知名软件被利用,小心主机被开后门

2022-01-18 14,949

背景概述

近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击;在局域网内通过共享目录进行传播,并在用户主机上留下后门程序进行窃密或者其他恶意行为。

详细分析

从受害主机上的情况来看,病毒主要有三个部分构成:

图片1.png

木马的启动程序Explorer.exe其实为正常的Adobe CEF Helper程序,是Adobe Creative Cloud程序的组件之一:

图片2.png

该组织应该是发现了这个Helper程序会在执行过程中去以函数名的方式获取到Hex.dll中CEFProcessForkHandlerEx的函数地址并执行。所以就伪造了一个假的Hex.dll并导出同名函数CEFProcessForkHandlerEx进行一个劫持的过程。

图片3.png

这个伪造的CEFProcessForkHandlerEx函数首先会搜索当前进程对应可执行文件目录下的AdobeUpdates.dat文件:

图片4.png

然后将文件中的数据读出来:

图片5.png 

用0当做隔断,取前十个字节作为秘钥,第十二个字节开始作为带解密的内容。进行一个循环异或的解密:

图片6.png

异或的过程:

图片7.png

文件内容,前十个字节为循环异或的秘钥:

图片8.png

异或完成后得到Payload:

图片9.png

然后开始执行Payload代码,其会将病毒的三个文件拷贝到拷贝到%UserProfile%以及%Appdata%目录下,并将Explorer.exe重命名为AAM Updates.exe:

图片10.png

图片11.png

还会添加自启动注册表项:

图片12.png

然后会创建新的进程AAM Updates.exe:

图片13.png

然后结束自身进程:

图片14.png

新创建的进程会持续运行,并与恶意地址进行持续的通信,并且会不断地想共享目录写下恶意的快捷方式,并将病毒拷贝到共享目录。

尝试与恶意的地址进行通信:

图片15.png

写下的快捷方式,意在通过用快捷方式让内网其他用户不小心将病毒执行起来:

图片16.png

日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/172745.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:281 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号