欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

真假文件夹?FakeFolder病毒再次扰乱企业内网

b9e08c31ae1faa592019-04-2311

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。
-------------------------------------

1. 配景概述

近期,深佩服平安团队接到客户反应,内网中涌现了大批捏造成文件夹的可疑exe文件,删掉今后仍会反复。经深佩服平安团队剖析发明,这是一个蠕虫病毒FakeFolder,该病毒会经由过程U盘及同享文件夹举行流传,一旦主机沾染了该病毒,文件体系中的文件夹都会被隐蔽,取而代之的是一个假装的病毒文件,当用户运转病毒文件时,也会弹出对应文件夹的窗口,因而不容易被发觉;只需体系中还残留着一个FakeFolder病毒文件,就会对主机举行反复沾染。

深佩服平安团队提取了该蠕虫病毒文件,并对其举行了细致的手艺。

2. 病毒道理

[1] 病毒首先会建立一个子历程并注入歹意代码举行中心操纵,从而避开杀软的查杀。

[2] 子历程会开释要给ghi.bat剧本举行主机、网络信息的网络。

[3] 举行完以上操纵后,病毒最先沾染文件夹,并配和autorun.inf完成反复沾染。

[4] 末了,病毒另有建立两个准时器,准时监控注册表完成耐久化进击,和准时接见windows服务器完成假装。

1555935801849280.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第1张

3. 病毒征象

被沾染主机,体系中的文件夹悉数变成了328KB的可实行文件:

1555935815516194.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第2张

病毒为一个文件夹图标的wmimgmt.exe历程:

1555935825903521.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第3张

4. 病毒母体剖析

病毒运用MFC编写,首先会举行一些初始化操纵,包孕:猎取system32途径、动态猎取体系函数地点、猎取体系装置的杀软信息,若是没有装置卡巴斯基则实行后续歹意行动:

1555935834753038.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第4张

若未检测到杀软历程,则病毒代码将进入到0x402DD0最先历程注入的操纵。

4.1 注入环节(0x402F70 -> 0x402DD0)

该环节,病毒会读取资本节中的歹意代码(一个PE文件),然后以挂起状况建立子历程,挪用WriteProcessMemory将歹意PE注入子历程并规复历程:

5. 注入歹意代码剖析(0x40B070)

我们将注入的歹意代码dump下来,剖析发明,该段歹意代码首先会推断顺序以后途径是不是为C:\ProgramData\Application Data或C:\Documents and Settings\All Users,若是不是,则将其拷贝到响应目录下命名为wmimgmt.exe并运转。反复上述操纵后,跳到0x40BE00实行中心歹意操纵:

1555935850216037.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第5张

对APT34泄漏对象的剖析——PoisonFrog和Glimpse

0x00 前言 最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。 0x01 简介 本文将要介绍以下内容: · 对PoisonFrog的分析 · 对Glimpse的分析 · 小结 0x02 对PoisonFrog的分析 对应泄露文件的名称为posi

5.1 网络信息环节(0x40B070 -> 0x40BE00)

歹意代码会建立3个线程,离别实行建立互斥量、遍历磁盘、开释病毒剧本的操纵:

1555935857464131.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第6张

剧本名为ghi.bat,重要操纵为猎取体系、网络和历程信息:

1555935872587147.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第7张

做完以上操纵后,会运用DialogBoxParamA建立一个模态对话框,用于监控实行歹意功用。

5.2 准时操纵环节(0x40B070 -> 0x40BE00 -> 0x40BF70)

挪用SetTimer设置2个准时器,离别为10秒和30秒,准时触发背面3个行动:

[1]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue置为0,不显现隐蔽文件及文件夹。

1555935885521795.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第8张

[2] 增加开机自启动项HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wmi32:

1555935893513381.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第9张

[3]查询域名“windowsupdate.microsoft.com”地点:

1555935900283076.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第10张

5.3 沾染磁盘环节(0x40B070 -> 0x40BE00 -> 0x40BF70 -> 0x40C460)

当初始化或许硬件装备发作转变时,回调的体式格局实行DialogFunc实行沾染流程,沾染工具为USB磁盘和网络磁盘:

1555935908439211.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第11张

经由一系列的推断,终究来到了沾染的中心环节,病毒会建立 C:\RECUCLER\wmimgmt.exe和AuToRUn.iNf完成反复沾染。wmimgmt.com为病毒的克隆体。AuToRUn.iNf的代码以下,功用为当用户翻开文件夹时,自动实行C:\RECYCLER\wmimgmt.exe反复沾染:

1555935916319736.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第12张

wmimgmt.exe病毒文件有特别属性,在一般情况下不会显现出来:

1555935929218757.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第13张

末了,就是实行我们开首见到的改动文件夹操纵,病毒先将原文件夹隐蔽,然后将病毒本身克隆成文件夹的模样,命名为“文件夹名+.exe”:

1555935937202477.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第14张

运转沾染的病毒顺序,会翻开病毒所假装的文件夹,从而制止被受害者发明异常:

1555935944484573.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第15张

沾染后的文件夹以下图所示:

1555935951850965.png 真假文件夹?FakeFolder病毒再次扰乱企业内网  第16张

对APT34泄漏对象的剖析——PoisonFrog和Glimpse

0x00 前言 最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。 0x01 简介 本文将要介绍以下内容: · 对PoisonFrog的分析 · 对Glimpse的分析 · 小结 0x02 对PoisonFrog的分析 对应泄露文件的名称为posi

网友评论