火绒安全软件
标题: Telegram汉化暗藏玄机,悄无声息释放后门病毒 [打印本页]
作者: huoronganquan 时间: 2024-5-14 16:37
标题: Telegram汉化暗藏玄机,悄无声息释放后门病毒
本帖最后由 huoronganquan 于 2024-5-14 18:46 编辑
近期,火绒安全实验室收到用户反馈称自己下载的 Telegram 汉化文件安装后造成系统异常,火绒安全工程师第一时间为用户提供技术支持,提取样本并进行分析。分析过程中发现该程序在对 Telegram 程序进行汉化的同时还 “悄悄” 释放恶意后门文件,执行远控操作,危害极大。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
火绒 6.0 查杀图
样本执行流程图如下所示:
执行流程图
在此,火绒工程师建议大家在下载软件时,尽量选择官方网站或正规可信的应用商店,同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。目前,火绒 6.0 已上线公测,在沿袭核心功能的基础上,专注终端安全,精细化查杀,多重技术深入布局,安全防护再次升级;欢迎大家前往火绒官方网站下载体验。
一、样本分析
起始汉化安装包是一个捆绑了恶意文件的 exe 程序,附带 vmp 壳干扰分析:
vmp 加壳
双击运行程序时,其会先执行正常的 telegram 汉化操作,链接到正常 telegram 程序并改变界面语言:
链接到 telegram
汉化
但在执行正常操作的同时,会在内存中解密出第一阶段 payload ,其为一个恶意 dll,用于在内存中加载执行:
内存解密dll
Payload1:加载通用.dll
从内存中 dump 出 dll 进行分析,其名称为 "加载通用.dll"。有一个 Hello 的导出函数,但不执行任何操作,所有操作都在 DllMain 中进行:
dll 概览
该 dll 以易语言编写并由黑月编译器编译,特征字符串如下:
黑月编译器特征字符串
在执行过程中会先进行一些检测操作,通过判断 SxIn.dll 是否存在来检测 360 的虚拟沙盒。检查 SystemTray_Main 的窗口属性是为了避免重复操作,因为在后面的操作中会有将该窗口属性设置为隐藏的代码:
检测代码
随后开始初始URL部分,计算文件自身 MD5 并获取前 16 字节部分作为URL路径进行拼接,并生成 FPTOKEN 用于后续 http 通讯:
拼接 URL
通信相关的函数是通过 WinHTTP 的 COM 对象接口来调的,数据传输时使用的域名是 taobc.tv ,利用前面生成的 URL 路径及FPTOKEN 以验证请求的有效性:
外联操作
接收到的数据为加密数据,如下图所示:
通信流量截图
在接收到回传的通信数据后,dll 会获取多个系统特定位置路径,作为后续投放第二阶段 Payload 使用:
获取系统关键路径
随后通过 ResponseBody 字段来提取加密部分数据,并解密出新的 PE 文件:
调用解密函数
解密数据截图
第二阶段 payload 下发的路径选在 Videos 目录,dll 会创建 VSTELEM 文件夹,并继续创建随机文件夹用以投放第二阶段载荷:
payload 投放位置
通过在循环中读取并定位解密数据中的 PE 文件,陆续投放 rzrue.exe(随机文件名,与文件夹同名)、Language.dll、update.dll 到前面指定的目录中:
释放文件代码
文件展示图
其中,如果检测到文件不存在的话,就会连接第二个 C2 进行告知:
发送数据
通信截图
完成前面的文件投放后,dll 还会接着以 SYSTEM_START.lnk 快捷键的方式投放到开机启动目录中实现持久化:
释放 SYSTEM_START.lnk 文件
相关文件属性
随后创建进程,执行下落的 rzrue.exe 文件并等待线程执行,如果进程执行正常,就会更改前面提到的 SystemTray_Main 窗口属性,用以避免重复操作:
创建进程并设置窗口属性
如果 WaitForSingleObject 返回 WAIT_TIMEOUT 超时,同样会连接新的 C2 进行告知:
通信截图
payload2
释放的文件中 rzrue.exe 是白文件,用于加载同目录下的 Language.dll 并调用其中导出函数 LangDLLMain 和 SetRegPath,但实际上并没有 SetRegPath 导出函数,关键操作都在 DllMain 中:
加载 Language.dll
被加载的 Language.dll 同样由 vmp 加密来干扰分析:
vmp 加壳
Language.dll 被加载后会读取同目录下的 Update.log,Update.log 是一个加密的字节码文件,其最终会被解密成 dll 并在内存中加载执行:
读取 Update.log 并解密
Update.log 字节码展示
XTFG110.dll
由 Update.log 解密出来的 dll 名为 XTFG110.dll,只有一个导出函数 "Fuck"。其中 DllMain 函数主要负责初始化操作,Fuck 导出函数主要负责通信操作:
DLL 相关信息
XTFG110.dll 同样是易语言编写:
易语言程序入口点
在 DllMain 中,先初始化要连接的 C2 及端口等数据:
初始化 C2
随后在 C:\ProgramData 目录下创建 Lexicon 目录,并在其中创建相关文件夹,猜测是用于后续控制过程中的配置写入以及起到标识操作已完成的作用:
相关文件创建
将执行目录设置为当前路径,方便后续操作:
设置当前路径
接着该 dll 会根据预设的标志执行指定的操作,这些操作包括休眠,文件创建,进程注入等:
可选操作
其中进程注入操作依旧是将 Update.log 解密后(该 dll 自身)写入到其它进程内存中继续执行:
进程注入
最后挂钩键盘事件,监听键盘记录:
监听键盘事件
导出函数执行
导数函数 Fuck 是指定执行的,在前面 DllMain 初始化的文件和域名基础上,主要执行通信部分的操作,获取系统信息进行传输并接收 C2 的下一步指令:
函数代码展示
系统信息收集:
在接收数据前,该函数会先收集系统信息进行传输,包括设备名称,频率等:
获取设备信息
并且函数还会检查上一阶段文件存在情况,做好记录:
查看文件
最后函数会收集系统相关注册表及计划任务的存在情况:
收集相关信息
对于收集到的信息,进行整理后会以加密的形式进行发送:
数据加密
传输数据如下图所示:
流量截图
数据接收:
在前面将收集到的系统数据发送后,函数进入新的循环中开始接受 C2 数据。接收数据具体实现如下:第一次获取数据时,其会先定位回传数据的第 7 个字节(从 0 开始算),以此作为新缓冲区的长度进行第二次数据获取:
循环监听
对于接收的所有数据同样需要解密后才能进行操作,解密逻辑同前面加密一样:
解密函数
然后进入数据处理函数中,其中第二次获取数据的第一字节会作为判断值来决定分发情况。根据不同的值,跳转到不同的执行分支中,其中包括系统信息获取、进程注入、下发插件等等,以此实现对受害者主机的完全控制,这里不再一一分析:
可选择的执行分支
二、附录
C&C:
HASH:
作者: 苏辞辞去 时间: 2024-5-14 19:09
打运营
作者: 化悲痛为力量 时间: 2024-5-14 20:10
提示: 作者被禁止或删除 内容自动屏蔽
作者: RedBull 时间: 2024-5-15 17:20
这个东西吧,要怎么看了人费劲巴刹的汉化出来 免费给你们用,必然要索取点东西 合情合理
作者: 化悲痛为力量 时间: 2024-5-15 18:10
提示: 作者被禁止或删除 内容自动屏蔽
作者: 依然孩提 时间: 2024-5-15 18:44
笑死,TG汉化不是链接么,整个exe还真有人点
作者: 楓の夢 时间: 2024-5-15 19:05
我还是用英文版吧
作者: 无泪啸珉 时间: 2024-5-15 19:26
主要是小白不会找频道,直接下汉化好的版本
作者: 安全探索者 时间: 2024-5-15 23:45
夹带私货
作者: kaiguadawang 时间: 2024-5-16 19:59
首先我并没有说 反馈称自己下载的 Telegram 汉化文件安装后造成系统异常
我 只是看到这个钓鱼存在很牛久了 你们一直杀不了
而且别人一直在更新
作者: kaiguadawang 时间: 2024-5-16 20:04
而且这个是我反馈的
以前我点击 没报毒 我重做系统好几次了 不知道还在不在
作者: 火绒运营专员 时间: 2024-5-16 20:25
您好,您这边目前有对应程序火绒不支持查杀吗,如果无法查杀麻烦提供下对应样本,我们确认下。
作者: 纷扰的互联网 时间: 2024-5-17 15:04
确定是你这个案例么 你的是3月份反馈的 运营当场答复的欸 能杀
火绒应该不会时隔两个多月再去发布一个分析报告
就我所见到的 火绒如果觉得有值得分析的样本 当天发布 而且在提供线索的用户帖子底下会说明发了报告 贴上相关链接
作者: kaiguadawang 时间: 2024-5-17 18:47
能查个pp 这个钓鱼 存在好久了
作者: 纷扰的互联网 时间: 2024-5-18 10:29
不是 你说是你反馈的 案例 可是你就在论坛反馈了一个病毒样本 还是能杀的 运营还截图了(所以我说能杀)
再没有其他反馈
作者: 该用户不存在 时间: 2024-5-18 18:05
不愧是运营 轻轻松松就做到了普通用户做不到的事
作者: sysdiag.sys 时间: 2024-5-18 20:45
未成年人请勿使用电报看黄
作者: 西溪0601 时间: 2024-5-20 08:33
前段时间我的电脑中了银狐病毒,本人对电脑只会操作,对程序类的问题真得没办法,请人做了简单的修复,然后前几天工作中离开电脑一段时间,再回来发现电脑正被远程操作,制作病毒,准备发布,幸好发现及时给阻止了,怀疑本人电脑的后门一直开着,该怎么办啊
作者: 西溪0601 时间: 2024-5-20 08:38
对后门程序采取的措施是通过火绒设置了网络开启时间,在下班时间段电脑断网,开启屏幕保护,离开电脑一分钟自动屏保,再开启需启动密码,这个措施有效吗
作者: 火绒运营专员 时间: 2024-5-20 09:02
您好,您可以先使用火绒进行全盘查杀进行病毒处理,如果后续有问题您可以及时联系我们反馈。
作者: 西溪0601 时间: 2024-6-7 11:25
电脑中了病毒,经常被远程控制,利用我的电脑微信群发病毒文件,感觉是杀不掉的病毒,怎么解
作者: 火绒运营专员 时间: 2024-6-7 11:33
您好,您可以先使用火绒进行全盘查杀进行病毒处理,开启程序执行控制-风险工具,远程控制工具您观察下,如果后续有问题您可以及时联系我们反馈。
作者: BDaw 时间: 2024-7-13 12:46
你好,有一个汉化包的链接,下载下来是.msi文件,应该也是有病毒,而且很多网站和视频平台都有推荐这个的,能请你们具体看一下吗?感谢。
【超级会员V5】通过百度网盘分享的文件:(有病毒)TG简…
链接:https://pan.baidu.com/s/1SyN1BdOkuDeUNv9EFdIVYg?pwd=631s
提取码:631s
复制这段内容打开「百度网盘APP 即可获取」
作者: 火绒运营专员 时间: 2024-7-13 13:09
收到,我们本地分析确认下
作者: 火绒运营专员 时间: 2024-7-13 13:48
您好,火绒已经支持查杀处理,感谢您的反馈。
作者: BDaw 时间: 2024-7-13 14:08
好的,请问我运行了这个程序之后火绒隔离了C:\Users\Public\Documents\chrome_elf.dll。之后我将其删除后发现在控制面板的程序里还可以看到那个安装完的汉化程序。之后我用火绒杀毒全盘查杀没有发现病毒。请问我是否需要重装电脑来保证安全。麻烦了,非常感谢。
作者: 火绒运营专员 时间: 2024-7-13 14:12
您好,当前看您不需要重装系统,如果后续电脑有异常情况您可以及时联系我们反馈。
作者: BDaw 时间: 2024-7-13 14:21
好的 感谢!
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |
