来自 资讯 2022-05-21 07:00 的文章

防ddos_济南高防服务器_零误杀

防ddos_济南高防服务器_零误杀

分析TeamSpy,恶意软件,使黑客能够完全远程控制PC。

TeamViewer,一个远程控制程序,便宜的高防cdn,在您需要远程IT支持时非常方便。不幸的是,TeamSpy背后的网络罪犯也发现该工具非常有用,并利用它进行恶意活动。

TeamSpy通过诱使人们下载恶意附件并启用宏来感染计算机。之后,恶意软件秘密安装TeamViewer,让网络罪犯完全控制受感染的计算机。TeamSpy首次出现在2013年,当时CrySyS实验室和卡巴斯基实验室发布了关于其运营的白皮书。Heimdal Security最近报告说,该恶意软件已通过有针对性的垃圾邮件活动重新浮出水面。我们也看到了上升趋势,因此决定仔细观察。

大多数恶意软件在感染设备后会与命令和控制(C&C)服务器通信。顾名思义,C&C服务器是向恶意软件发出执行命令的控制中心。C&C也会在恶意软件服务器所在的位置收集数据。对于这种通信,恶意软件作者通常实现一个自定义协议,该协议可以很容易地被发现并与其他流量区分开来,从而被防病毒解决方案阻止。为了让防病毒解决方案更难检测,一些恶意软件作者使用流行的远程控制程序,如TeamViewer,

C&C是一种通过VPN将垃圾邮件传播到人与人之间的网络。附件是一个包含宏的Excel文件。当附件打开时,出现以下屏幕:

当目标人启用宏时,感染过程开始,完全在后台运行,因此受害者不会注意到任何东西。如果我们查看恶意宏的内部,我们可以看到稍微模糊的字符串,这些字符串通常被分割成一个或多个子字符串,然后被连接起来。最重要的信息在下面用红色圈起来,是一个链接,可以从中下载一些东西,以及一个密码,稍后将使用。

该链接disk.karelia.pro是一个合法的俄罗斯服务,用于上传和共享文件。虽然下载的附件是PNG,但它实际上是一个EXE文件,更具体地说,它是一个受密码保护的Inno安装程序。

在innounp实用程序的帮助下,我们能够轻松地从恶意软件使用的Inno安装程序中列出或提取文件。如下面的清单所示,大多数文件都是经过数字签名的常规TeamViewer二进制文件,只有两个文件例外-msimg32.dll和tvr.cfg。Tvr.cfg是TeamSpy的配置文件,将在后面介绍,msimg32.dll是恶意软件本身。Msimg32.dll是一个dll库,它是Windows操作系统的一部分。但是,在这种情况下,TeamSpy滥用DLL搜索顺序,因此当前目录中的伪msimg32.DLL将加载到进程中,而不是Windows/System32目录中的原始msimg32.DLL。恶意软件本身位于伪造的msimg32.dll库中。

通常,当您安装TeamViewer时,您会看到一个带有ID和密码的GUI窗口,另一方需要知道该窗口是否要远程连接到您的计算机。

如果TeamSpy成功感染PC,则不会显示任何内容-记住所有内容都在后台运行,这样受害者就不会注意到安装了TeamViewer。这是通过挂接许多API函数并改变它们的行为来实现的。TeamSpy钩住了以下API(将近50种不同的API):

kernel32.dll

CreateMutexW、CreateDirectoryW、CreateFileW、CreateProcessW、GetVolumeInformation、GetDriveTypeW、GetCommandLineW、GetCommandLineA、GetStartupInfoA、MoveFileExW、CreateMutexA

user32.dll

SetWindowTextW、TrackPopupMenuEx、DrawTextExW、InvalidateBu立、InvalidateRgn、,重画窗口、SetWindowRgn、UpdateWindow、SetFocus、SetActiveWindow、SetForegroundWindow、MoveWindow、DialogBoxParamW、LoadIconW、SetWindowLongW、FindWindowW、系统参数Sinfow、RegisterClassesXw、CreateWindowExW、CreateDialogParamW、SetWindowPos、ShowWindow、GetLayeredWindowAttributes、SetLayeredWindowAttributes、IsWindowVisible、,GetWindowRect、MessageBoxA、MessageBoxW

advapi32.dll

RegCreateKeyW、RegCreateKeyExW、RegOpenKeyExW、CreateProcessAsUserW、CreateProcessWithLogonW、CreateProcessWithTokenW、Shell_NotifyIconW、ShellExecuteW

IPHLAPI.dll

GetAdapterInfo

某些挂钩会阻止应用程序访问某些特定资源,例如,如果RegCreateKey或RegOpenKey试图访问Software\TeamViewer注册表项,则返回错误代码:error_BADKEY。

挂接GetCommandLine使TeamViewer认为它是使用预定义密码启动的(而不是随机生成的密码,TeamViewer用户通常可以通过添加命令行参数将此密码设置为任意值)

Hooking SetWindowLayeredAttributes将TeamViewer窗口不透明度设置为0(指令推送0),根据MSDN文档,这表示:"当bAlpha为0时,窗口完全透明。当bAlpha为255时,窗口不透明。"

钩住CreateDialogParam会阻止恶意软件不需要的某些对话框被创建。这些对话框可以在文件TeamViewer_Resource_en.dll中查找,它们以10075等数字引用,请参见下图。

对于ShowWindow,它定义了自己的nCmdShow参数4d2h和10e1h。如果传递了除此之外的其他值,则不会发生任何事情。