后门分析---点击此处安装语言包.exe
字数 1917 2025-08-23 18:31:24

恶意软件后门分析教学文档

1. 前言概述

本教学文档基于对"点击此处安装语言包.exe"恶意软件样本的分析,详细剖析了该后门程序的工作原理、攻击流程和技术细节。该样本是典型的供应链攻击案例,通过伪装成语言包安装程序诱骗用户安装。

关键点:

  • 恶意软件常伪装成破解软件、安装程序或安全工具
  • 供应链攻击可能通过官方渠道传播
  • 该样本采用多层加密和分阶段加载技术

2. 攻击流程分析

2.1 整体攻击流程图

  1. 用户下载并执行伪装的语言包安装程序
  2. 程序从远程服务器下载加密压缩包
  3. 解密并解压恶意组件到系统目录
  4. 通过白+黑技术加载恶意DLL
  5. 解密并执行最终Payload
  6. 建立C2通信,实现持久化

2.2 详细技术分析

2.2.1 初始阶段

  1. 远程下载加密数据包

    • 从link.jscdn.cn等域名下载加密压缩包
    • 文件保存到临时目录(%TEMP%)

  2. 解密压缩包数据

    • 使用硬编码密钥进行解密
    • 逐字节读取并解密数据
    • 将解密数据写入新压缩包文件

  3. 解压释放组件

    • 解压到公共目录(如ProgramData)
    • 包含主程序tapisrv.exe和恶意DLL(IvsDrawer.dll)

2.2.2 加载阶段

  1. 白+黑技术加载

    • 合法程序tapisrv.exe加载恶意IvsDrawer.dll
    • DLL导出函数调用D3D.dll的导出函数

  2. 恶意功能执行

    • DRAW_Startup和DRAW_InputTrackData导出函数执行恶意操作
    • 读取并解密donottrace.txt文件
    • 分配内存并解密数据

2.2.3 持久化与C2通信

  1. 持久化机制

    • 读取task.dat文件内容
    • 创建计划任务实现自启动

  2. Payload解密

    • 使用硬编码密钥解密内嵌数据
    • 解密出Gh0st RAT修改版

  3. 多线程C2通信

    • 线程1: 从pastebin.com获取C2地址
    • 线程2: 解密硬编码数据获取C2(hero.gettimi.top/news.cookielive.top)
    • 与C2服务器建立通信

3. 关联分析

3.1 样本关联

  1. 域名关联

    • link.jscdn.cn关联多个样本
    • hero.gettimi.top关联其他变种
    • news.cookielive.top关联不同样本

  2. 代码相似性

    • pbvm90.dll与IvsDrawer.dll代码基本一致
    • AndroidAssistHelper.dll使用相同哈希
    • 模块功能相似但使用不同加载方式

3.2 攻击活动特征

  1. 持续更新

    • 使用不同下载服务器
    • 变化软件加载方式
    • 多种传播途径(不仅限于语言包)

  2. 攻击手法

    • 多层加密保护
    • 分阶段加载
    • 多样化持久化

4. 威胁情报

4.1 IOCs(入侵指标)

  1. 域名

    • link.jscdn.cn
    • hero.gettimi.top
    • news.cookielive.top
    • pastebin.com(用于获取C2)

  2. 文件哈希

    • IvsDrawer.dll哈希
    • pbvm90.dll哈希
    • AndroidAssistHelper.dll哈希

  3. 文件特征

    • donottrace.txt加密数据文件
    • task.dat计划任务配置文件

4.2 TTPs(战术、技术和程序)

  1. 初始访问

    • 伪装成合法软件(语言包)
    • 供应链攻击

  2. 执行

    • 白+黑技术
    • 多阶段加载

  3. 持久化

    • 计划任务
    • 自启动项

  4. 防御规避

    • 多层加密
    • 内存解密执行
    • 使用合法域名(pastebin.com)中转

  5. 命令与控制

    • 多C2服务器
    • 动态获取C2地址
    • Gh0st RAT变种

5. 检测与防御

5.1 检测规则

  1. 文件监控

    • 临时目录下载加密压缩包
    • ProgramData目录异常文件释放
    • donottrace.txt/task.dat文件创建

  2. 进程监控

    • tapisrv.exe异常行为
    • 异常DLL加载(IvsDrawer.dll等)

  3. 网络监控

    • 连接link.jscdn.cn等域名
    • 访问pastebin.com获取配置
    • 连接hero.gettimi.top等C2

5.2 防御建议

  1. 用户教育

    • 不随意安装非官方软件
    • 警惕群分享的"破解工具"

  2. 技术防护

    • 应用白名单
    • 网络流量监控
    • 行为分析检测多层解密

  3. 应急响应

    • 检查计划任务
    • 分析ProgramData可疑文件
    • 网络连接排查

6. 总结与展望

该恶意样本展示了现代恶意软件的典型特征:

  1. 技术特点

    • 复杂的分阶段加载
    • 多层加密保护
    • 多样化持久化
    • 动态C2获取

  2. 发展趋势

    • 攻击样本持续更新
    • 使用更隐蔽的加载技术
    • 利用合法服务中转
    • 针对供应链的攻击增加

  3. 对抗建议

    • 持续更新检测能力
    • 加强纵深防御
    • 关注威胁情报
    • 提升分析人员技能

安全对抗是持续的过程,防御方需要不断学习新的攻击技术,完善防御体系,才能有效应对日益复杂的网络安全威胁。

恶意软件后门分析教学文档 1. 前言概述 本教学文档基于对"点击此处安装语言包.exe"恶意软件样本的分析,详细剖析了该后门程序的工作原理、攻击流程和技术细节。该样本是典型的供应链攻击案例,通过伪装成语言包安装程序诱骗用户安装。 关键点: 恶意软件常伪装成破解软件、安装程序或安全工具 供应链攻击可能通过官方渠道传播 该样本采用多层加密和分阶段加载技术 2. 攻击流程分析 2.1 整体攻击流程图 用户下载并执行伪装的语言包安装程序 程序从远程服务器下载加密压缩包 解密并解压恶意组件到系统目录 通过白+黑技术加载恶意DLL 解密并执行最终Payload 建立C2通信,实现持久化 2.2 详细技术分析 2.2.1 初始阶段 远程下载加密数据包 从link.jscdn.cn等域名下载加密压缩包 文件保存到临时目录(%TEMP%) 解密压缩包数据 使用硬编码密钥进行解密 逐字节读取并解密数据 将解密数据写入新压缩包文件 解压释放组件 解压到公共目录(如ProgramData) 包含主程序tapisrv.exe和恶意DLL(IvsDrawer.dll) 2.2.2 加载阶段 白+黑技术加载 合法程序tapisrv.exe加载恶意IvsDrawer.dll DLL导出函数调用D3D.dll的导出函数 恶意功能执行 DRAW_ Startup和DRAW_ InputTrackData导出函数执行恶意操作 读取并解密donottrace.txt文件 分配内存并解密数据 2.2.3 持久化与C2通信 持久化机制 读取task.dat文件内容 创建计划任务实现自启动 Payload解密 使用硬编码密钥解密内嵌数据 解密出Gh0st RAT修改版 多线程C2通信 线程1: 从pastebin.com获取C2地址 线程2: 解密硬编码数据获取C2(hero.gettimi.top/news.cookielive.top) 与C2服务器建立通信 3. 关联分析 3.1 样本关联 域名关联 link.jscdn.cn关联多个样本 hero.gettimi.top关联其他变种 news.cookielive.top关联不同样本 代码相似性 pbvm90.dll与IvsDrawer.dll代码基本一致 AndroidAssistHelper.dll使用相同哈希 模块功能相似但使用不同加载方式 3.2 攻击活动特征 持续更新 使用不同下载服务器 变化软件加载方式 多种传播途径(不仅限于语言包) 攻击手法 多层加密保护 分阶段加载 多样化持久化 4. 威胁情报 4.1 IOCs(入侵指标) 域名 link.jscdn.cn hero.gettimi.top news.cookielive.top pastebin.com(用于获取C2) 文件哈希 IvsDrawer.dll哈希 pbvm90.dll哈希 AndroidAssistHelper.dll哈希 文件特征 donottrace.txt加密数据文件 task.dat计划任务配置文件 4.2 TTPs(战术、技术和程序) 初始访问 伪装成合法软件(语言包) 供应链攻击 执行 白+黑技术 多阶段加载 持久化 计划任务 自启动项 防御规避 多层加密 内存解密执行 使用合法域名(pastebin.com)中转 命令与控制 多C2服务器 动态获取C2地址 Gh0st RAT变种 5. 检测与防御 5.1 检测规则 文件监控 临时目录下载加密压缩包 ProgramData目录异常文件释放 donottrace.txt/task.dat文件创建 进程监控 tapisrv.exe异常行为 异常DLL加载(IvsDrawer.dll等) 网络监控 连接link.jscdn.cn等域名 访问pastebin.com获取配置 连接hero.gettimi.top等C2 5.2 防御建议 用户教育 不随意安装非官方软件 警惕群分享的"破解工具" 技术防护 应用白名单 网络流量监控 行为分析检测多层解密 应急响应 检查计划任务 分析ProgramData可疑文件 网络连接排查 6. 总结与展望 该恶意样本展示了现代恶意软件的典型特征: 技术特点 复杂的分阶段加载 多层加密保护 多样化持久化 动态C2获取 发展趋势 攻击样本持续更新 使用更隐蔽的加载技术 利用合法服务中转 针对供应链的攻击增加 对抗建议 持续更新检测能力 加强纵深防御 关注威胁情报 提升分析人员技能 安全对抗是持续的过程,防御方需要不断学习新的攻击技术,完善防御体系,才能有效应对日益复杂的网络安全威胁。