本帖最后由 火绒安全实验室 于 2025-5-3 18:14 编辑
近期,火绒安全情报中心监测到一款伪装成Cl**h(代//理工具)的程序正在网络上传播。该程序的官方网站通过模仿Cl**h的下载页面,诱骗用户下载恶意软件。在安装过程中,该恶意软件会进行C2通信并植入持久化后门,进一步窃取敏感信息。经溯源分析,这款恶意软件是由易语言编写的木马,其存在相关开发者提供私人定制易语言服务,为他人的黑灰产活动提供支持。在此提醒广大用户,一定要从官方或可信渠道下载软件,以免因使用不明来源的程序而导致账号被盗或数据泄露。目前,火绒安全产品可对上述病毒进行拦截查杀,建议广大用户及时更新病毒库以提高防御能力。 查杀图
Cl**h是一款开源的跨平台代//理客户端,主要用于网络代//理、流量转发及网络规则管理。攻击者会伪装成Cl**h官网来进行钓鱼攻击,其Cl**h介绍、使用方法、注意事项、规则编写等页面通过精心伪造,已致使部分用户中招,造成信息泄露。以下是伪造的网站:https://cl**h-pc.com/(**为模糊化处理) 伪造Cl**h官网
一、样本分析 流程图如下: 流程图
病毒初始样本通过增加体积(膨胀至100MB+以绕过云查杀上传)并伪装签名(无法通过验证)来欺骗用户。为确保恶意程序能在不同环境下顺利执行,病毒还携带了运行库,以防止程序因缺少必要的运行支持而无法正常运行。 Cl**h
首先,样本调用IsDebuggerPresent来检测是否处于调试环境,若未在调试器中,则将标志位设为0,并继续进入主函数的执行流程。 简单反调试
随后,样本跳转至虚拟化代码段执行。该段采用代码虚拟化技术(VMProtect指令混淆),通过PKZIP算法对资源节中的恶意载荷——易语言编译的Etools.dll1(易之卫定制版)进行解密。 释放恶意dll
其PKZIP解压算法如下。 PKZIP算法 解压
接着,样本利用LoadLibraryA动态加载已解密的Etools.dll1,并调用其导出函数WhiteTool,执行流程如下。 加载Etools.dll1
Etools.dll1由易语言编写而成,经特定的黑月编译器优化处理后借助VMP技术进行加壳。该病毒会增大自身文件体积,以此绕过云查杀系统的检测并实现上传,同时,它还会通过伪造虚假证书签名来掩盖恶意行径。 VMP 易语言程序
深入分析该DLL后,发现其主要借助自定义派遣函数来执行恶意代码。其具体功能由参数一决定。以下是其参数一对应的各项功能。 0peekmessage 1分配内存 2写文件 3创建进程 dispatch
其DLL的核心逻辑如下。 在释放病毒阶段,依据进程名称来决定执行的功能。由于此时处在释放病毒阶段,作者将功能函数留空(之后在病毒执行阶段添加实际功能)。随后,病毒会释放并执行恶意程序uok进程,同时运行Cl**h的WinRAR自解压安装程序,以此完成钓鱼过程。 uok进程
根据进程名执行相应的功能,并释放不同的病毒文件。 dispatch
之后,病毒运行Cl**h for Windows.exe,执行WinRAR自解压的正常Cl**h安装程序,以此完成钓鱼过程。 释放Cl**h安装程序
由于病毒采用了VMProtect虚拟化混淆处理,因此采用Unicorn进行指令模拟来对其进行分析。 派遣函数参数二:写文件 派遣函数参数三:执行进程
uok.exe释放后,与Cl**h一样,会将Etools.dll2释放到临时目录并加载其导出函数。此时,Etools.dll2的功能发生了变化,它会释放多个文件到公共文档目录。 路径包括: C:\Users\Public\Documents\QQ\ C:\Users\Public\Documents\123\ 文件:audidog.exe、TASKMAN.exe、spolsvt.exe、Mpec.mbt
之后,病毒利用AppCompatFlags的兼容性标志,强制目标程序以管理员身份(~ RUNASADMIN)或用户权限(RunAsInvoker)运行,改变UAC行为,绕过权限提升提示。 执行权限
随后,病毒会释放audidog.exe、TASKMAN.exe、spolsvt.exe、Mpec.mbt等文件,并通过调用ShellExecuteExW函数来执行TASKMAN.exe。 执行TASKMAN.exe
TASKMAN.exe与Cl**h.exe加载方式相同,均采用释放Etools.dll3的方式,并加载其导出函数whitetool函数。通过对进程名匹配来执行相应函数,之后借助线程注入(指令模拟)的方式执行spolsvt.exe,同时启动audidog.exe(进程守护程序)。 TASKMAN.exe 线程注入
注入到spolsvt.exe进程中的恶意代码主要实现以下功能。 1.构造路径并释放病毒文件。 2.调用fn_dispatch()函数对路径、资源或注册表进行设置,或执行模拟行为。 3.从PNG文件中提取payload,并调用fn_thread_inject()函数,将某些执行体(如EXE文件)注入到其它线程中,以实现后门功能。 线程注入:后门功能
病毒会再次释放相关文件,并通过注入svcoth.exe来实现剪贴板监听功能,其病毒文件如下。 线程注入:剪贴板功能
后门分析&剪贴板 病毒通过二次注入到spolsvt.exe实现后门功能,开辟可读、可写、可执行的内存,以执行恶意代码。 执行恶意代码
将病毒dump出来后发现其为PE结构的DLL,深入分析发现其后门功能包括以下内容。 功能图
0x00关机注销重启:通过ExitWindowsEx函数实现关机、重启、注销的调用。 0x01卸载后门:删除服务项、删除病毒文件。 0x02修改后门地址:病毒将Host字段写入注册表,并通过修改注册表进行修改。 关机、卸载、地址
0x03修改备注:修改注册表以响应病毒服务端的备注。 修改备注
0x04清理日志:通过有针对性地删除系统中“Application”(应用程序)、“Security”(安全)及“System”(系统)这三类关键事件日志,以清理自身的攻击轨迹。 清理日志
0x05下载执行与0x06下载执行2:通过网络读取URL,下载文件内容并执行其进程。 下载执行
0x07打开url默认打开与0x08打开url无窗口:通过注册表获取IE路径,并利用IE打开指定网址。 打开url
0x09创建进程:通过CreateProcessA或ShellExecuteExA打开指定进程。 打开进程
0x0A发送弹窗:通过创建线程的方式执行服务端发来的弹窗命令。 0x0B进程列表:通过系统API获取系统进程列表,并匹配相关进程名称。 弹窗、进程
0x0D开启网络代//理与0x0E关闭网络代//理:网络代//理以插件形式执行,通过内存加载DLL的方式,调用其导出函数OpenProxy开启代//理,调用CloseProxy关闭代//理。 网络代//理
0x0F插件执行:通过分配可读、可写、可执行的内存,并以内存加载DLL的方式修复PE,随后调用导出函数PluginMe来实现插件的加载。 插件执行
0x75修改启动项:通过修改注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run实现对系统的持久化操作。 启动项
获取剪贴板记录:通过调用系统相关的剪贴板API实现对剪贴板的读取。 剪贴板
溯源分析 对病毒中的“易之卫(病毒模块DLL中的字符串)”进行分析后发现,其为易语言提供免杀支持,主要通过代码体积膨胀以及加VMProtect代码虚拟化的方式来逃避杀软检测,并以“卡密”验证的形式公开售//卖,同时还在B站等平台进行推//广。 售//卖易之卫 利用平台推//广易之卫
通过在B站上的群号以及病毒文件中的QQ号进行溯源,发现该相关开发者为黑灰产提供定制化技术支持,以此非法牟利。 账号
通过对作者留下的QQ号进行溯源分析,发现其与以下信息线索存在关联。QQ号信息
对手机号进一步溯源,发现该手机号存在信息泄露记录。通过支*宝校验收款人功能和账号找回功能,可获取相关开发者的姓名等信息。 相关开发者相关信息
二、附录 C&C:
HASH: | 
[复制链接]
发表于 2025-4-30 04:22
收藏
淘帖
有用
分享到朋友圈
