToshi780189.!

下载恶意文件主体

GitHub链接

解压文件

隐藏文件夹

添加计划任务

2.3 lumma stealer

解压出来的NVIDIA Control Panel.exe负责执行lumma stealer功能，该样本同样是一个Electron程序。对其进行分析，其采用API窃取以下信息。

• Cookie

  Reddit
  instagram
  tiktok
  spotify
  Netflix
  GitHub
  Roblox
  Email
  ChatGPT
  Valorant 无畏契约
  SQLite数据库

• 获取OpenVPN信息

• 获取Electronic Arts配置信息

• 获取聊天软件信息

  Discord
  Telegram

• 获取游戏信息

  EpicGamesLauncher
  RiotGames
  Steam

窃取Cookie

2.4 后门分析

1. 进程注入：

   该样本通过进程注入技术实现其恶意功能，具体利用以下合法程序作为注入目标。
   RegAsm.exe：.NET程序集注册工具，被用于加载恶意代码。
   DWWIN.exe：Windows错误报告工具，被用于隐藏恶意行为。

2. 多次注入：

   样本通过多次注入的方式，将恶意代码加载到不同的进程中，以规避检测并实现持久化。

3. C2功能：

   注入成功后，样本与远程C2服务器建立通信，接收攻击者指令，执行包括远程控制、数据窃取、文件操作等恶意行为。

AES加盐解密

解密算法

解密脚本

• boot和Kernel：这两个模块是AsyncRAT的后门，AsyncRAT是一种开源的远程访问工具（RAT），通过安全加密连接实现远程监控和控制。

• thread：该模块用于监听、替换和上传剪贴板信息。

• magnify：该模块是Quasar的后门，Quasar是一款使用C#编写的快速、轻量级的远程管理工具，开源。

• cryptwizard：该模块是Remcos的后门，Remcos是一种远程访问木马工具，未开源。

• boot_f和Kernel_f：这两个模块是AsyncRAT的shellcode版本，通过内存加载的方式执行恶意代码。

• thread_f：该模块是剪贴板盗窃程序的shellcode版本，同样通过内存加载的方式执行恶意代码。

后门模块对应表

后门模块文件

详细分析：

注入代码

内存解密出PE

注入进程

1. AsyncRAT

2. Quasar

3. 剪贴板匹配替换上传程序

4. Remcos

AsyncRAT对比

AsyncRAT版本

后门地址

功能图

主窗口

Quasar对比

Quasar功能图

匹配并替换剪贴板信息

钱包地址

Token: 6843479607:AAEGHeu36k4i1nGBZNGGNgLCPWatnPKKRnY

ChatID: -1002052131842

Telegram Bot Token

频道信息

Remcos信息

Remcos功能图

功能函数

C&C：