APS窃密木马分析与防御指南

一、恶意软件概述

基本信息：

发现时间：2022年8月19日
编写语言：C++
代码特征：套用开源软件ZLMediaKit代码并添加恶意模块
感染规模：已感染万余台设备（CNCERT数据）

项目来源：

疑似来自Gitee私人项目"Aps"
开发者项目路径：D:\Work\Code\gitee\APS\ApsBuild\
开发特征：采用强链接方式增加兼容性，包含未开发完全的远控功能

二、技术分析

1. 对抗手段

安全软件进程阻断：通过SearchIndexerService.exe清空安全软件进程的TCP表项
实现方式：
- 使用SearchTcpTableForImageName函数获取TCP表项
- 通过PID查询进程名称
- 设置dwState为0xC删除TCP表项

2. 运行流程

初始阶段：
- 显示正常安装界面
- 执行cmd命令终止系统安全服务
文件释放：
- 释放路径1：C:\Users\Sangfor\AppData\Roaming\Microsoft\Network
- 释放路径2：C:\Windows\SysWOW64\security
- 包含文件：
  - 有数字签名的正常库文件
  - 恶意程序：NetworkService.exe、SearchIndexerService.exe
  - 关键DLL：
    - DreamApslop.dll：信息收集、反调试、数据外传
    - libssl-3.dll、libcrypto-3.dll：加密通信
    - mk_api.dll：基于ZLMediaKit开发的恶意模块
进程启动：
- 使用释放的NetworkService.exe启动进程
- 创建互斥量防止重复运行
- 通过不同命令行参数二次启动

3. 信息收集功能

配置文件操作：
- 检查并创建para.ini配置文件
- 将接收数据存储到index.ini
DLL加载机制：
- 加载plugin目录下所有DLL
- 调用每个DLL的Plugin_Create导出函数
- 加载关键DLL：libcrypto-3.dll、sqlite3.dll、mk_api.dll、libssl-3.dll
收集的信息类型：
1. 磁盘序列号（加密后转为base64发送）
2. 通过ipconfig /all收集网卡信息
3. 通过Process32Next和GetNativeSystemInfo获取系统进程信息
4. 通过whoami获取当前用户
5. 通过netsh wlan show profiles获取无线配置

4. 通信行为

使用mk_http_requester_call函数（攻击者自定义）发送网络请求
创建多线程，其中特殊线程会以挂起方式再次运行NetworkService.exe

数据外传格式示例：

{"status":0,"msg":"success","data":{"url":"http://x.x.x.x:8080/1.exe","md5":"xxxx","size":xxxx}}

三、检测与防御措施

1. 检测指标

文件特征：
- SearchIndexerService.exe和NetworkService.exe进程
- DreamApslop.dll等异常DLL
- plugin目录下的异常文件
行为特征：
- 异常修改TCP表项行为
- 大量系统信息收集行为
- 可疑网络通信（特别是与未知服务器的HTTP请求）

2. 防御建议

基础防护：
- 避免打开来历不明的邮件、链接和附件
- 使用杀毒软件扫描未知文件
- 定期进行全盘扫描
高级防护：
- 监控C:\Users\*\AppData\Roaming\Microsoft\Network和C:\Windows\SysWOW64\security路径的异常文件创建
- 拦截异常进程创建行为（特别是带Suspend属性的进程创建）
- 监控异常DLL加载行为
网络防护：
- 拦截与可疑IP的HTTP通信
- 监控异常的数据外传行为

四、应急处置

隔离感染主机
终止恶意进程：
- SearchIndexerService.exe
- NetworkService.exe
删除恶意文件：
- 检查并清理两个释放路径下的文件
- 特别注意plugin目录下的DLL
检查系统配置：
- 检查TCP/IP配置是否被篡改
- 检查启动项和计划任务
更改所有相关密码（特别是无线网络密码）

五、技术总结

该木马通过以下技术特点实现长期驻留和信息窃取：

使用合法签名文件掩护恶意行为
基于开源项目二次开发降低检测率
多阶段加载机制增强隐蔽性
针对安全产品的主动对抗能力
全面的信息收集功能
模块化设计便于功能扩展

安全团队应特别关注类似"合法+恶意"混合型的攻击方式，加强行为检测能力而非单纯依赖特征检测。

APS窃密木马分析与防御指南一、恶意软件概述基本信息：发现时间：2022年8月19日编写语言：C++ 代码特征：套用开源软件ZLMediaKit代码并添加恶意模块感染规模：已感染万余台设备（CNCERT数据）项目来源：疑似来自Gitee私人项目"Aps" 开发者项目路径： D:\Work\Code\gitee\APS\ApsBuild\ 开发特征：采用强链接方式增加兼容性，包含未开发完全的远控功能二、技术分析 1. 对抗手段安全软件进程阻断：通过 SearchIndexerService.exe 清空安全软件进程的TCP表项实现方式：使用 SearchTcpTableForImageName 函数获取TCP表项通过PID查询进程名称设置 dwState 为 0xC 删除TCP表项 2. 运行流程初始阶段：显示正常安装界面执行cmd命令终止系统安全服务文件释放：释放路径1： C:\Users\Sangfor\AppData\Roaming\Microsoft\Network 释放路径2： C:\Windows\SysWOW64\security 包含文件：有数字签名的正常库文件恶意程序： NetworkService.exe 、 SearchIndexerService.exe 关键DLL： DreamApslop.dll ：信息收集、反调试、数据外传 libssl-3.dll 、 libcrypto-3.dll ：加密通信 mk_api.dll ：基于ZLMediaKit开发的恶意模块进程启动：使用释放的 NetworkService.exe 启动进程创建互斥量防止重复运行通过不同命令行参数二次启动 3. 信息收集功能配置文件操作：检查并创建 para.ini 配置文件将接收数据存储到 index.ini DLL加载机制：加载 plugin 目录下所有DLL 调用每个DLL的 Plugin_Create 导出函数加载关键DLL： libcrypto-3.dll 、 sqlite3.dll 、 mk_api.dll 、 libssl-3.dll 收集的信息类型：磁盘序列号（加密后转为base64发送）通过 ipconfig /all 收集网卡信息通过 Process32Next 和 GetNativeSystemInfo 获取系统进程信息通过 whoami 获取当前用户通过 netsh wlan show profiles 获取无线配置 4. 通信行为使用 mk_http_requester_call 函数（攻击者自定义）发送网络请求创建多线程，其中特殊线程会以挂起方式再次运行 NetworkService.exe 数据外传格式示例：三、检测与防御措施 1. 检测指标文件特征： SearchIndexerService.exe 和 NetworkService.exe 进程 DreamApslop.dll 等异常DLL plugin 目录下的异常文件行为特征：异常修改TCP表项行为大量系统信息收集行为可疑网络通信（特别是与未知服务器的HTTP请求） 2. 防御建议基础防护：避免打开来历不明的邮件、链接和附件使用杀毒软件扫描未知文件定期进行全盘扫描高级防护：监控 C:\Users\*\AppData\Roaming\Microsoft\Network 和 C:\Windows\SysWOW64\security 路径的异常文件创建拦截异常进程创建行为（特别是带Suspend属性的进程创建）监控异常DLL加载行为网络防护：拦截与可疑IP的HTTP通信监控异常的数据外传行为四、应急处置隔离感染主机终止恶意进程： SearchIndexerService.exe NetworkService.exe 删除恶意文件：检查并清理两个释放路径下的文件特别注意 plugin 目录下的DLL 检查系统配置：检查TCP/IP配置是否被篡改检查启动项和计划任务更改所有相关密码（特别是无线网络密码）五、技术总结该木马通过以下技术特点实现长期驻留和信息窃取：使用合法签名文件掩护恶意行为基于开源项目二次开发降低检测率多阶段加载机制增强隐蔽性针对安全产品的主动对抗能力全面的信息收集功能模块化设计便于功能扩展安全团队应特别关注类似"合法+恶意"混合型的攻击方式，加强行为检测能力而非单纯依赖特征检测。