近期,鹰眼情报中心发现一类仿冒“快连VPN”的恶意安装包攻击事件。攻击者将恶意代码与正常软件捆绑,通过仿冒网站和搜索引擎广告传播。用户一旦安装,便会被植入远控模块,用于关闭杀毒软件、窃取QQ和Telegram信息,并全面监控用户的鼠标、键盘和剪贴板。该攻击利用了软件兼容性机制来禁用杀毒软件,并使用开源项目来隐藏恶意活动。此类攻击手法旨在利用用户安全意识的薄弱,造成严重的信息泄露威胁。
🛡️ **仿冒软件传播与捆绑恶意模块**:攻击者通过创建仿冒“快连VPN”的网站和利用搜索引擎广告,诱导用户下载并安装恶意安装包。这些安装包将正常软件与恶意模块捆绑,一旦执行,便会释放并运行恶意代码,对用户设备发起攻击。
🚫 **禁用杀毒软件与窃取敏感信息**:恶意软件的核心目的是绕过安全防护。它利用“WeGame”模块(tgp_gamead.exe)的兼容性机制,结合其他手段,强制关闭用户的杀毒软件。随后,攻击者能够获取QQ、Telegram等应用内的信息,并对用户的鼠标、键盘输入以及剪贴板内容进行全面监控和窃取。
💻 **多层加载与隐藏技术**:该攻击采用了多重“白加黑”技术,即利用正常文件(白)加载恶意文件(黑),层层递进地加载恶意模块,以规避安全软件的检测。此外,还使用了开源项目“hidden”的修改版本,用于隐藏攻击过程中产生的恶意文件、注册表项和相关服务,增加了检测和清除的难度。
📈 **远程控制与信息回传**:加载的gh0st变种恶意载荷能够与远程服务器通信,接收指令,并收集用户主机的硬件信息、系统版本、公网IP、内存、磁盘空间、网络速率、系统架构,甚至包括杀毒软件和Telegram的进程ID以及QQ号等敏感信息,并将这些数据发送回攻击者的服务器。
原创 aw 2024-05-21 17:49 广东
近期,鹰眼情报中心监测到一批通过仿冒"快连VPN"的恶意安装包攻击事件。
事件概述
近期,鹰眼情报中心监测到一批通过仿冒"快连VPN"的恶意安装包攻击事件。攻击者将恶意模块和正常软件捆绑在一起,伪装成正常软件并通过仿冒网站、下载站等方式传播,同时通过在搜索引擎投递广告扩大仿冒网站的传播范围。用户执行携带恶意模块的安装包后,便会被攻击者下发远控模块和命令,执行关闭杀毒软件操作,获取QQ、Telegram软件信息,对用户电脑进行鼠标、键盘、剪贴板等进行全面监控和窃密。
流程分析
KwModConfig.dll是一个Loader,从自身数据中解密出攻击载荷(.dll)并加载,该攻击载荷是一个gh0st变种,可以和远程服务器交互,获取主机硬件信息、系统版本等,且具有剪贴板窃密、控制鼠标、监控键盘等功能。该攻击载荷还会释放"QAssist.sys"驱动文件,注册服务并启动,"QAssist.sys"主要用来隐藏攻击过程中生成的文件、注册表项和值。
详细分析
恶意安装包释放白(YP.exe)加黑(zf_cef.dll),YP.exe是一个正常文件,该文件启动后会加载zf_cef.dll,攻击者利用此机制,使用黑模块替换了正常的 zf_cef.dll,通过白文件进程加载黑文件模块的方式规避杀软的主动防御。
zf_cef.dll下载文件成功后首先运行Client.exe,该文件的原始文件名为"tgp_gamead.exe",是WeGame的一个模块。一些杀毒软件会对游戏运行做兼容,在Client.exe运行后退出部分防御功能,攻击者利用此机制削弱杀软的防护能力。
zf_cef.dll运行Client.exe后开始遍历内置的杀软进程名单,同时遍历当前系统中的进程,匹配到杀软进程后在当前系统寻找可利用的系统进程,之后会注入ShellCode到系统进程,并创建远程线程执行ShellCode来关闭杀软。到此zf_cef.dll的主要功能执行完毕,接下来就是运行第二组白加黑,然后zf_cef.dll会循环执行下图的关闭杀毒软件操作。
第二组白(KU.exe)加黑(KwModConfig.dll),KU.exe只用来调用黑模块,除此之外没有其它作用。KwModConfig.dll是32位程序,从自身数据段中解密出新的攻击载荷(.dll)并加载,下图是解密代码和解密前后的数据。
解密出来的攻击载荷是一个32位Dll,是gh0st的变种,恶意代码在导出函数"Shellex"中,该模块和服务端"14.128.50.22"通信,接收远控指令。
下图是攻击载荷收集主机信息的代码。包括获取系统版本信息、用户公网IP、CPU频率和处理器数量、物理内存大小、可用磁盘大小、网卡的速率、系统架构、杀软进程id、Telegram进程id、QQ号等信息,并发送到服务端。
判断当前系统版本,决定释放32位或者64位的驱动文件,64位系统下从自身数据段释放驱动文件到"C:\Windows\System32\drivers\QAssist.sys",为驱动文件创建服务"QAssist"并写入服务的配置到注册表中,该服务的启动方式为跟随系统启动。
在QAssist.sys 中发现pdb路径"F:\hidden-master\Debug\QAssist.pdb",经过比对我们认为QAssist.sys修改自开源项目"hidden",该项目可以隐藏注册表项和值、隐藏文件和目录、保护进程,在本次攻击活动中被用来隐藏恶意文件、注册表。下图左侧是项目"hidden"的开源代码,右侧是攻击者修改后的代码,流程和代码逻辑基本一致。
总结
该攻击者利用多重白加黑,一层层加载恶意模块,同时利用杀毒软件的兼容性机制结合其它手段来关闭杀软,在攻击载荷中不仅收集主机系统信息,还可以针对QQ等聊天软件窃密,给用户的信息安全带来巨大安全威胁。仿冒软件捆绑恶意模块的方式现在已经很常见,针对的是网络安全意识薄弱的人群,面对真假难辨的钓鱼网站、与原版软件相差无几的恶意安装包,点击安装带来的就是攻击者的监视和个人隐私的泄露。我们对此类攻击事件的防范建议:去官网下载软件,下载文件时仔细核对文件来源,不要点击不明来源的下载链接,提高识别钓鱼网站的能力,安装杀毒软件并及时处理病毒威胁。
IOC
MD5
55AC90618D7D966C9DBAC56918669028
52EA01A560C104A2BFE5873051C2CA04
0D92B5F7A0F338472D59C5F2208475A3
4E34C068E764AD0FF0CB58BC4F143197
C2
14.128.50.22
https://14-22a.oss-cn-beijing.aliyuncs[.]com/zishiying.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/qqwbclient.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/ccenter.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/dns2.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/DuiLib.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwHttp.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwHttpRequestMgr.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwLib.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwLog.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwMusicCore.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/libcurl.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/msvcp120.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/msvcr120.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/Zlib.dll
https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwModConfig.dll
阅读原文
跳转微信打开
