真与假？戴着面具的盗窃者

2020.9.24 来源：安全豹作者：安全豹

事件背景

近期，毒霸安全团队捕获一批针对东南亚地区博彩行业从业者的远控木马，该类木马主要伪装成博彩相关的业务文件，利用白EXE+黑DLL的形式，借助社交平台如：Telegram、YY、邮件等进行传播。用户点击病毒后，会从云端获取sct脚本执行，并继续下载后续模块，最终执行黑客的远控指令。

截至目前样本虽经过了多次变种，但执行流程和功能仍大致相同，下图为样本执行的流程：

1-1

样本分析

追踪发现，样本来源于一些诱饵文件，该类文件名戴着”面具”，具有一定迷惑性，很容易被用户点击执行，下面为部分诱饵文件的名称：

(1). 公司通道风控紧急通知报表.exe

(2). GreenBrowser

(3). 截屏@y.exe

(4). 公司放假时间表docx.com

(5). 银行卡正面.com

该类诱饵文件运行后，会去访问http://143.92.48.198:82/y.sct指向的服务器，下载病毒样本执行，目前该服务器上文件如下：

病毒文件采用多层云控存储，利用白名单文件加载执行。目前已知的白名单文件有QTCapture.exe、yyplatform.exe和vixDiskMountServer.exe。病毒作者构建与程序自身加载dll同名的dll和函数，放在程序目录，由于白名单程序没有对dll进行核对较正，病毒dll直接被加载执行了。病毒文件有两种途径加载执行：

方案一通过下载中转文件，下载脚本执行病毒

方案二直接下载病毒文件执行

下面主要分析方案一，当1.exe(1@2.exe)中转文件被下载执行后，该程序会去访问http://172.247.250.74:82/2.sct，下载运行脚本文件2.sct，该sct脚本文件内容如下

从脚本内容上看，首先会去访问http://qflxs3g7v.hn-bkt.clouddn.com/下载相应文件，解压后重命名文件并去执行，或许是为了降低用户警惕，还会有相对的图片弹出，不过该命令暂时被作者注释掉了。解压的2.rar（与gui.rar相同）压缩包内文件如下：

002

最终会让白名单文件yyplatform.exe（YY语音的一个程序，会被重命名为MSASCuiL2607.exe，中间数字为随机化的）去执行，该程序运行时会去加载libxwalk.dll文件，但由于缺乏对加所载文件的校验，再加载病毒作者构建的恶意libxwalk.dll文件后，该libxwalk.dll会继续去加载运行load.dll和rddat.dll，解密下载的act文件，运行下载的netsh.exe程序。

load.dll的功能主要是去加载解密后的act文件，而act文件的解密由rddat.dll完成，解密算法采用的是简单异或和与运算，分别与0x70异或和与运算。

下图为解密前数据

下图为解密后数据

act文件解密后为一个DLL文件，该DLL的pdb路径为：

该DLL在被加载后会去调用该模块的导出函数A1()，该函数功能主要分为两部分：

第一部分，检测权限让程序以管理员身份运行，将白名单文件yyplatform.exe和下载释放的黑netsh.exe添加到Windows防火墙的入站规则中，规避防火墙拦截，便于和远控服务端进行网络通讯。分析发现黑netsh.exe的主要功能是进行反向代理，便于内网渗透，黑netsh.exe在后面远控模块中指令控制启动。