后门程序正在通过知名搜索引擎广告位传播

下载回来都是个zip压缩包，解压后只有一个cad.exe，我们执行相关程序并没有cad编辑器的窗口，黑窗一闪而过。该样本为Go语言编写，且作者更新较为频繁，因此大部分杀毒软件还无法有效查杀

最终通过进一步技术分析，我们发现此样本并没有cad编辑相关的功能，而是一个鬼鬼祟祟从图床下载有隐写dll和shellcode图片，进而提取shellcode、dll加载执行。经过进一步分析我们确认此样本为彻彻底底的后门程序——搜索引擎推荐的TOP1居然是后门？！

从相关特征，我们还能关联到其他从搜索引擎推荐下载到的后门：

moshushou.exe

pdf.exe

qidianshipin.exe

…

以及一些钓鱼程序：

博易大师软件账户导出名字.exe

通达信账户导出买入盈亏交易记录.exe

同花顺导出交易记录.exe

…

从上述名称分析，我们有理由相信这个团伙近期应该购买了大量搜索引擎关键词（广告位）来传播这类后门程序。

其Shellcode的PDB路径为：

回连(cc根据下载cad.exe其嵌入的网易云课堂图床uri变化也会有动态变化，见后文)然后dll会移动cad.exe到以下目录，加入计划任务持久项。

点击程序运行后，样本首先会提升自身权限SeDebugPrivilege。

然后遍历进程，和安全厂商对抗：给安全防护软件去掉SeDebugPrivilege权限。

为安全防护软件赋予一些权限用以维持基本功能，如SeChangeNotifyPrivilege，SeBackupPrivilege等：

设置安全防护程序在安全访问令牌完整性等级为低：

我们观察到其通过公共图床：img1.imgtp.com、网易云课堂未公开图床：edu-image.nosdn.127.net分别下载了两张百度的图片，两个资源地址分别为：

看起来没问题，不代表实际没问题，其下回来的两个百度logo图片是经过LSB隐写(github开源项目)的图片，里面分别存放了一段shellcode和一个dll。

其中shellcode是用来加载上线模块，其pdb路径是：

C:Users谷堕Desktop2022远程管理gficangkuWinOsClientProjectRelease上线模块.pdb

而dll是用来创建持久项的，其pdb路径是：

C:\Users\Administrator\Desktop\Tools\计划任务\Release\Shellcode.pdb

Shellcode.pdb,这个名字就比较厉害了，从事安全相关工作的人都知道或了解：通常是让攻击者获得shell的一段code，从而得名shellcode。

相关详细分析如下：

下载LSB 隐写图片提取加载shellcode以加载上线模块回连

资源地址：edu-image.nosdn.127.net /A540DF52245740BB23844E8EAE7DBC44.png

解密并调用该段shellcode。如下图：

该段shellcode会加载上线模块：

C:Users谷堕Desktop2022远程管理gficangkuWinOsClientProjectRelease上线模块.pdb

回连cc: 8.134.105.59:19001 (分析人员发现该cc是动态变化的，隔两天下载cad.exe其嵌入的网易云课堂图床uri会有变化，shellcode里面的cc又变成了47.100.111.143:19001)

下载LSB隐写图片提取加载dll以注册持久项

资源地址：img1.imgtp.com/2023/01/29/ZUyxU1M2.png

图片解密后如下所示：

然后动态加载pe文件，pe文件dump下来信息如下：

Md5：912e48a103dc65ff7036f5518418630b

pdb符号路径：

C:\Users\Administrator\Desktop\Tools\计划任务\Release\Shellcode.pdb

调用该dll导出函数DLL。DLL函数首先进行查找Wins.exe，在找不到的情况下，进入sub_34CE1140()函数创建持久项：

在该函数内，会使用COM对象创建计划任务。CLSID_TaskScheduler {0F87369F-A4E5-4CFC-BD3E-73E6154572DD}

设置计划任务执行路径

保存Task，其中task name为：Windups：

最后，将自身移动到该目录下：

719ab2c961b9432cc5e1e16a7c503ae8

2790681f2b6f3aa6d816b12334ec6608

8.134.105.59:19001

47.100.111.143:19001