假虚Telegram网站传播远控窃密木马

逆向病毒分析 3年前 (2022) admin
1,036 0 0

安全分析与研究

专注于全球恶意软件的分析与研究

前言

今天下午朋友突然微信找到我说使用Telegram之后电脑卡的不行,让我看看:

假虚Telegram网站传播远控窃密木马

电脑变卡,如果不是软件或系统问题,要么就是中了挖矿,要么就是中了远控木马,拿到样本分析之后,可以确认,肯定是中招了,至于是中了挖矿还是远控木马,就得详细分析样本了,通过沟通发现朋友的Telegram不是从官网上下载的,是从一个第三方伪装的Telegram网站上下载回来的:

假虚Telegram网站传播远控窃密木马

下载Telegram的网站地址:hxxps://telegram-cn.org/desktop,如下:

假虚Telegram网站传播远控窃密木马

这个网站,还能打开,网站内容就是伪装成Telegram安装程序下载的网站,如下:

假虚Telegram网站传播远控窃密木马

好吧,既然找到我,那就简单分析看看是啥东西吧,遇到新鲜样本就想分析一下看看(也许这是一种职业病)

假虚Telegram网站传播远控窃密木马


简单分析

1.安装程序运行之后,如下所示:

假虚Telegram网站传播远控窃密木马

2.安装恶意软件在系统相关目录下,并隐藏恶意程序模块,如下所示:

假虚Telegram网站传播远控窃密木马

3.svchost.exe是一个白程序,如下所示:

假虚Telegram网站传播远控窃密木马

4.加载内目录下的恶意模块zCrashReport.dll,该模块使用Delphi语言编写并利用VMP加壳处理,阻止分析人员进行静态分析,如下所示:

假虚Telegram网站传播远控窃密木马

5.脱壳修复之后,可以确认该模块为一个远控窃密恶意软件模块,其中有个导出函数EDD0EAAEA466D7A3B0522B9591C8417C128710AEA,内容如下所示:

假虚Telegram网站传播远控窃密木马

该远控窃密模块可以获取Chrome浏览器帐号密码cookie历史记录数据,如下所示:

假虚Telegram网站传播远控窃密木马

6.同时还会控制远控访问桌面等,如下所示:

假虚Telegram网站传播远控窃密木马

7.并设置自启动项,如下所示:

假虚Telegram网站传播远控窃密木马

8.自启动脚本内容,如下所示:

假虚Telegram网站传播远控窃密木马

假如恶意程序模块被清除了,通过注册表自启动项,可以再次解码生成恶意程序模块,该远控窃密模块,会接受不同的指令,对受控制的机器执行不同的恶意操作行为,如下所示:

假虚Telegram网站传播远控窃密木马

差不多有一百多条指令吧,如下所示:

假虚Telegram网站传播远控窃密木马

远控窃密模块各种指令功能就不一一分析了,有时间再看看。


威胁情报

HASH

D17F5036BFDD014687E43094C9436E17

87F72C044977C03228AC53464AD41617

506F229740FB93AE7472BD872471CAEC

8F71B23D4135C9CBC63E31E3817E3002

E35EF8527B609FB1B3A1A16D35C327A0


Domain

theaigame.cc

telegram-cn.org


IP

156.245.23.34


总结

大家在下载一些软件的时候,一定要到正规的官方网站进行下载,同时要检测软件安装包的数字签名等信息是否完整有效。


做安全,不忘初心,与时俱进,方得始终!


安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。


假虚Telegram网站传播远控窃密木马

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


原文始发于微信公众号(安全分析与研究):假虚Telegram网站传播远控窃密木马

版权声明:admin 发表于 2022年4月9日 下午6:34。
转载请注明:假虚Telegram网站传播远控窃密木马 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...