近期,火绒威胁情报中心监测到一个名为“企业智能化服务平台” 网页上托管的文件存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现样本为易语言编写的成熟后门,能根据 C2 指令实现对受害者机器的完全控制。除此之外,它还会检测受害者机器中杀软的安装情况进行对抗,上传受害者系统中相关信息,并设立开机启动项进行持久化驻留等。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
观察到样本来源页面如下图所示。打开该网页后会自动下载一个名为 "合同.rar" 的文件到本地。解压运行该文件后,会从内存中解密多个子文件进行加载和释放,最终运行易语言远控代码,实现对受害者机器的完全访问控制。此外,根据火绒威胁情报系统显示,该后门还会伪装成其它商业文件进行传播,观察到的其伪装的文件名有 “supe-告知函.exe”、“电子合同.xls” 等。
网页界面
样本执行流程如下所示:
样本执行流程图
易语言入口点
“合同.exe” 执行时,会先检查 “tomcat.exe” 进程是否存在。“tomcat.exe” 进程实际上是下一阶段恶意代码的执行文件。如果存在,则直接结束该进程:
检查 tomcat.exe 进程
检测 360tray.exe 并释放 payload
密文对应的杀软列表
但当杀软数量不止一个时,“合同.exe” 程序则会进一步执行驱动对抗操作。该程序首先会获取本地网络适配器信息以禁用无线网卡:
获取网络适配器信息
接着检查 "ZhuDongfangYu.exe" 进程是否存在。如果存在,则解密并释放 "C:\g.sys"、"C:\y.sys"、"C:\all.exe" 3 个文件运行以进行驱动对抗操作,然后继续释放并执行下一阶段 payload:
驱动对抗操作
其中,释放文件中的"all.exe" 程序,根据字符串信息可以确认其来自于开源项目 RealBlindingEDR(https://github.com/myzxcg/RealBlindingEDR),该开源项目以分享对抗 AV/EDR 的技术为主。此外,文件中的 "g.sys" 和 "y.sys" 也是该项目相关文件,在此不做详细分析:
all.exe 界面信息
RealBlindingEDR 项目截图
释放 conf.ini
conf.ini 内容展示
接着解密出另一个可执行文件 "tomcat.exe",第一次解密得到的字节码还要通过内存遍历,用指定的密文替换 tomcat.exe 中作为占位符的 "kkk" 字符串:(根据后面的分析可知,该指定密文为要连接的 C2 IP)
解密字节码并替换
替换内容
最后启动 "tomcat.exe" 进程,开启下一阶段操作:
启动 "tomcat.exe" 进程
释放文件列表
该程序会在前期初始化阶段解密出 E_Loader.dll 和 HP-Socket 等 dll 用于内部加载以实现第三方功能。根据 HP-Socket 官网介绍,其中的 HP-Socket 为高性能网络通信框架,同时它为易语言的编程语言提供接口。
获取杀软列表
进程遍历
C&C:
HASH:
