吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17084|回复: 291
收起左侧

[PC样本分析] Telegram汉化暗藏玄机,悄无声息释放后门病毒

     关闭 [复制链接]
火绒安全实验室 发表于 2024-5-14 13:59
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2024-5-14 18:36 编辑

近期,火绒安全实验室收到用户反馈称自己下载的 Telegram 汉化文件安装后造成系统异常,火绒安全工程师第一时间为用户提供技术支持,提取样本进行分析。分析过程中发现该程序在对 Telegram 程序进行汉化的同时还 “悄悄” 释放恶意后门文件,执行远控操作,危害极大。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
Image-0.png
火绒 6.0 查杀图

样本执行流程图如下所示:

Image-1.png
执行流程图

在此,火绒工程师建议大家在下载软件时,尽量选择官方网站或正规可信的应用商店,同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。目前,火绒 6.0 已上线公测,在沿袭核心功能的基础上,专注终端安全,精细化查杀,多重技术深入布局,安全防护再次升级;欢迎大家前往火绒官方网站下载体验。

一、样本分析
起始汉化安装包是一个捆绑了恶意文件的 exe 程序,附带 vmp 壳干扰分析:
Image-2.png
vmp 加壳

双击运行程序时,其会先执行正常的 telegram 汉化操作,链接到正常 telegram 程序并改变界面语言:
Image-3.png
链接到 telegram
Image-4.png
汉化

但在执行正常操作的同时,会在内存中解密出第一阶段 payload ,其为一个恶意 dll,用于在内存中加载执行:
Image-5.png
内存解密dll

Payload1:加载通用.dll
从内存中 dump 出 dll 进行分析,其名称为 "加载通用.dll"。有一个 Hello 的导出函数,但不执行任何操作,所有操作都在 DllMain 中进行:
Image-6.png
dll 概览

该 dll 以易语言编写并由黑月编译器编译,特征字符串如下:
Image-7.png
黑月编译器特征字符串

在执行过程中会先进行一些检测操作,通过判断 SxIn.dll 是否存在来检测 360 的虚拟沙盒。检查 SystemTray_Main 的窗口属性是为了避免重复操作,因为在后面的操作中会有将该窗口属性设置为隐藏的代码:
Image-8.png
检测代码

随后开始初始URL部分,计算文件自身 MD5 并获取前 16 字节部分作为URL路径进行拼接,并生成 FPTOKEN 用于后续 http 通讯:
Image-9.png
拼接 URL

通信相关的函数是通过 WinHTTP 的 COM 对象接口来调的,数据传输时使用的域名是 taobc.tv ,利用前面生成的 URL 路径及FPTOKEN 以验证请求的有效性:
Image-10.png
外联操作

接收到的数据为加密数据,如下图所示:
Image-11.png
通信流量截图

在接收到回传的通信数据后,dll 会获取多个系统特定位置路径,作为后续投放第二阶段 Payload 使用:
Image-12.png
获取系统关键路径

随后通过 ResponseBody 字段来提取加密部分数据,并解密出新的 PE 文件:
Image-13.png
调用解密函数
Image-14.png
解密数据截图

第二阶段 payload 下发的路径选在 Videos 目录,dll 会创建 VSTELEM 文件夹,并继续创建随机文件夹用以投放第二阶段载荷:
Image-15.png
payload 投放位置

通过在循环中读取并定位解密数据中的 PE 文件,陆续投放 rzrue.exe(随机文件名,与文件夹同名)、Language.dll、update.dll 到前面指定的目录中:
Image-16.png
释放文件代码
Image-17.png
文件展示图

其中,如果检测到文件不存在的话,就会连接第二个 C2 进行告知:
Image-18.png
发送数据
Image-19.png
通信截图

完成前面的文件投放后,dll 还会接着以 SYSTEM_START.lnk 快捷键的方式投放到开机启动目录中实现持久化:
Image-20.png
释放 SYSTEM_START.lnk 文件
Image-21.png
相关文件属性

随后创建进程,执行下落的 rzrue.exe 文件并等待线程执行,如果进程执行正常,就会更改前面提到的 SystemTray_Main 窗口属性,用以避免重复操作:
Image-22.png
创建进程并设置窗口属性

如果 WaitForSingleObject 返回 WAIT_TIMEOUT 超时,同样会连接新的 C2 进行告知:
Image-23.png
通信截图

payload2
释放的文件中 rzrue.exe 是白文件,用于加载同目录下的 Language.dll 并调用其中导出函数 LangDLLMain 和 SetRegPath,但实际上并没有 SetRegPath 导出函数,关键操作都在 DllMain 中:
Image-24.png
加载 Language.dll

被加载的 Language.dll 同样由 vmp 加密来干扰分析:
Image-25.png
vmp 加壳

Language.dll 被加载后会读取同目录下的 Update.log,Update.log 是一个加密的字节码文件,其最终会被解密成 dll 并在内存中加载执行:
Image-26.png
读取 Update.log 并解密
Image-27.png
Update.log 字节码展示

XTFG110.dll
由 Update.log 解密出来的 dll 名为 XTFG110.dll,只有一个导出函数 "Fuck"。其中 DllMain 函数主要负责初始化操作,Fuck 导出函数主要负责通信操作:
Image-28.png
DLL 相关信息

XTFG110.dll 同样是易语言编写:
Image-29.png
易语言程序入口点

在 DllMain 中,先初始化要连接的 C2 及端口等数据:
Image-30.png
初始化 C2

随后在 C:\ProgramData 目录下创建 Lexicon 目录,并在其中创建相关文件夹,猜测是用于后续控制过程中的配置写入以及起到标识操作已完成的作用:
Image-31.png
相关文件创建

将执行目录设置为当前路径,方便后续操作:
Image-32.png
设置当前路径

接着该 dll 会根据预设的标志执行指定的操作,这些操作包括休眠,文件创建,进程注入等:
Image-33.png
可选操作

其中进程注入操作依旧是将 Update.log 解密后(该 dll 自身)写入到其它进程内存中继续执行:
Image-34.png
进程注入

最后挂钩键盘事件,监听键盘记录:
Image-35.png
监听键盘事件

导出函数执行
导数函数 Fuck 是指定执行的,在前面 DllMain 初始化的文件和域名基础上,主要执行通信部分的操作,获取系统信息进行传输并接收 C2 的下一步指令:
Image-36.png
函数代码展示


系统信息收集:

在接收数据前,该函数会先收集系统信息进行传输,包括设备名称,频率等:
Image-37.png
获取设备信息

并且函数还会检查上一阶段文件存在情况,做好记录:
Image-38.png
查看文件

最后函数会收集系统相关注册表及计划任务的存在情况:
Image-39.png
收集相关信息

对于收集到的信息,进行整理后会以加密的形式进行发送:
Image-40.png
数据加密

传输数据如下图所示
Image-41.png
流量截图

数据接收:
在前面将收集到的系统数据发送后,函数进入新的循环中开始接受 C2 数据。接收数据具体实现如下:第一次获取数据时,其会先定位回传数据的第 7 个字节(从 0 开始算),以此作为新缓冲区的长度进行第二次数据获取:
Image-42.png
循环监听

对于接收的所有数据同样需要解密后才能进行操作,解密逻辑同前面加密一样
Image-43.png
解密函数

然后进入数据处理函数中,其中第二次获取数据的第一字节会作为判断值来决定分发情况。根据不同的值,跳转到不同的执行分支中,其中包括系统信息获取、进程注入、下发插件等等,以此实现对受害者主机的完全控制,这里不再一一分析:
Image-44.png
可选择的执行分支

二、附录

C&C:
Image-45.png


HASH:
Image-46.png

免费评分

参与人数 141吾爱币 +137 热心值 +132 收起 理由
pjgod + 1 + 1 详尽的分析和记录,值得点赞!
ziye + 1 + 1 谢谢@Thanks!
yyyyt + 1 + 1 谢谢@Thanks!
Augsummer + 1 我很赞同!
babylonmax + 1 + 1 我很赞同!
pl3000 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
id1123 + 1 + 1 谢谢@Thanks!
CQingX + 1 + 1 我很赞同!
ETFBI + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
laozhang4201 + 1 + 1 热心回复!
Apartbst + 1 + 1 我很赞同!
KKKeria + 1 + 1 鼓励转贴优秀软件安全工具和文档!
huolicoder + 1 + 1 谢谢@Thanks!
硕鼠 + 1 我很赞同!太震惊了!!
Grox9426 + 1 + 1 我很赞同!
jamty + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
yrong913 + 1 + 1 我很赞同!
ag129 + 1 + 1 谢谢@Thanks!
hazy1k + 1 + 1 我很赞同!
guweijia + 1 + 1 鼓励转贴优秀软件安全工具和文档!
shiler + 1 + 1 谢谢@Thanks!
My_v + 1 + 1 用心讨论,共获提升!
首席鉴淫师 + 1 看不完 真的看不完
cklee + 1 + 1 是谁在偷偷看呢
tunis + 1 + 1 用心讨论,共获提升!
DRZH + 1 + 1 我很赞同!
qinlingmonkey + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
AkaTerrorist + 1 + 1 热心回复!
um.haha + 1 + 1 热心回复!
Jesus1207 + 1 + 1 我很赞同!
小书酱 + 1 + 1 热心回复!
yy19917 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lihuhu + 1 + 1 鼓励转贴优秀软件安全工具和文档!
AyachiNene + 1 谢谢@Thanks!
ahaneo + 1 + 1 谢谢@Thanks!
wangyongdesign + 1 + 1 谢谢@Thanks!
阿狸会跳舞 + 1 + 1 谢谢@Thanks!
千年的希望 + 1 谢谢@Thanks!
江湖白晓灵 + 1 + 1 谢谢@Thanks!
坡婆子 + 1 + 1 用心讨论,共获提升!
qPHPMYSQL + 1 + 1 我很赞同!
xintian + 1 + 1 好家伙,就算受了侵害,也没法报警,因为帽子叔叔会问你用这个做什么、
YAO21 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
絕情 + 1 + 1 我很赞同!
sunline + 1 谢谢@Thanks!
sightwww + 1 + 1 谢谢@Thanks!
开心熊猫741 + 1 + 1 我很赞同!
蔡大人 + 1 + 1 我很赞同!
warobot + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
13388157215 + 1 + 1 谢谢@Thanks!
AE1 + 1 + 1 谢谢@Thanks!
qyfdym + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
意中ん + 1 + 1 用心讨论,共获提升!
miyatotora + 1 + 1 用心讨论,共获提升!
aiy1925 + 1 + 1 我很赞同!
0xUYR7s + 1 + 1 谢谢@Thanks!
dong823 + 1 + 1 谢谢@Thanks!
jasonA + 1 + 1 我很赞同!
NoooomoRe + 1 + 1 谢谢@Thanks!
laway05 + 1 + 1 我很赞同!
xx9612 + 1 + 1 我很赞同!
CC520CC + 1 谢谢@Thanks!
nonomo + 1 + 1 用心讨论,共获提升!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Mokiii + 1 + 1 用心讨论,共获提升!
xxyyzz + 1 + 1 我很赞同!
LIEJIU + 1 + 1 谢谢@Thanks!
Ice-Space + 1 + 1 用心讨论,共获提升!
Fieerules + 1 + 1 用心讨论,共获提升!
xilinly + 1 + 1 我很赞同!
jdhnp + 1 + 1 我很赞同!
森罗千引 + 1 + 1 幸亏只从谷歌商店下载
likoaong + 1 + 1 谢谢@Thanks!
雷欧库珀 + 2 + 1 用心讨论,共获提升!
asdly1992 + 1 我很赞同!
固相膜 + 1 + 1 我很赞同!
NicholasN4 + 1 + 1 不明觉厉
陌路丶 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Monklamn + 1 + 1 谢谢@Thanks!
外酥内嫩 + 1 + 1 谢谢@Thanks!
wqqjsy + 1 + 1 热心回复!
SVIP008 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Liebesfreud + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Clousa95 + 1 + 1 谢谢@Thanks!
Whitetime + 1 + 1 我很赞同!
anyhave + 1 + 1 虽然看不懂,但感觉好厉害!
遗忘的世界 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
宇智波灬劫 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hurric + 2 + 1 谢谢@Thanks!
文绉绉 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Peanutegg + 1 + 1 谢谢@Thanks!
hu1590 + 1 + 1 用心讨论,共获提升!
趁火打劫 + 1 + 1 谢谢@Thanks!
huixiaochuna + 1 + 1 好家伙,就算受了侵害,也没法报警,因为帽子叔叔会问你用这个做什么、、、
xsl9106 + 1 + 1 热心回复!
zyastc521 + 1 + 1 谢谢@Thanks!
yyzg + 1 + 1 我很赞同!
helloworld0011 + 1 热心回复!
ad910 + 1 + 1 谢谢@Thanks!
acecttgd + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

wtflxk 发表于 2024-5-16 06:33
本帖最后由 wtflxk 于 2024-5-16 07:19 编辑
火绒安全实验室 发表于 2024-5-15 10:51
请您详细说明一下卡顿的具体现象以及您的火绒使用版本,以便后续我们为您解决问题~

我之前在你们官方论坛就反映过,一直是占cpu很高,Ui,配色,看着都怪怪的
感觉你们这一次的程序员找的越来越不靠谱了
你们就不能把最基本的流畅做好了么,希望你们能引起重视好好的在看看你们的代码
看看到底是那里引起的占用高卡,你们测试的时候也要找一些配置 一般的系统测试一下吧
我之前用的电脑环境是win10x64 LTSB 2015 企业版 硬件一般就不写出来丢人了,总之5.0的版本很流畅
6.0真的很拉垮。最基本的流畅都做不到,更别提其他的了。
特别的卡顿,又退回5.0了一切又忧愁流畅与正常了(6.0时也是开启了所有防护)
sellcheapest 发表于 2024-5-14 14:54
W2GTD 发表于 2024-5-15 00:20
圣泽 发表于 2024-5-14 14:57
a 这不就是纯纯病毒吗 为啥还有人下载
甜萝 发表于 2024-5-14 15:12
还是火绒牛逼 这分析的头头是道

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
uuwatch + 1 + 1 真能瞎逛!

查看全部评分

qqycra 发表于 2024-5-14 14:49
以前被这种坑过
理想的海洋 发表于 2024-5-14 14:53
看看 好避坑
x666777888 发表于 2024-5-14 14:59
感谢分享,学习了
qtwer2 发表于 2024-5-14 15:11
这玩意好用吗
dugmonky 发表于 2024-5-14 15:13
感谢分享,学习了
xinxiu 发表于 2024-5-14 15:17
没用过这样的汉化包。用的系统的
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-16 02:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表