警惕“伪装者”木马攻击，会将远控木马和挖矿木马装在电脑上

一、概述

腾讯安全御见威胁情报中心近期捕获到一批伪装成各类正常“软件程序”进行攻击的病毒，看起来可能下载了个工具软件，运行后，“伪装者”木马内置的恶意脚本就会从病毒控制者的服务器下载远程控制木马和门罗币挖矿木马运行。腾讯安全专家建议用户注意防范，使用腾讯电脑管家保护系统，运行软件安装包前，先检查安装包的大小和数字签名。

被病毒假冒的软件程序包括游戏软件、文档阅读软件、视频播放软件、浏览器等。病毒执行后释放VBS脚本，连接服务器下载另一段脚本代码执行，并通过脚本下载安装DarkComet木马对电脑进行远程控制，同时植入门罗币挖矿木马。通过关联分析还发现木马下载服务器传播的另一个样本，该样本会利用浏览器登录密码搜集工具WebBrowserPassView搜集用户密码，保存到文件并上传至服务器。

此次攻击的特点为：在投放木马时伪装成各类软件的安装包，在最终植入的木马运行时又伪装正常软件的进程名，用来下载恶意脚本代码及病毒木马的服务器是攻击者入侵后控制的某些色情和酒店网站服务器，“伪装者“木马还会使用短链接地址、服务器校验等方法来躲避分析人员的追踪。

在整个攻击过程中使用大量网民熟悉的软件名称来命名木马文件，通过攻击其他网站来下载自己的恶意程序，十分善于隐藏和伪装自身，因此我们将其命名为“伪装者”木马。

“伪装者”木马攻击流程

二、详细分析

以其中一个伪装成知名PDF阅读软件的木马进行分析：

从官网下载的正常的Foxit Reader安装程序的属性，其版本已经更新到9.5.0.20723，拥有合法的数字签名，并且文件大小为75.8M

而查看木马伪装成Foxit Reader的病毒程序属性，显示文件版本为2.3.2008.2923,没有数字签名，并且文件大小也只有200K，从信息来看非常可疑

分析发现木马使用7-Zip SFX生成了可执行程序，生成时通过压缩算法进行压缩，木马的体积会大大减小

运行后释放子木马到目录%AppData%\7ZipSfx.000\dgfvg6t346teg.exe，将母体中包含的PE数据写入文件中, 然后拉起木马执行

dgfvg6t346teg.exe先判断是否已经存在指定的VBS脚本文件，若存在则将原来的文件删除，然后创建文件%AppData%\TouchpadDriver\TouchPad.vbs（文件名伪装成触摸板驱动程序），并写入经过混淆的VBS脚本代码

混淆只是将字符替换成了字符码，将执行命令“Execute”转换为显示命令“WSH.echo”即可看到原来的代码

脚本代码拼接完整URL（hxxps://x.co//touchpad），并从该URL下载另一段VBS脚本代码执行

hxxp://x.co//touchpad是一个短链接地址，请求时同过重定向跳转到hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3，然后从该地址下载恶意代码

打开该网站pornxxxx.com是一个色情网站，黑客攻陷了该网站并利用其服务器来下载木马

分析时发现hxxps://pornxxxx.com/wp-content/uploads/2018/04/?ver=5.3在通过浏览器或其他下载软件访问时会返回404错误，无法下载到恶意代码；而在病毒释放的VBS脚本却可以下载到恶意代码。推测是木马服务器对Get请求数据包的参数做了校验，从而保证只在木马运行环境中返回代码执行

返回的代码主要完成以下功能：

1、 结束可疑的挖矿进程

2、 下载DarkKomet后门木马植入

3、 下载门罗币挖矿木马启动挖矿

三、RAT木马

脚本下载木马的地址：hxxp://www.thedecxxxxx.com/filegator/repository/tsl.png

下载后保存为到%temp%目录，然后命名为ChromeInstaller-xxxxxxx.exe，伪装为Chrome浏览器安装包程序启动。通过进一步分析可发现，该木马为DarkComet远控木马，具有远程操作，敏感信息搜集等大量远控功能。

访问下载地址www.thedeckxxxxx.com为越南某酒店的网站，推测该网站已被黑客攻陷。

木马下载运行后拷贝自身到目录：C:\Users\[guid]\Documents\MSDCSC\ChromeUpdater.exe，继续伪装成Chrome升级程序执行

添加到注册表Run启动项，达到随机启动

调试分析该远控木马程序，可以看到，样本运行后会读取资源区中的”DCDATA”资源，然后进行解密，解密后得到配置信息如下：

#BEGIN DARKCOMET DATA --

MUTEX={DC_MUTEX-NAFAPZM}

SID={pro-serv}

FWB={0}

NETDATA={10.119.193.17:2223|185.82.217.154:2223|185.82.217.154:4271}

GENCODE={w7qqzeFtkGwa}

INSTALL={1}

COMBOPATH={7}

EDTPATH={MSDCSC\ChromeUpdater.exe}

KEYNAME={Chrome Updater}

EDTDATE={16/04/2017}

PERSINST={1}

MELT={1}

CHANGEDATE={1}

DIRATTRIB={6}

FILEATTRIB={6}

SH1={1}

SH4={1}

SH7={1}

SH8={1}

SH9={1}

CHIDEF={1}

CHIDED={1}

PERS={1}

OFFLINEK={1}

#EOF DARKCOMET DATA --

通过解密出的信息可以知道，攻击者使用的控制服务器地址为：

10.119.193.17:2223、185.82.217.154:2223、185.82.217.154:4271

根据木马特点可以确定为DarkComet，是由一个来自法国的独立程序员（Jean-Pierre Lesueur）开发的远程访问木马（RAT），该木马自2014年起被发现由APT组织用于针对叙利亚地区的相关攻击活动中。当作者发现该程序被用于间谍活动后，便停止了继续开发。

该木马具有信息搜集、网络控制、电源操作、服务操作、下载执行文件等大量远控功能：

下面是该后门程序执行相关功能的代码片段：

四、挖矿木马

脚本在植入DarkComet木马后，继续执行判断系统版本为32位或64位，从而下载相应版本的挖矿木马

hxxp://89.161.175.214//diana/images/t6.ico

hxxp://89.161.175.214//diana/images/t3.ico

将挖矿木马保存为%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe（伪装远程控制软件TeamViewer），随后拼接字符得到连接矿池所需的用户名 “vazgen8882”，将其作为登录参数启动挖矿程序

拼接字符：

挖矿进程启动参数：

%Appdata%\Microsoft\TeamViewer\TeamViewer_Service.exe -o asia.cryptonight-hub.miningpoolhub.com:20580 -u vazgen8882.2 -p x --donate-level=1 --safe -B

五、关联分析

通过关联分析发现下载DarkComet木马的服务器目录下存在另一文件

hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg

内容为经过混淆的VBS代码，混淆方法与前文中用于下载的脚本一致，解码后发现脚本功能同样为下载和执行木马，并且会将木马搜集到的信息上传到服务器

混淆的VBS脚本

解码后的脚本：

该VBS脚本下载的木马

(hxxp://www.thedeckxxxxxx.com/filegator/repository/httpccr.com

)实际上为搜集和保存在浏览器中的各类网站登录用户名和密码的工具WebBrowserPassView，黑客利用该工具其进行攻击时以隐藏窗口的状态运行（伪装正常进程名chrime-sync.exe），然后将搜集到的登录密码保存为text文件，并发送至服务器

hxxp:// 111.68.119.123/~prolabm/tempfiles/l/f/l.php

该工具正常运行时界面如下：

搜集登录密码相关代码如下：

将搜集的密码数据保存为%Temp%favicon.ico，将其上传至服务器

六、安全建议

1、不要运行来历不明的程序。

2、在软件下载站下载任何软件需要十分警惕，注意查看软件包的大小和数字签名，如果发现要下载的软件只在几十KB到几MB，又没有数字签名，建议删除，推荐通过电脑管家的软件管理下载安装常用软件。

3、保持杀毒软件实时开启，拦截可能的病毒攻击。

IOCs

MD5

d08c4f6ef706216e7af4bee0b759d764

e609db4a8f2c64de9236f57a87bd049b

b55c4f882232c5451b1e977a7992d4ce

adc5a5db5a0e8064e1010ca76bbcabc5

779a0372b0df79e8eb4565e9af95f665

d409d54ff0da983effe23b21dd708aa6

5efc097ac23fd32c374b74e1c130c42d

7e0f9f1c138fc9dcc6b28091a2e042fb

24952c4208e049ccc05b17a509606442

6b0a6518f592044021ffc7cf1fec8c0d

444ec695f32858c3c8902185026d648f

IP

45.40.140.1

111.68.119.123

C&C

10.119.193.17:2223

185.82.217.154:2223

185.82.217.154:4271

URL

hxxp://x.co//touchpad

hxxps://pornxxxxx.com/wp-content/uploads/2018/04/?ver=5.3

hxxp://www.thedecksaigon.com/filegator/repository/tsl.png

hxxp://89.161.175.214//diana/images/t6.ico

hxxp://89.161.175.214//diana/images/t3.ico

hxxp://www.thedecksaigon.com/filegator/repository/httpccr.com

hxxp://www.thedecksaigon.com/filegator/repository/chor.jpeg

hxxp://111.68.119.123/~prolabm/tempfiles/l/f/l.php