【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈

CHM计算机木马病毒、CHM释放器木马,会通过释放其它病毒来间接对系统产生安全威胁---【蘇小沐】

1、可疑文件"xxx舞蹈.zip"分析

客户以练习舞蹈等名义,发来病毒文件,有商家点击后电脑系统会不断重启,影响正常工作,继而报警。

对"xxx舞蹈.zip"进行分析,解压缩后得到"xxx自动转换.CHM"文件,其解压后其文件大小、哈希值SHA256值等。

【.chm 文件是一种Microsoft编译的帮助文件格式,通常包含有关特定应用程序、工具或主题的详细信息】

640-wOxR

(一)"xxx转换.CHM"静态分析

使用压缩软件对"xxx自动转换.CHM"进行解压,可以查看到可疑的文件和使用的工具,文件内容如下(有时候也可从这里尝试挖掘出更多有用的信息)。

640-FuUK

其主要有以下,对其分析1个子文件"1.html",详细信息如下。

640-ktyS

"1.html"代码截图如下:获取到如下被混淆后的恶意的JavaScript脚本,无法静态分析出其中的payload。

640-LKPi

(二)"xxx自动转换.CHM"动态分析

使用"安恒云沙箱"系统(Windows7,64bit),对"xxx自动转换.CHM"动态分析执行,显示为"Trojan"(木马),分析结果如下。

640-rSAU

1、程序行为分析

当点击执行"xxx自动转换.CHM"文件,会执行系统的Microsoft Help查看器"hh.exe"程序(路径:"C:\Windows\hh.exe"),接着Microsoft Help查看器会加载包含在CHM文件中的HTML文件执行如下操作。

高危行为,"系统程序hh.exe唤起子进程",截图如下。

640-dsaw

【这里增加一个知识点:许多病毒文件可以利用系统正常的DLL动态库来执行触发;也有一些DLL动态库可能本身不发挥威胁,而结合了木马病毒后才会触发威胁,继而一般情况下即使下载了危险的DLL,系统可能也不会报错】

2、修改用户外壳文件夹

高危行为,"修改用户外壳文件夹",不同类型的病毒作用不同。

640-CKLJ

3、获取敏感系统权限

640-WoXB

4、自动关闭电脑

中危行为,"关闭电脑","shutdown.exe"是系统提供的关机程序,给定的参数"/r /f /t 120"表示 120秒后强制关闭计算机并重新启动,截图如下。

640-gzdb

5、网络行为分析

HTTP请求中的URL包括以下:"http://38.xxx/chm/xxx.jpg等信息,样本的具体行为与服务端返回的数据有关,如果服务端已关闭,那么程序的网络行为功能可能会受到了无法连接的限制,进而导致无法执行其他行为。

这也是网络取证的难点之一,及时性!

640-NDiX

6、显示关联的IP信息

根据"安恒情报"显示关联的IP信息。

640-eCvA

7、网络情报分析

 网络对应的情报分析。

640-UbWJ

(三)TG黑灰产分析

查找相关信息,在可疑的聊天记录中查找到TG的疑似内容,进行下一步的固定。在TG群聊信息中获取到"官方群认证",ID"xxx1001xxx"的群组聊天记录,描述"一单180,3分钟之内跑路"信息。

640-SrSX

1、Telegram群组成员的固定

Telegram组员"xx(收投毒手)"(用户名:@xxxtuidu)分析,在群组中查看组员"xxx(收投毒手)"显示有"xxx"个文件记录、以及"xxx"条链接,整理汇总表格如下。

640-wRYW

2、获取群组文件

经过技术分析,病毒文件来自此群聊天文件内容,里面还有更多病毒文件,基本上每天都更新。

640-JCHC

3、获取群组链接

查找对应的群组信息,可以进一步扩充线索。

640-YUCd

4、TG聊天内容

从中可以看出这些病毒的投放行业非常广泛,主要集中在一二线大城市的服务业,目前群体稳定,话术简单,有需求且合理。以此投毒配上简单的话术可谓是防不胜防。

640-vsJk

5、话术诱骗点击

诱骗商家点击发送的"可疑文件",点击运行,然后商家反馈无法打开所说的视频文件,此时"客户"一般会让商家拍照或录制小段视频,然后解析发送错误/视频受损,后面再重新发送,至此骗局结束,"客户"完成一单业绩!

640-PyEy

安全防护建议:提高安全意识

谨慎点击下载外部聊天、群聊中发送的文件;不轻易相信陌生人或者文件的说明,关闭安全软件的功能。

谨慎点击短信中的链接、陌生邮件的附件、链接等;邮件内的附件的文件先使用安全软件扫描,确认安全后再使用,防止中病毒或跳转钓鱼网站引发诈骗事件。

在文件资源管理器中,关闭文件夹选项中"隐藏已知文件类型的扩展名",选择文件夹选项中"显示隐藏的文件、文件夹和驱动器"。

不外借个人信息

不出借包含个人信息的"实名手机卡、银行卡(卡号、U盾)、身份证件、微信号、QQ号(平台账号)"等数据信息。首先你不清楚对方拿这些干嘛?!而且一旦这些被从事违法、灰色交易的行为,很多群控需要寻找真实的用户信息加以绑定,试图规避平台管控规则。

保留数据,及时报警

一旦发生受骗中病毒、资金受损情况,不要随便删除可疑文件,设备该断网断网,该报警报警,尽量保留证据,避免出现更大损失。

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【病毒分析】自动获取资源合集,如链接失效请留言,便于及时更新。

【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 蘇小沐 所有】

【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 01月 06日

最后编辑:2024年 01月 06日

【往期精彩回顾】

▲ 【电子取证篇】WinHex入门

Imager入门教程合集

转自 https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==&mid=2247487089&idx=1&sn=de054054e524dfe40d935331d098cd4f&chksm=ea581bf5dd2f92e386bae7e416d6f63430e19196654cf433f51212852fc7ac3eb857083bce38&token=204880182&lang=zh_CN#rd,如有侵权,请联系删除。