37期报告汇总
安天发布《大灰狼远控利用QQ号上线》报告
“大灰狼”远控是一款不断更新、升级的远控,安天追影小组曾经对“大灰狼”样本进行分析,《安天周观察》曾在第22期和第29期,分别发布《大灰狼远控分析》报告和《大灰狼远控变形DNS分析》报告,提及其具有连接到某个QQ号空间,通过该QQ号上线的行为。近期,研究人员再次披露“大灰狼”远控的另一个匿名上线漏洞,安天追影小组随即进行了分析。
该样本具有释放PE文件到系统目录、自复制为常见系统进程名、自删除、修改注册表、设置自启动、通过CMD隐藏删除自身、创建可疑进程、设置调试器权限、检查摄像头、连接网络和查找杀毒软件相关进程等行为。经追影小组分析发现,连接控制端下载的文件与之前分析的相符,同样名为“NetSyst**.dll”(**为两位随机数字)。
样本行为:
1.
样本首先下载“NetSyst96.dll”到APPPatch中。
2.
自我复制到系统目录下,并以子进程的方式打开,监测和监视新硬件设备并自动更新设备驱动。
3.
通过访问“982471559”这一QQ号来上线,在本样本分析过程中,研究人员猜测该QQ号的昵称已改变,不再有效。
除了本次分析的样本,追影小组在对其他威胁事件进行情报收集的过程中,曾捕获到大量以QQ昵称作为上线昵称的样本,一旦访问成功,恶意软件会获取到上线IP,受害主机将受到黑客的远程控制。
“大灰狼”远控有着较长的历史,且有专人负责开发维护,更新迭代较快。其特色为通过QQ昵称找到上线地址,这样的方式有利于快速更新C2,且对避免杀毒软件的查杀有一定的作用,而“免杀”也正是其吸引用户的一个方式。为了避免被此类远控攻击,安天追影小组提醒广大用户加强安全意识,不要随意打开陌生链接,通过官方网站下载正版软件。