近期，火絨工程師發(fā)現(xiàn)針對(duì)國(guó)內(nèi)企業(yè)投放病毒的威脅事件，經(jīng)排查分析后，確認(rèn)為后門(mén)病毒，主要通過(guò)釣魚(yú)郵件進(jìn)行傳播，其會(huì)偽裝成 Word 文檔來(lái)誘導(dǎo)用戶(hù)打開(kāi)。

偽裝成W ord 文檔的病毒樣本

當(dāng)用戶(hù)被誘導(dǎo)點(diǎn)擊運(yùn)行病毒后，黑客可通過(guò) CC 服務(wù)器下發(fā)各類(lèi)指令來(lái)執(zhí)行各種惡意功能，如：惡意代碼注入、利用開(kāi)機(jī)自啟來(lái)進(jìn)行持久化操作、獲取系統(tǒng)進(jìn)程信息等惡意功能。不僅如此，該病毒還會(huì)使用多種手段（控制流混淆、字符串混淆、 API 混淆）來(lái)躲避殺毒軟件的查殺。

病毒的執(zhí)行流程，如下圖所示：

病毒執(zhí)行流程

對(duì)此，火絨安全提醒用戶(hù)不要輕易點(diǎn)擊來(lái)歷不明的郵件附件，火絨安全產(chǎn)品可對(duì)該病毒進(jìn)行攔截查殺。

展開(kāi)全文

查殺圖

一

樣本分析

0 1

混淆手段

該病毒啟動(dòng)后會(huì)率先執(zhí)行一段 shellcode ，相關(guān)代碼，如下圖所示：

執(zhí)行 shellcode

在 shellcode 中使用多種手段來(lái)對(duì)抗殺毒軟件的查殺，如：控制流混淆、字符串混淆、 API 混淆等?？刂屏骰煜缦滤荆?/p>

控制流混淆

字符串混淆，每個(gè)字符串使用時(shí)，動(dòng)態(tài)進(jìn)行解密，并且每個(gè)字符串都有單獨(dú)的解密函數(shù)，不同字符串解密函數(shù)對(duì)比，如下圖所示：

不同字符串解密函數(shù)對(duì)比

API混淆，在shellcode中會(huì)將用到的API地址加密并保存，使用時(shí)動(dòng)態(tài)解密出來(lái)，如下所示：

加密API地址

使用API之前會(huì)動(dòng)態(tài)進(jìn)行解密，利用位運(yùn)算特性，每次解密的方法不同，但是結(jié)果一致，如下圖所示：

不同解密方式

0 2

惡意行為

獲取本機(jī)的信息（用戶(hù)名、計(jì)算機(jī)名、系統(tǒng)版本等）并發(fā)送給CC服務(wù)器，如下圖所示：

發(fā)送上線(xiàn)包

黑客可通過(guò)CC服務(wù)器下發(fā)命令來(lái)執(zhí)行各種惡意功能如：執(zhí)行任意CMD命令、下發(fā)任意惡意模塊、進(jìn)程注入、獲取系統(tǒng)進(jìn)程信息、持久化等惡意功能，以下進(jìn)行分析。

啟動(dòng)進(jìn)程，該功能常被用于執(zhí)行CMD命令，可執(zhí)行CC服務(wù)器下發(fā)的任意的惡意命令，相關(guān)代碼，如下圖所示：

啟動(dòng)進(jìn)程

該樣本具備多種注入手段，一利用傀儡進(jìn)程將惡意模塊注入到其他進(jìn)程中執(zhí)行；二利用遠(yuǎn)程線(xiàn)程來(lái)在其他進(jìn)程中執(zhí)行惡意代碼，傀儡進(jìn)程注入，相關(guān)代碼，如下圖所示：

傀儡進(jìn)程注入

遠(yuǎn)程線(xiàn)程注入，相關(guān)代碼，如下圖所示：

遠(yuǎn)程線(xiàn)程注入

獲取系統(tǒng)進(jìn)程信息，相關(guān)代碼，如下圖所示：

獲取系統(tǒng)進(jìn)程信息

獲取指定目錄文件信息，相關(guān)代碼，如下圖所示：

遍歷目錄文件

可通過(guò)添加服務(wù)來(lái)進(jìn)行持久化，相關(guān)代碼，如下圖所示：

持久化