真假Zoom
<div data-v-7a63e4b3="" class="v-note-show single-show"><div data-v-7a63e4b3="" class="v-show-content scroll-style scroll-style-border-radius" style="background-color: rgb(255, 255, 255);"><p>译文声明
本文是翻译文章,文章原作者Raphael Centeno and Llallum Victoria,文章来源:https://blog.trendmicro.com
原文地址:https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/</p>
<h2 id="menu1" class="content_tag">前言</h2>
<p>随着新冠病毒全球疫情爆发,很多企业都在采取远程办公方式。犯罪分子利用这一“新常态”(员工远程办公的环境和在线工具的普及)来进行犯罪活动。我们发现了两个伪装成Zoom安装程序的恶意软件,通过非官方的途径进行传播。其中一个被安装了后门,允许犯罪分子远程控制计算机,另一个则是在设备中安装Devil Shadow僵尸网络。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/e8e756cb051dcd9c2ed776ebde6468af.jpg" style="max-width:100%;">
图1.与合法的Zoom安装程序相比,恶意安装程序的文件大小明显更大。</p>
</div>
<p>其实犯罪分子还可以利用其它的视频会议软件来捆绑安装恶意软件。因此,我们正在密切监视其它平台,例程和示例,以检查是否有篡改和捆绑的迹象。为了避免感染,请仅从可信来源(Google Play store、Apple App store和https://zoom.us/download)下载Zoom或其它应用程序。</p>
<h2 id="menu2" class="content_tag">带有后门的Zoom</h2>
<p>我们发现了一个带有后门的Zoom安装程序的样本。恶意程序是一个包含许多加密文件的可执行文件,之后会进行解密并写入文件(%User Temp% Zoom Meetings 5.0.1 setup.exe)中执行。</p>
<p>通过对恶意样本分析后发现,在样本安装时会杀死所有正在运行的远程控制程序,并打开5650端口,通过TCP协议来实现对目标主机的远程访问。同时它还会向注册表中添加四条配置。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/4448c5932af3e9f7fa089951eea4cec6.jpg" style="max-width:100%;">
图2.打开5650端口</p>
</div>
<div class="hljs-center">
<p><img src="/uploads/20200828/1441bdee8facd6d106696514f421dcb9.jpg" style="max-width:100%;">
图3.在注册表中添加四条配置</p>
</div>
<p>通过反汇编notification registry函数,查看其中的字符串信息。我们可以知道该函数用于通知C&C,email已经设置,用户凭证已被盗取并且标记该主机可以进行远程控制。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/edc9e7f583b54f2d9a9e27cad91642f9.jpg" style="max-width:100%;">
图4.反汇编函数</p>
</div>
<p>在进行一系列恶意行为之后,为了避免怀疑,Zoom安装程序会正常运行。安装后,犯罪分子可以利用后门在主机执行任意命令。</p>
<h2 id="menu3" class="content_tag">Devil Shadow僵尸网络</h2>
<p>该恶意安装程序由pyclient.cmd文件组成。其中包含恶意命令。cmd_shell.exe文件是一个包含new_.txt的自解压文件(SFX),其中包含C&C服务器,madleets.ddns.net以及为了获得持久性控制的shell.bat。同上,为了避免怀疑其中还包含了v5.0.1版本的Zoom安装程序。在botnet_start.vbs文件在运行pyclient.cmd文件时,恶意软件还会运行boot-startup.vbs组件以获得持久性控制。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/96f1e34e1cd773cda21b394f8e66bb90.jpg" style="max-width:100%;">
图5.恶意文件</p>
</div>
<div class="hljs-center">
<p><img src="/uploads/20200828/4cea4080376631e9e4d737e031b856d8.jpg" style="max-width:100%;">
<img src="/uploads/20200828/e8a3867ef01308dc36878dc99dba2d8f.jpg" style="max-width:100%;">
图6.恶意软件持久性控制</p>
</div>
<p>通过我们的分析发现,犯罪分子使用合法的应用程序node来运行new_.txt,来与C&C服务器进行通信。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/64d7cb535ee506af4a1b4b72c5677c22.jpg" style="max-width:100%;">
图7.与C&C进行通信</p>
</div>
<p>在pyclient.cmd中,我们发现恶意软件会连接https[:]//hosting303[.]000wenhostapp[.]com,并下载恶意负载。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/a83905b333e212d186963515926ed66d.jpg" style="max-width:100%;">
图8.下载应用程序的列表</p>
</div>
<div class="hljs-center">
<p><img src="/uploads/20200828/bf01b655fbc0f14efe80a0f7a18b756e.jpg" style="max-width:100%;">
<img src="/uploads/20200828/0ae87c0e2a4f1ffe36bd2e3b7ff7d0a0.jpg" style="max-width:100%;">
图9.列出可执行的命令。</p>
</div>
<p>在下载的可执行文件中,screenshot.exe会拍摄用户桌面和活动窗口的屏幕快照,Webcam.exe会扫描连接到目标主机的所有网络摄像头。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/25b75ee964a7dcbafb47ae3e5c7c7c5b.jpg" style="max-width:100%;">
图10. Screenshot.exe</p>
</div>
<div class="hljs-center">
<p><img src="/uploads/20200828/8e64d591c32b737f64b50b4e04d85d72.jpg" style="max-width:100%;">
图11. Webcam.exe</p>
</div>
<p>为了掩人耳目,合法的Zoom程序会被正常安装。但是通过查看Task Scheduler,我们发现每当计算机开机时,恶意软件会每隔30秒把收集到的所有信息发送给C&C。</p>
<div class="hljs-center">
<p><img src="/uploads/20200828/30fa3ad5c202001d343cc176f5c97464.jpg" style="max-width:100%;">
图12.每30秒发送一次信息</p>
</div>
<h2 id="menu4" class="content_tag">结论</h2>
<p>尽管恶意软件对其自身进行了伪装,但是还可以找到蛛丝马迹。首先,安装程序都不是通过正规途径进行下载的,而且恶意安装程序在安装时明显比正常的Zoom速度慢,因为它需要在运行Zoom之前提取恶意组件。</p>
<p>在冠状病毒流行期间,Zoom因其易用性而变得流行,Zoom也通过不断更新版本来应对出现的安全问题。但是犯罪分子也正是利用了这一点,从而感染尽可能多的主机。在本文的两个样本,都可以实现对企业或非商业行业渗透,从而盗取机密信息。不仅如此,恶意软件还可以记录键盘敲击,使用摄像头,在用户不知情的情况下安装恶意软件,或录制视频和音频。由于应用程序可以运行在多个操作系统上,犯罪分子的攻击也可以进行扩展。</p>
<p>具有远程办公需求的用户可以从以下方面来预防攻击:
1.仅从官网或官方应用市场下载应用程序和软件
2.及时更新软件来获取最新的补丁,使用会议密码和配置主机安全策略。</p>
</div> <div data-v-7a63e4b3="" class="v-show-content-html scroll-style scroll-style-border-radius" style="background-color: rgb(255, 255, 255); display: none;">
<p>译文声明<br>本文是翻译文章,文章原作者Raphael Centeno and Llallum Victoria,文章来源:https://blog.trendmicro.com
原文地址:https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/</p>
<h2>前言</h2>
<p>随着新冠病毒全球疫情爆发,很多企业都在采取远程办公方式。犯罪分子利用这一“新常态”(员工远程办公的环境和在线工具的普及)来进行犯罪活动。我们发现了两个伪装成Zoom安装程序的恶意软件,通过非官方的途径进行传播。其中一个被安装了后门,允许犯罪分子远程控制计算机,另一个则是在设备中安装Devil Shadow僵尸网络。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcTGATnvGAAAZJegm-jk362.png" alt="1.png">
图1.与合法的Zoom安装程序相比,恶意安装程序的文件大小明显更大。</p>
</div>
<p>其实犯罪分子还可以利用其它的视频会议软件来捆绑安装恶意软件。因此,我们正在密切监视其它平台,例程和示例,以检查是否有篡改和捆绑的迹象。为了避免感染,请仅从可信来源(Google Play store、Apple App store和https://zoom.us/download)下载Zoom或其它应用程序。</p>
<h2>带有后门的Zoom</h2>
<p>我们发现了一个带有后门的Zoom安装程序的样本。恶意程序是一个包含许多加密文件的可执行文件,之后会进行解密并写入文件(%User Temp% Zoom Meetings 5.0.1 setup.exe)中执行。</p>
<p>通过对恶意样本分析后发现,在样本安装时会杀死所有正在运行的远程控制程序,并打开5650端口,通过TCP协议来实现对目标主机的远程访问。同时它还会向注册表中添加四条配置。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcVWAGLl4AABsbWLR9kk282.png" alt="2.png">
图2.打开5650端口</p>
</div>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UccKAYO9NAACIJU0hbd4712.png" alt="3.png">
图3.在注册表中添加四条配置</p>
</div>
<p>通过反汇编notification registry函数,查看其中的字符串信息。我们可以知道该函数用于通知C&C,email已经设置,用户凭证已被盗取并且标记该主机可以进行远程控制。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcduAHPwVAADGKj_p1I0166.png" alt="4.png">
图4.反汇编函数</p>
</div>
<p>在进行一系列恶意行为之后,为了避免怀疑,Zoom安装程序会正常运行。安装后,犯罪分子可以利用后门在主机执行任意命令。</p>
<h2>Devil Shadow僵尸网络</h2>
<p>该恶意安装程序由pyclient.cmd文件组成。其中包含恶意命令。cmd_shell.exe文件是一个包含new_.txt的自解压文件(SFX),其中包含C&C服务器,madleets.ddns.net以及为了获得持久性控制的shell.bat。同上,为了避免怀疑其中还包含了v5.0.1版本的Zoom安装程序。在botnet_start.vbs文件在运行pyclient.cmd文件时,恶意软件还会运行boot-startup.vbs组件以获得持久性控制。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17Ucf-Ad2N6AAC0w_-cvkE186.png" alt="5.png">
图5.恶意文件</p>
</div>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UclWAU3PQAAAYIPGxdIM027.png" alt="6.png">
<img src="/img/sin/M00/00/30/wKg0C17Uco2AMHmgAAAV02KQ8x8468.png" alt="6.1.png">
图6.恶意软件持久性控制</p>
</div>
<p>通过我们的分析发现,犯罪分子使用合法的应用程序node来运行new_.txt,来与C&C服务器进行通信。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcqmAY9YWAABLjJsT99Q601.png" alt="7.png">
图7.与C&C进行通信</p>
</div>
<p>在pyclient.cmd中,我们发现恶意软件会连接https[:]//hosting303[.]000wenhostapp[.]com,并下载恶意负载。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcrmAbs40AAAuqhZVHOQ772.png" alt="8.png">
图8.下载应用程序的列表</p>
</div>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcsaABd1DAAFOV0ZyvUc444.png" alt="9.png">
<img src="/img/sin/M00/00/30/wKg0C17UctKAcU4cAABW1HgUIDc889.png" alt="9.1.png">
图9.列出可执行的命令。</p>
</div>
<p>在下载的可执行文件中,screenshot.exe会拍摄用户桌面和活动窗口的屏幕快照,Webcam.exe会扫描连接到目标主机的所有网络摄像头。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UctiAXqCUAAC4Vx7V9LQ154.png" alt="10.png">
图10. Screenshot.exe</p>
</div>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17Uct-AHTwhAABCFeFuiSg594.png" alt="11.png">
图11. Webcam.exe</p>
</div>
<p>为了掩人耳目,合法的Zoom程序会被正常安装。但是通过查看Task Scheduler,我们发现每当计算机开机时,恶意软件会每隔30秒把收集到的所有信息发送给C&C。</p>
<div class="hljs-center">
<p><img src="/img/sin/M00/00/30/wKg0C17UcuaAKMxQAACBwLIagpY108.png" alt="12.png">
图12.每30秒发送一次信息</p>
</div>
<h2>结论</h2>
<p>尽管恶意软件对其自身进行了伪装,但是还可以找到蛛丝马迹。首先,安装程序都不是通过正规途径进行下载的,而且恶意安装程序在安装时明显比正常的Zoom速度慢,因为它需要在运行Zoom之前提取恶意组件。</p>
<p>在冠状病毒流行期间,Zoom因其易用性而变得流行,Zoom也通过不断更新版本来应对出现的安全问题。但是犯罪分子也正是利用了这一点,从而感染尽可能多的主机。在本文的两个样本,都可以实现对企业或非商业行业渗透,从而盗取机密信息。不仅如此,恶意软件还可以记录键盘敲击,使用摄像头,在用户不知情的情况下安装恶意软件,或录制视频和音频。由于应用程序可以运行在多个操作系统上,犯罪分子的攻击也可以进行扩展。</p>
<p>具有远程办公需求的用户可以从以下方面来预防攻击:
1.仅从官网或官方应用市场下载应用程序和软件
2.及时更新软件来获取最新的补丁,使用会议密码和配置主机安全策略。</p>
</div></div><p><br></p>
