背景概述
近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击;在局域网内通过共享目录进行传播,并在用户主机上留下后门程序进行窃密或者其他恶意行为。
详细分析
从受害主机上的情况来看,病毒主要有三个部分构成:
木马的启动程序Explorer.exe其实为正常的Adobe CEF Helper程序,是Adobe Creative Cloud程序的组件之一:
该组织应该是发现了这个Helper程序会在执行过程中去以函数名的方式获取到Hex.dll中CEFProcessForkHandlerEx的函数地址并执行。所以就伪造了一个假的Hex.dll并导出同名函数CEFProcessForkHandlerEx进行一个劫持的过程。
这个伪造的CEFProcessForkHandlerEx函数首先会搜索当前进程对应可执行文件目录下的AdobeUpdates.dat文件:
然后将文件中的数据读出来:
用0当做隔断,取前十个字节作为秘钥,第十二个字节开始作为带解密的内容。进行一个循环异或的解密:
异或的过程:
文件内容,前十个字节为循环异或的秘钥:
异或完成后得到Payload:
然后开始执行Payload代码,其会将病毒的三个文件拷贝到拷贝到%UserProfile%以及%Appdata%目录下,并将Explorer.exe重命名为AAM Updates.exe:
还会添加自启动注册表项:
然后会创建新的进程AAM Updates.exe:
然后结束自身进程:
新创建的进程会持续运行,并与恶意地址进行持续的通信,并且会不断地想共享目录写下恶意的快捷方式,并将病毒拷贝到共享目录。
尝试与恶意的地址进行通信:
写下的快捷方式,意在通过用快捷方式让内网其他用户不小心将病毒执行起来:
日常加固
1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;
2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;
3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
4.定期检测系统漏洞并且及时进行补丁修复。