序言上周发生了两例公民重要信息大规模外泄的事件,导致我们对自身个人隐私重要信息外泄问题的参与度再度上升日常生活操作过程中,最间接涉及到个人重要信息且和我们密切相关的数据非外卖重要信息莫属了,而这些重要信息也成了犯罪分子瞄上的目标一年前我们发布了《商业远程控制软件欺骗加装的米那迪尔反击叙尔热雷县 》该文NSA了一种引诱顾客加装远控盗取重要信息进而获利的反击形式。
上周,奇东方证券安全软件研发人力资源部在展开日常威胁狩猎的操作过程中,再度辨认出两个使用这种形式展开反击的米那迪尔犯罪团伙:
果然高端的渗透,往往采用最朴实的形式——间接应征进去加装远控不过看到那个每天收入,搞得小贴士都想辞职去干那个了,然而OA提离任申请之前小贴士决定还是先多读两遍《刑法》冷静一下……简单追根溯源历经和“猫”的亲切交流,最终拿到了这份可以让我们MD224CH的样品:XXX打印驱动.exe。
查看样品详细重要信息辨认出是两个这三类(无厂商重要信息、无Lite、无版本重要信息)的加装包,执行后加装介面如图:
其加装操作过程不间断“不知道”加装的是什么东西,仅在中间某一步棋有位“更多快捷键”有一点破绽,只有勾选上在左下角表明工具栏,该远控才有可能被顾客辨认出,否则整座操作过程中不间断前台运转不会有任何人提示信息:
按照大部分人的习惯,一路“下一步棋”之后, 程序加装完毕并退出这时图形介面无任何人新产生工具栏、图标也无任何人新增的程序入口、左下角工具栏无任何人提示信息,但这时整座远控已经在前台运转(也就是俗称的“牛羊肉”上线)本来,小贴士以为那个加装包打着打印驱动的名头,会傻子的加装两个打印驱动,但没想到此犯罪团伙不讲wood,竟然加装了两个纯洁版远控。
历经安全软件团队的分析,其加装的远控XI以及其他组件组件均有“Zhenjiang Super Network Control Network Technology Co., Ltd.”的正常亲笔签名,此亲笔签名关联出“镇江超级网控控股集团有限公司”,该公司其官方网站表明为专门做远程控制软件:
进一步棋分析,辨认出“超级网控”和一款叫做“第三只眼”的远程控制软件高度相似,且超级网控的官方网站文档也出现了“第三只眼”的字样:
历经GW2查关联两家公司,辨认出超级网控(镇江超级网控控股集团有限公司)与第三只眼(扬州第三只眼软件科技有限公司)均为两个老板:
这也解释了为什么超级网控使用了第三只眼的组件。免杀除了其超高日收益,引起小贴士兴趣的其实还有一点就是,他们声称“百分百过杀软”是如何做到的。我们分别将该犯罪团伙散布的加装包与其远控XI上传到检测网站:
辨认出并没有虚假宣传 -_-!,其免杀程度可以用完美形容,通过逆向其远控主组件,辨认出此款远控本身大量使用了QT的库:
其各个功能的核心函数有很多是通过QT库去完成的,再额外加上此软件的确是合法公司的“正常”产品,因此被各家查杀的可能性大大降低但这些特性最终被米那迪尔犯罪团伙瞄上了上线机制分析用sysmon监控整座系统加装远控后的行为,会辨认出其主控端会带参数执行:。
然后会和j7.dszysoft.com:6128通信,这些重要信息都是记录在comnctt.xd[tb]文件中,远控启动的操作过程中会多次导出这几个文件以获取上线地址:
小贴士自己在网上找了一款第三只眼的被控端与控制端测试,首先我们来看一下控制端的登录介面:
注意这里的用户名,是一串数字。历经进一步棋分析,辨认出第三只眼的上线是通过隧道的形式,首先全部发送到第三只眼提供的第三方服务器:
那么,既然是公共服务器,控制端是如何做到不让A用户看到B用户下的被控制端的呢?通过进一步棋分析辨认出其依据就是上文中登录控制端时使用的“用户名”,那个用户名本质上是两个id,那个id和被控端目录下的comnctt.xdt文件中存放的qyid一致。
通过对二进制程序的分析,从qyid在整座数据交互操作过程中的的报文或提示信息来看的确是承担着标识被控端的作用:
所以,根据此分析结论,我们可以得出,此犯罪团伙使用的id为:219249。
那个id和我们在wireshark中抓到的上线包相吻合:
插曲在样品分析期间,该犯罪团伙辨认出其散布的终端上线,竟然删除了我们分析环境图形介面的所有文件,然后将存放IDA的目录改名——留下了一句灵魂质问:
完美的免杀、简单的配置、傻瓜式的加装、无论任何人网络拓扑都可以上线的能力,小贴士似乎明白了为何该犯罪团伙会选用这款远控作为作案工具……处置措施如果各位确认自己没有授权使用第三只眼的相关远控软件,可以在流量设备上搜索:dszysoft.com,如果辨认出有xxx.dszysoft.com相关的记录(xxx为“随机”字符串的前缀),那么说明您的网络中可能被植入了相关远控。
如果想进一步棋定位其上线id,可以在流量中搜索http协议包含request_query_deploy_file关键词的条目,其qyid=xxxxx参数即为其上线id此远控目前可以被奇东方证券天擎、天守等产品查杀:。
来源:奇东方证券病毒响应中心
还木有评论哦,快来抢沙发吧~