fbclientdllphp社交软件混进乱世木马平安软件三招制胜

2、 传播溯源

经由深入剖析和挖掘后创造，该系列木马常常将自身伪装成某类图片或文档，木马载体的图标和文件名都极具勾引性，紧张通过钓鱼网站和IM工具如QQ、微信等来进行传播。
下图所示是该家族木马的部分载体样本。

1、IM工具传播

木马团伙将伪装程序定向投放到QQ群、微信群或者个人用户，勾引特定人群点击运行。
以下为部分通过IM工具传播的木马文件，根据木马的伪装类型，大致可以划分8个种别。

追踪后创造，每类作为诱饵的木马载体都是针对特定人群来进行攻击的。
比如，伪装成图片的\公众户型图5-k\"大众、\"大众欧式3-k\"大众，目标为具有潜在买房需求或者从事房屋装修行业的人群。
而伪装成活动海报或转账截图的\"大众扫码领取红包1^dg\"大众、\"大众微信截图jpg-g\"大众等，目标是专门从事棋牌游戏充值的人群，这类人群的微信资料大多涉及网上常见的棋牌类游戏，并附带宣扬支持各种网银、信用卡等在线充值，如下所示是个中某个从事该灰色家当的微信资料截图。

2、钓鱼网站传播

针对棋牌充值类人群，该木马团伙全方位撒网，除了通过IM工具勾引传播，还特地制做了不少的钓鱼网站。
比如下面这个网站，直接就将木马载体放置在首页明显位置供目标人群下载。

此外，还有一些针对棋牌推广职员的钓鱼网站，如下这个所谓的游戏管理员后台，游戏推广职员可以免费注册一个后台账户，然后进入该后台天生所谓的推广\"大众二维码\公众，实际上若是下载后欠妥心打开便会中招了。

当然，该团伙的钓鱼网站的目标并不局限于棋牌游戏干系职员，比如今年8月份我们就曾经在报告\"大众风云中兴，署名冒用引发信赖危急\"大众中表露了该团伙针对电子产品消费人群的钓鱼攻击。

3、 样本分析

木马载体经由勾引传播后，得以在目标用户的电脑上运行，从而攻击用户电脑，下发远控后门等木马程序来图谋利益。
本章节紧张通过两个案例来表露该系列木马家族的攻击过程以及利用到的一些技能细节。

1、 案例一

本案例的木马母体伪装成\"大众图片2018092115554.exe\"大众，运行后假装要更新地向远程接口\"大众http://www.xhsss.cn/update.php\"大众发起一个验证会话，发送的数据加密前如下所示，个中包含主要的验证参数即文件名。
此验证步骤是该类木马的常用手腕，在一定程度上减少了自身被剖析调试的风险，并能识别目标用户、掌握传播范围。

若通过目标身份的验证则远程做事器会建立一个标识符\公众uid\"大众返回给该用户，木马通过该标识符去访问其余一个接口\"大众fine.php\"大众来获取安装配置，继而通过该配置可连续下载后门套件进行安装。

接着木马母体根据该配置去下载对应的payload文件\公众pipi.bin\"大众，利用密钥\公众a123...\公众对其进行解密，在内存中得到一个\"大众pipi.dll\"大众模块并加载实行个中的导出函数\公众INI\"大众。

\"大众pipi.dll\"大众模块实在便是后门套件的安装器，紧张事情是在ProgramData目录下开释后门模块，支配干系的持久化环境后就开始启动后门程序。
安装过程大概进程链如下：

首先，通过微软的证书管理工具\公众certmgr.exe\"大众导入低廉甜头的根证书到目标系统，其目的是逼迫让系统信赖以该证书为根的证书链验证，使经由该证书链验证的木马模块显斧正常的数字署名。
如下便是一个木马模块在受攻击系统显示的\"大众正常\"大众腾讯署名：

然后木马就可以放心地启动后门程序了，启动办法是运行白程序\"大众SysTem.exe\"大众，该程序是Firebird数据库软件的一个程序模块，运行过程中须要导入程序依赖库\公众fbclient.dll\"大众，此时即为同目录下被更换的后门模块。
木马正是通过这种\"大众白加黑\"大众的办法来启动后门模块，并且在安装过程设置了程序\"大众SysTem.exe\公众为开机自启动。

一旦木马模块\"大众fbclient.dll\公众得以运行，该程序将在软件安装目录里创建一个随机目录如\公众C:\Progarm Files\nqoimk\"大众，并拷贝\"大众SysTem.exe\"大众本身和加密模块\"大众wc.dat\"大众到该目录，\"大众SysTem.exe\公众被重命名为随机名\公众nqoimk.exe\"大众将作为一个傀儡进程来创建，然后木马解密\"大众wc.dat\公众得到一个终极的后门模块注入到该傀儡进程中运行。
终极的后门模块是一个常见gh0st远控后门程序，上线地址为：\"大众88383436.9mng.vip:2900\公众。

2、 案例二

本案例的木马母体伪装成\"大众户型图13-k.exe\"大众，通过IM工具进行传播。
该类木马常用冒用的数字署名往返避安全软件的查杀，如下所示为个中一例样本利用的冒用\公众Speed-Bit\"大众公司的数字署名。

母体样本运行后将直接连接远程做事器准备下载木马模块，连接的做事器地址为\公众get.mibocx.com:443\"大众：

连接后将自身文件名和哈希值（SHA-512）等信息加密后回传做事器，只有当做事器验证成功才会返回木马模块的下载地址，并进一步下载实行。
此验证步骤的目的同前述案例，若通过目标身份的验证才会下发内嵌木马模块的解密密钥，然后加载该模块开始进一步安装后门套件。

此步骤在不同的期间内有所演化，早期该类木马下发的数据格式类似上述案例的安装配置，除了包含第二个字段用作解密密钥外，第一个字段也用作payload的下载url；最新版本的该类木马则不再利用第一字段，而是直接将payload内嵌于母体本身，但解密办法则保持不变，并且解密算法和上述案例也均相同，出自同一套木马作者自己实现的\"大众动态算法\"大众，如下为木马团伙利用的两种加解密专用工具。

接着木马程序开始安装后门套件，安装之前还会联网下载一些加密的资源。
早期该类资源可以直接下载得到，而最新的版本同样升级了一下，在资源网站上加入了一层身份验证，用来增加剖析难度。

然后进入安装流程，首先木马调用开源管理员工具NSudo来往目标系统导入一份注册表文件\"大众nopuac.reg\"大众，其功能是禁用系统的UAC弹窗，使后续的模块得以利用管理员批准模式运行。

禁用UAC弹窗之后，木马在软件安装目录下创建一个名为\公众QianYueBluetooth\"大众的文件夹并在个中开释压缩资源\公众BlueSoleil.rar\"大众，随即利用密码\"大众luanshi#120\"大众对其解压进而开释后门安装套件如下，安装过程大致表示在\公众BlueSoleil.json\公众中的批处理代码，紧张是导入低廉甜头根证书和利用多组\"大众白加黑\公众来启动目标程序，和上述案例比较类似。

安装完毕后通过运行\"大众OneDriveSetupwb.exe\"大众来终极启动payload模块。
\"大众OneDriveSetupwb.exe\"大众实际上是苹果公司的软件模块\公众APSDaemon.exe\"大众，启动payload的过程也是属于\"大众白加黑\"大众，终极将加载同目录下被更换后的后门模块\公众APPLEVERSIONS.dll\"大众。
该模块被加了一层\"大众Themida\"大众强壳，经由脱壳处理后可以剖析出其紧张功能是下载安装一款国外的远程掌握软件\"大众RemoteUtilities\公众，并运行个中的主程序以启动掌握远程电脑的功能。

一旦在受害用户电脑安装启动\公众RemoteUtilities\"大众远程掌握软件，木马只须要将软件自动天生的账户密码回传做事器就可以通过远程掌握端直接操作电脑了。

3、 Payload分布

经由前两个案例的剖析，可见该系列木马家族均是从母体程序开始，终极在受害用户电脑上安装加载Payload程序来干活。
本小节紧张统计一下该系列木马终极下发的Payload分布情形，大概占比如下图。

图中紧张分为远控后门和挖矿木马两大类，个中远控后门类占了较大比例，并且是持续性地进行传播。
而挖矿类木马的传播特点则是间歇性爆发，分别集中在三月末和玄月初，其下发加载的过程类似前述两个案例，只不过安装套件轻微有点变革，这里就不再赘述。

该系列木马家族从创造以来频繁地改变和更新自身的\公众外面\公众特色，试图躲避安全软件的识别与查杀。
下面紧张列举三种其采取过的\公众变身\"大众办法。

1、署名冒用

署名冒用是指恶意程序具有的数字署名与某有名公司的数字署名串相同，但并非由该有名公司官方的证书所签发，而是其余从其他签发机构申请到相同署名主体的证书。
此类攻击360核心安全持续追踪并进行表露，该类手腕正是本系列木马家族善于的一种躲避查杀的办法，木马利用的数字署名所冒用的工具包括方正、中望CAD、JRiver等国内外有名公司。
更多关于该类攻击手腕的报告可拜会附录的参考链接。

2、软件认证

在不断改换冒用署名往返避360查杀的同时，木马团伙也借用一些\"大众正当\公众的外壳公司试图来认证自己的木马程序。
例如我们曾经创造该团伙以\公众上海破壁网络信息科技有限公司\"大众的身份来提交软件，试图通过正规的软件认证流程往返避查杀，不过终极还是在第一韶光被创造和禁止。

该团伙提交的木马程序被打包在一个\"大众通用人为管理系统\"大众的软件安装包里面，该安装包还具有\公众Shanghai Pobi\"大众（上海破壁）的数字署名，看起来像是正常的行业软件。

然而在该软件安装后，将会在安装目录开释多个程序库和数据库文件，木马程序悄然混在个中难以通过肉眼分辨。
经剖析后创造，混入个中的文件无论从代码特色还是掌握C&C上看，正是\"大众浊世\公众家族系木马。

3、邮件反馈

面对360对此类木马家族的全面查杀，木马团伙却不甘示弱，反而兵行险招、主动出击，化身为外洋厂商用户更进一步地直接通过邮件反馈试图获取\"大众通畅证\公众。
以下截图为该团伙在国庆前夕的反馈邮件，希望我们对其软件取消拦截。

反馈邮件的末了，这位外洋用户附带了一个事先上传至腾讯企业邮箱的附件链接，从链接下载的文件正是国外媒体软件厂商JRiver的播放器安装包，无论从程序图标、功能还是数字署名上看都很像是真的出自JRiver公司，然而经由剖析检测后很随意马虎便识别出该软件包利用的数字署名正是出自上文所述的冒用署名。

除了反馈的样本属于冒用署名类之外，反馈的邮件本身也非常的可疑。
首先引起我们把稳的是这个国外\"大众朋侪\公众利用的貌似自己公司的邮箱发送邮件内容，而附件样本却通过了腾讯企业邮箱来上传实在有些奇怪。
于是查一下该发件邮箱的域名MX记录，却创造这个邮箱表面是\"大众JRiver\公众公司自己的邮箱，实则却绑定了腾讯QQ的企业域名邮箱做事器。

如果说该公司绑定腾讯的企业邮箱不足为奇，那再来看下这个域名的注册信息。
查询创造，该域名的注册韶光十分惹眼，并且是匿名注册，反馈者从注册域名到绑定企业邮箱、签发冒用类样本并上传、末了发送邮件反馈给我们，前后韶光间隔竟然不超过半天，如此高效和针对性的动作让人不得不对这个反馈者的身份和目的有所预测。

后来我们给这位外洋用户回答了邮件，希望他们供应干系的信息和材料，不出所料的从此再没有任何复书。
结合反馈样本所用数字证书签发的多例木马样本，还有以下找到的JRiver官方网站，终极认定该反馈者系木马团伙成员。

5、 总结

\公众浊世\公众木马家族属于今年较为生动的一个家族，紧张针对海内各种分外的目标群体，并且黑白通吃。
从作案手腕上看，该团伙常常是将木马载体伪装成各种文档、图片或者工具，结合钓鱼网站或者社工欺骗勾引目标用户运行个中的木马程序，终极偷偷掌握电脑以谋取利益。
从对抗办法上看，该团伙也是费尽心思，千方百计地伪装自己希望规避查杀，不仅采取了\"大众署名冒用\"大众、\"大众白加黑\"大众等盛行的技能手段，还主动提交木马程序试图鱼目混珠。
在安全形势日益严厉的本日，攻防还在连续，\公众浊世\"大众木马家族只是这条道路上的一阵阴风，为了广大用户的利益安全，我们必将不懈努力。