虚假中文版Telegram钓鱼样本详细分析
字数 1251 2025-08-23 18:31:09

虚假中文版Telegram钓鱼样本技术分析报告

一、样本概述

该样本伪装成Telegram中文版安装程序,实际为黑产组织开发的恶意软件加载器,主要功能包括:

  • 采用白+黑技术加载恶意模块
  • 多层加密的Payload加载
  • 反调试和反虚拟机检测
  • 安全软件对抗
  • 网络接口操控
  • 持久化驻留

二、技术细节分析

1. 初始感染流程

  1. 安装程序伪装

    • 样本伪装为"Telegram中文版"安装程序
    • 安装完成后启动loFsoirtplugLaer.exe

  2. 文件结构

    [安装目录]
├── loFsoirtplugLaer.exe (白文件)
├── python36.dll (恶意模块)
└── ...其他文件

2. 白+黑技术实现

  1. 第一阶段加载

    • loFsoirtplugLaer.exe加载恶意模块python36.dll
    • 模块带有伪造的数字签名

  2. 反分析技术

    • 反调试
      • 检测调试器存在
      • 查询进程信息进行反调试
    • 反虚拟机
      • 通过Sleep延迟检测
      • 检查主机内存信息
      • 检查CPU信息

3. Payload加载与解密

  1. 内存操作

    • 分配内存空间
    • 拷贝加密数据到内存
    • 使用异或0x3A算法解密数据

  2. Payload执行

    • 解密后获取导出函数run
    • 分配新内存加载Payload
    • 执行run函数

4. 权限与安全软件对抗

  1. 权限检查

    • 判断当前是否具有管理员权限

  2. 安全软件检测与对抗

    • 遍历系统进程检测火绒剑、360等安全软件
    • 调用驱动对抗安全软件

5. 网络操作

  1. 网络信息收集

    • 获取本地网络配置信息

  2. 网络干扰

    • 禁用主机网络接口
    • 完成恶意操作后重新启用网络接口

6. 持久化机制

  1. 文件操作

    • C:\Windows\Temp生成临时文件
    • 将文件拷贝到C盘其他目录

  2. 第二阶段加载

    • 加载恶意模块lum_sdk32.dll
    • 读取同目录下的lum_sdk32.dll.dat
    • 执行其中的ShellCode

  3. 最终Payload

    • ShellCode中包含加密数据
    • 异或解密后得到UPX加壳的Payload
    • 执行Payload的run函数
    • 安装服务实现持久化

三、技术特征总结

  1. 加载技术

    • 多层白+黑加载技术
    • 使用合法签名掩盖恶意行为

  2. 反分析技术

    • 复合反调试手段
    • 多维度反虚拟机检测

  3. Payload保护

    • 多层加密(异或算法)
    • 内存加载执行
    • UPX加壳

  4. 对抗技术

    • 安全软件进程检测
    • 驱动级对抗

  5. 持久化

    • 服务安装
    • 多目录文件散布

四、防御建议

  1. 下载安全

    • 仅从官方渠道下载软件
    • 验证数字签名有效性

  2. 系统防护

    • 保持安全软件更新
    • 启用行为检测功能

  3. 分析检测

    • 监控异常进程加载行为
    • 关注白+黑攻击特征
    • 检测异常网络接口操作

  4. 企业防护

    • 实施应用白名单
    • 监控服务安装行为
    • 建立文件完整性监控

五、IOC指标

  1. 文件相关

    • loFsoirtplugLaer.exe
    • python36.dll
    • lum_sdk32.dll
    • lum_sdk32.dll.dat

  2. 目录相关

    • C:\Windows\Temp\下异常文件
    • C盘根目录异常文件

  3. 行为特征

    • 异或0x3A解密操作
    • 网络接口禁用/启用序列
    • 安全软件进程枚举
虚假中文版Telegram钓鱼样本技术分析报告 一、样本概述 该样本伪装成Telegram中文版安装程序,实际为黑产组织开发的恶意软件加载器,主要功能包括: 采用白+黑技术加载恶意模块 多层加密的Payload加载 反调试和反虚拟机检测 安全软件对抗 网络接口操控 持久化驻留 二、技术细节分析 1. 初始感染流程 安装程序伪装 : 样本伪装为"Telegram中文版"安装程序 安装完成后启动 loFsoirtplugLaer.exe 文件结构 : 2. 白+黑技术实现 第一阶段加载 : loFsoirtplugLaer.exe 加载恶意模块 python36.dll 模块带有伪造的数字签名 反分析技术 : 反调试 : 检测调试器存在 查询进程信息进行反调试 反虚拟机 : 通过Sleep延迟检测 检查主机内存信息 检查CPU信息 3. Payload加载与解密 内存操作 : 分配内存空间 拷贝加密数据到内存 使用异或0x3A算法解密数据 Payload执行 : 解密后获取导出函数 run 分配新内存加载Payload 执行 run 函数 4. 权限与安全软件对抗 权限检查 : 判断当前是否具有管理员权限 安全软件检测与对抗 : 遍历系统进程检测火绒剑、360等安全软件 调用驱动对抗安全软件 5. 网络操作 网络信息收集 : 获取本地网络配置信息 网络干扰 : 禁用主机网络接口 完成恶意操作后重新启用网络接口 6. 持久化机制 文件操作 : 在 C:\Windows\Temp 生成临时文件 将文件拷贝到C盘其他目录 第二阶段加载 : 加载恶意模块 lum_sdk32.dll 读取同目录下的 lum_sdk32.dll.dat 执行其中的ShellCode 最终Payload : ShellCode中包含加密数据 异或解密后得到UPX加壳的Payload 执行Payload的 run 函数 安装服务实现持久化 三、技术特征总结 加载技术 : 多层白+黑加载技术 使用合法签名掩盖恶意行为 反分析技术 : 复合反调试手段 多维度反虚拟机检测 Payload保护 : 多层加密(异或算法) 内存加载执行 UPX加壳 对抗技术 : 安全软件进程检测 驱动级对抗 持久化 : 服务安装 多目录文件散布 四、防御建议 下载安全 : 仅从官方渠道下载软件 验证数字签名有效性 系统防护 : 保持安全软件更新 启用行为检测功能 分析检测 : 监控异常进程加载行为 关注白+黑攻击特征 检测异常网络接口操作 企业防护 : 实施应用白名单 监控服务安装行为 建立文件完整性监控 五、IOC指标 文件相关 : loFsoirtplugLaer.exe python36.dll lum_sdk32.dll lum_sdk32.dll.dat 目录相关 : C:\Windows\Temp\ 下异常文件 C盘根目录异常文件 行为特征 : 异或0x3A解密操作 网络接口禁用/启用序列 安全软件进程枚举