请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
上班一族注意了!何谓人在公司坐,锅从天上来?近日,360安全大脑监测发现一款伪装成办公软件的木马程序,该木马不仅伪装成“单据打印系统”这类常用办公软件,竟然还拥有合法有效的软件数字签名,企图冒充“良民身份”入侵电脑,并躲避安全软件的查杀。



一旦成功蒙混过关,该木马便会在电脑中潜伏工作,包括键盘记录,屏幕控制,语音监听,文件管理等等功能,不管是办公电脑还是家庭电脑,都危害无穷!不过广大用户无需担心,目前360安全大脑已经国内首家支持对该木马的查杀。



360社区

360社区






冒充“良民”躲避查杀


两幅面孔伺机切换




说起这款木马的狡诈之处,除了“冒充良民”,还有一点就是“伺机作恶”。这款“单据打印系统”软件不会一上来就执行恶意程序,而是首先检测你的电脑云控地址是否开启,如果没有开启那么软件将会运行无害的流程,一副“绿色软件”正常工作的样子。



但是,一旦发现你电脑云端开启工作指示,那么该软件就会运行潜伏工作,从云端下发和释放恶意文件,对用户电脑进行安装布置,直至完全控制用户电脑,例如消息弹窗,键盘记录,屏幕控制,语音监听、视频查看等等功能。






360社区

360社区



此地无银三百两


“戏精”作者妄图混过审查




一般来说,一款拥有数字签名的“正规软件”会被计算机所信任,而那些恶意程序则由于360安全大脑的实时监测和持续查杀,存活率非常低。正因如此,该木马作者铤而走险,妄想通过伪装成正规公司来提交软件,企图蒙混过关。在软件审核过程中,该作者还多次通过电话和邮箱催促,一再强调自己是正常软件,实在是“此地无银三百两”。



360社区

360社区




木马作者邮件催促,妄图混过审查




360安全专家对恶意软件进一步溯源分析,发现该软件公司的营业执照,确认此公司确实存在。




360社区

360社区



签名公司的营业执照




除了“正规”的营业执照,木马作者还特定为该公司申请了合法有效的数字签名《南充市庆达商贸有限公司》。




360社区

360社区





进一步挖掘后发现,该系列远控木马与曾经多次出现的Torchwood木马是同一家族,早在2017年的一篇报告中我们就披露了Torchwood木马作者的部分信息(“hxxps://www.anquanke.com/post/id/87775”),与这次木马作者企图混白时提供的信息比较发现,拥有相同的手机号码和qq号,因此认为是同一人或团伙所为。该木马作者在上次被曝光后并未收手,持续对木马进行更新,对抗安全软件的查杀。(下图中为我们追踪到的不同版本的Torchwood木马控制端)。




360社区

360社区



木马控制端




工作流程




该木马作者主动提交的“单据打印系统”除了正常的功能代码之外,还包含了一些加密信息,解密后会得到木马云控地址。根据后续代码流程可以知道从云端下发的文件是一个DLL模块,该模块将在内存中被加载,并执行名为“MainThread”的导出函数。运行了该DLL功能后,会继续释放其他恶意文件,对用户电脑进行安装布置,直至完全控制用户电脑。

360社区

360社区



木马工作流程




详细分析




运行木马作者提交的“单据打印系统”软件程序,该程序首先会检测云控地址是否开启工作流程,如果没有开启那么软件将会运行无害的流程,显示正常的程序功能。但是如果云端开启工作指示,那么该软件就会运行潜伏工作,常驻在用户电脑中造成危害。



360社区

360社区



云控未开启的运行状态




木马程序检测到云端开启工作流程后下载DLL模块并在内存加载执行的代码如下。



360社区

360社区



云控开启后的木马流程




由于木马作者提交的软件版本中云控地址(hxxp://www.ohmytatoo.com/Tatoo.html)暂未开放,所以并未开始投入使用。不过通过360安全大脑感知,我们却发现了相同C&C域名的木马在野传播案例。如下图所示,在野木马程序功能与上述提交的软件版本基本一致,都是通过云控地址下载恶意文件,但与之前版本不同的是,在野木马中还多了一个加密的恶意程序,在调用“MainThread”导出函数时,会直接加载运行该恶意程序。



360社区

360社区



在野木马程序




对比在野木马和提交审核版本的云控流程,发现C&C地址可以相互替换,运行流程是一致的,两个程序调用恶意DLL的代码部分基本相同。




360社区

360社区


左边:企图认证的程序     右边: 恶意程序




从在野木马云控地址(hxxp://www.ohmytatoo.com/dll.jpg)下载的文件,主要功能是在C盘根目录下创建一个Microsoftxxxxx的目录(目录后5位是随机字符),并将加密恶意模块写入到该目录下的文件“bugrpt.log”,同时再释放一些辅助模块,文档结构如下图所示。




360社区

360社区


木马释放的文件


其中“schedule.exe”是被木马利用的”窗口隐藏工具”,可以通过更改同目录下的配置文件让该程序来完成添加自启动项的任务。




360社区

360社区


白利用设置自启动




接着木马程序会通过命令行调用”temp.exe”(实为WinRAR解压程序)对 “temp.txt”文件进行解压,解压密码为”123”。此步骤释放出来的两个重要文件是一组典型的白利用,用于躲避安全软件的查杀,其中白文件是腾讯的漏洞扫描程序,被重命名为“schedule.exe”用以替换刚刚添加自启动项的”窗口隐藏工具”,而黑文件则命名成“qmipc.dll”以便在系统自启白文件“schedule.exe”时自动被加载。



360社区

360社区



进程链




“qmipc.dll”模块的主要任务是对加密恶意模块bugrpt.log进行解密和内存加载,并启动名为“Torchwood”的导出函数。解密的恶意模块即为Torchwood远控的核心程序。



360社区

360社区



PELoader模块




进一步对该后门程序进行分析,得到木马远控的上线地址为120.24.231.105:7363。



360社区

360社区



木马上线地址




至此,该木马程序就完成了其安装工作的任务,可以长期潜伏在受害用户的电脑中,并实时处于木马作者的监控之中。下图是木马作者云端使用的后门管理软件。



360社区

360社区



木马控制端




安全建议




360安全大脑通过多种技术手段防御和发现最新木马病毒,并国内首家实现对该类木马的查杀,对于办公及家庭电脑,360安全大脑建议:

1、建议广大用户前往weishi.360.cn,及时下载安装360安全卫士,保护个人信息及财产安全;

2、使用360软件管家下载软件。360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全;

3、避免下载、接收和运行不明来源的文件,以防中招。

360社区

360社区



来源  360安全卫士

共 0 个关于日常“打印软件”竟然暗藏远控木马,白领小心中招!的回复 最后回复于 2019-3-27 20:11

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:181 关注:13 积分:237241

精华:307 金币:228621 经验:198173

最后登录时间:2024-3-29

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表