警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全

潜伏是谍战片的重头戏,可放诸网络空间,木马的潜伏就成为了触发安全预警的“暗雷”。近日,360政企安全反病毒团队追踪到,一木马团伙通过篡改网上源码后重新打包软件的方式,利用各类主流即时聊天软件,扩散“暗藏”远控木马的各类“带毒”工具事件,危及政企多端用户安全。

从360安全大脑捕获样本来看,目前已发现遭该木马团队篡改的软件,具体涉及Xfilter(费尔防火墙)和QuickFTP两款产品。而在完成恶意篡改后,该木马团伙还将软件名修改为具有高迷惑性的名称,通过QQ、微信等即时通信软件传播,以诱导不明真相的用户点击,扩散远控木马。

不过广大用户不必过分担心,在360安全大脑的极智赋能下,360安全卫士可快速拦截查杀此类威胁。

锁定防火墙精准投毒

“双面”远控木马流窜多地

顾名思义,防火墙就是计算机内与外网之间的一道安全屏障。从360安全大脑追踪到的数据来看,木马团伙盯上防火墙软件,篡改其网上源码,置入远控木马后重新打包软件,这样就让传统意义上网络安全的“防火墙”,变成了带毒“传染源”。

除此之外,木马团伙为了提高感染率,还将篡改后的防火墙软件命名为“1灯饰品材料设计效果”、”2020-10月财务报表明细.exe”、”2020logo尺寸大小详细.exe”、”1乐心乐园规划园资料.exe”等具有迷惑性的描述,并通过QQ、微信等即时通信软件扩散传播,以诱导用户点击下载。

图片[1]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

在对样本进行分析时,360安全大脑发现木马作者相当狡猾,被篡改的软件运行后,如果文件名不符合条件,就展示出正常软件的界面和功能,用以对抗分析人员和各类沙箱;而当文件名称符合预定格式时,就会执行远控木马的相关功能,凭借“两副面孔”流窜网络。

该木马除了具有键盘记录、盗号、截屏等常见远控功能外,还会进一步利用QQ快捷登陆接口盗取QQ群信息,侵害用户隐私和数据。360安全大脑统计数据显示,该木马目前已在国内多个省份广泛传播。

图片[2]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

远控木马“试探性”投毒

样本溯源揭露元凶诡秘行踪

在比对关键信息过程中,360安全大脑发现该木马样本修改自XFilter源码。

图片[3]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

而在运行后,木马会首先判断bugrpt.log文件是否存在,如若存在会直接读取该文件。否则会从hxxp://146.196.83.133:9527/Code.jpg下载数据到C:\\Users\\Public\\Documents文件下。

图片[4]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

随后,则会对数据文件内容进行解密,而解密后的数据是一个动态链接库(dll)文件,木马会定位其导出函数GetQMLogEx并予以执行。

图片[5]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

GetQMLogEx()函数首先会判断是否有管理员权限,如果没有则会尝试将自身复制到C:\Users\Administrator\Documents文件夹下运行。

图片[6]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

其中内置的远控地址有如下几个:

81.16.137.40

146.196.83.133

180.215.192.63

146.196.83.168

115.231.220.147

运行过程中,木马会循环尝试以上IP,一旦发现远程地址可用,则尝试连接远端地址的2021端口。

图片[7]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

之后对文件名进行验证。判断程序本身文件名首字符是否为1~5的数字,如果是才会继续释放后续的木马功能。

图片[8]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

木马随后生成一个随机数字,并在C:\Users\Public\Documents目录下新建该随机名的目录。

图片[9]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

再复制自身为wowFuncEx.exe到该目录下并执行。

图片[10]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

而当该木马以WowFuncEx.exe命名时,就会执行其远控的相关功能。

图片[11]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

同时还会复制本文件到同一目录下重命名为MainProEx.exe,作为双进程保护。

图片[12]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

通过分析,360安全大脑发现该远控不仅具有盗QQ号、关闭设备、获取键盘记录、添加用户、截屏、添加自启动项、下载程序并运行等在远控木马中常见的恶意功能,甚至还会通过遍历进程的操作检查系统中存在的安全软件,严重威胁数据资产安全。

图片[13]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

无惧远控木马威胁

360安全大脑高筑防御壁垒

面对远控木马等各类层出不穷的网络安全威胁,360安全大脑赋能下的新一代防护体系,不仅推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力,还增加了应对RDP爆破攻击,web应用系统漏洞,webshell攻击等多项针对服务器的防护能力。同时,依托于2EB+全网大数据和快速分析发现能力,360安全大脑可第一时间发现软件劫持攻击,文件篡改攻击,供应链攻击等各类新生攻击事件,输出体系化防护能力。

图片[14]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

(360安全大脑监控到的各类攻击事件)

目前,在360安全大脑的强势赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,面对强势来袭的远控木马威胁,360政企安全反病毒中心针对广大政企多端用户,给出如下安全建议:

1.对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,全面拦截各类木马病毒攻击;

2.对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;

3.对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

4.不随意打开陌生人发来的各种文件。

图片[15]-警惕!篡改防火墙代码精准“放毒”,暗黑木马诡秘潜伏流窜多地 – 作者:360安全-安全小百科

来源:freebuf.com 2020-11-25 13:56:29 by: 360安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论