揭开谍中谍的好戏,关键词:HW、RDP漏扫、红蓝对抗

2019-11-20 12:29:51 浏览数 (1)

一、概述

腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(亦有安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog,如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址,不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏:有人假冒安全研究者煞有介事的编造了一个故事,利用你对安全工具的好奇心,钓你上钩。

Blog结尾的工具介绍

这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿,且看下面的技术分析。

二、技术分析

Rdpscan.exe详细分析

工具包解压后如下所示:

将下载回来的rdpscan工具,用ida打开,并与github上的开源代码进行比较后发现,在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

ssleay32.dll详细分析

该dll中内容为未加密的shellcode,入口点如下所示。

主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后,再执行另一段shellcode。

另一段shellcode入口点如下所示

Shellcode中调用api的方式全部是下面这种方式

会利用CreateThread创建多个检测线程,用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点,如果存在会退出进程。

会创建线程利用CreateFile函数检查"\.Regmon"、"\.FileMon"、"\.ProcmonDebugLogger"、"\.NTICE" 等工具是否存在,检查到后,会利用TerminateProcess结束进程。

会创建线程检测窗口的classname,窗口类名主要有"ACPUASM"、"AOPOASM" 、"AOPUASM"、"ACPOASM"、"WinDbgFrameClass"

会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

会创建线程利用OpenMutex函数来检查wireshark是否存在,用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

在dllmain函数结尾会出现“Poison Ivy C ”的字符串,然后执行其它多个shellcode模块

木马的核心功能都在如下6个shellcode模块中,并且相互调用,几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

解密后的木马配置项如下所示,木马c2假冒知名安全厂商赛门铁克的域名(security.symanteclabs.com,目前已无法访问)。Shellcode还会根据配置项创建svchost.exe进程,并将代码注入其中,然后svchost.exe会访问c2,执行配置的相关功能,通过以上代码及木马配置等信息与参考资料中的对比,可以确信是Poison Ivy Rat(远程控制木马)。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。

三、安全建议:

  1. 1. RDP漏洞固然可怕,请使用官方认证的RDP漏洞检测工具,推荐使用鹅厂安全团队的RDS远程批量漏洞检测工具,下载地址:http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

据腾讯御见威胁情报中心监测分析,自上个月Windows远程桌面服务漏洞公开以来,已有部分用户按安全厂商的建议完成漏洞修复,尚未修复漏洞的电脑仍然数量众多,建议尽快修复,避免成为黑灰产控制的肉鸡。相关链接:https://guanjia.qq.com/avast/383/index.html

  1. 警惕使用来历不明的工具软件,尤其是与安全相关的,小心跌入精心策划的陷阱;
  2. 企业客户可以使用腾讯御点终端安全管理系统,来保护系统免遭病毒木马入侵;
  3. 疑似中招的可检测有无异常程序连接下文c2服务器,以及创建名为Test或TestSvc的服务,或使用腾讯御点清除病毒。

IOCs:

Md5:

d0840aeb2642d718f325a07a4b7f6751(rdpscan.exe)

77e929095d57c044f18ab259023c9ea5(RDP检测工具&HW第一天攻击方IP库.zip)

27b0374083f46693df15c0e3fffad070(ssleay32.dll)

C2:

security.symanteclabs.com

security.symanteclabs.com

www.symanteclabs.com/hw.html

参考资料:

https://www.fortinet.com/blog/threat-research/deep-analysis-of-new-poison-ivy-variant.html

https://dhsagarinfo.blogspot.com/free-download-poison-ivy-rat-232-and

作者:腾讯电脑管家 (文章转载请注明来自:IT同路人论坛)

0 人点赞