揭开新型窃密软件的面纱:伪装成CDR画图应用安装包
字数 1599 2025-08-26 22:11:22

新型窃密软件分析教学文档

恶意文件概述

该新型窃密软件伪装成一款图形编辑软件(CDR画图应用)的安装包,实际运行后会持续窃取用户信息并发送给攻击者服务器。该病毒由C++语言编写,套用了开源软件ZLMediaKit的部分代码并在此基础上开发恶意模块。

技术分析

1. 文件构成

  • 正常文件:包含具有数字签名的正常库文件
  • 恶意文件:没有数字签名但伪装成正常系统文件的exe程序
    • NetworkService.exe
    • SearchIndexerService.exe
  • DLL文件
    • DreamApslop.dll(核心恶意功能)
    • libssl-3.dll、libcrypto-3.dll(加密通信)
    • mk_api.dll(基于ZLMediaKit修改)

2. 安装与运行流程

  1. 初始执行

    • 显示正常安装程序界面(伪装)
    • 执行cmd命令结束系统安全服务
    • 释放大量文件到以下路径:
      • C:\Users\[用户名]\AppData\Roaming\Microsoft\Network
      • C:\Windows\SysWOW64\security

  2. 文件释放

    • 在plugin目录下存放关键DLL文件
    • 使用释放的NetworkService.exe启动进程

3. 恶意行为分析

DreamApslop.dll核心功能

  • 搜集主机信息
  • 反调试技术
  • 向攻击者服务器发送窃取的信息

NetworkService.exe运行流程

  1. 创建互斥量防止重复运行
  2. 检查并创建para.ini配置文件
  3. 拼接字符串调用mk_http_requester_call函数(攻击者自定义)
  4. 创建多个线程,其中一个特殊线程会:
    • 调用CreateProcess再次运行NetworkService.exe(带Suspend属性)
    • 向攻击者服务器发送收集的信息
  5. 发送网络请求并将返回数据存入index.ini
  6. 加载plugin目录下所有DLL并调用导出函数Plugin_Create

4. 信息收集技术

窃密软件会收集以下信息:

  1. 系统信息

    • 磁盘序列号(加密后转为base64发送)
    • 通过GetNativeSystemInfo获取系统信息
    • 通过Process32Next获取运行进程列表

  2. 网络信息

    • 执行ipconfig /all获取所有网卡信息
    • 执行netsh wlan show profiles获取无线网卡配置

  3. 用户信息

    • 执行whoami获取当前登录用户名

5. 通信机制

  1. 使用开源库ZLMediaKit的网络功能
  2. 数据加密使用:
    • libssl-3.dll
    • libcrypto-3.dll
  3. 通信数据包结构(示例): 
    {
  "data": "加密后的base64数据",
  "type": "收集的数据类型标识"
}

检测与防御方案

1. 检测指标

文件特征

  • 检查以下路径的可疑文件:
    • %AppData%\Microsoft\Network\
    • %SystemRoot%\SysWOW64\security\
  • 查找以下进程:
    • NetworkService.exe
    • SearchIndexerService.exe

行为特征

  • 进程尝试结束安全服务
  • 大量网络通信行为
  • 异常的信息收集行为(ipconfig、whoami等命令执行)

2. 防御措施

  1. 预防措施

    • 只从官方渠道下载软件
    • 安装前验证数字签名
    • 保持安全软件更新

  2. 技术防护

    • 部署EDR解决方案监控可疑行为
    • 配置防火墙规则阻止可疑外联
    • 启用应用程序白名单

  3. 应急响应

    • 发现感染立即断网
    • 使用专业工具查杀
    • 重置所有账户密码

溯源分析

  • 疑似基于Gitee上私人项目"Aps"开发
  • 代码中包含部分调试信息
  • 采用强链接方式增加兼容性
  • 使用ZLMediaKit开源库的网络功能

总结

该窃密软件通过高度伪装和利用合法开源组件实现隐蔽的信息窃取,展示了现代恶意软件的复杂性和规避检测的能力。防御此类威胁需要多层防护策略,结合行为检测和网络流量分析等技术。

新型窃密软件分析教学文档 恶意文件概述 该新型窃密软件伪装成一款图形编辑软件(CDR画图应用)的安装包,实际运行后会持续窃取用户信息并发送给攻击者服务器。该病毒由C++语言编写,套用了开源软件ZLMediaKit的部分代码并在此基础上开发恶意模块。 技术分析 1. 文件构成 正常文件 :包含具有数字签名的正常库文件 恶意文件 :没有数字签名但伪装成正常系统文件的exe程序 NetworkService.exe SearchIndexerService.exe DLL文件 : DreamApslop.dll(核心恶意功能) libssl-3.dll、libcrypto-3.dll(加密通信) mk_ api.dll(基于ZLMediaKit修改) 2. 安装与运行流程 初始执行 : 显示正常安装程序界面(伪装) 执行cmd命令结束系统安全服务 释放大量文件到以下路径: C:\Users\[用户名]\AppData\Roaming\Microsoft\Network C:\Windows\SysWOW64\security 文件释放 : 在plugin目录下存放关键DLL文件 使用释放的NetworkService.exe启动进程 3. 恶意行为分析 DreamApslop.dll核心功能 : 搜集主机信息 反调试技术 向攻击者服务器发送窃取的信息 NetworkService.exe运行流程 : 创建互斥量防止重复运行 检查并创建para.ini配置文件 拼接字符串调用mk_ http_ requester_ call函数(攻击者自定义) 创建多个线程,其中一个特殊线程会: 调用CreateProcess再次运行NetworkService.exe(带Suspend属性) 向攻击者服务器发送收集的信息 发送网络请求并将返回数据存入index.ini 加载plugin目录下所有DLL并调用导出函数Plugin_ Create 4. 信息收集技术 窃密软件会收集以下信息: 系统信息 : 磁盘序列号(加密后转为base64发送) 通过GetNativeSystemInfo获取系统信息 通过Process32Next获取运行进程列表 网络信息 : 执行 ipconfig /all 获取所有网卡信息 执行 netsh wlan show profiles 获取无线网卡配置 用户信息 : 执行 whoami 获取当前登录用户名 5. 通信机制 使用开源库ZLMediaKit的网络功能 数据加密使用: libssl-3.dll libcrypto-3.dll 通信数据包结构(示例): 检测与防御方案 1. 检测指标 文件特征 : 检查以下路径的可疑文件: %AppData%\Microsoft\Network\ %SystemRoot%\SysWOW64\security\ 查找以下进程: NetworkService.exe SearchIndexerService.exe 行为特征 : 进程尝试结束安全服务 大量网络通信行为 异常的信息收集行为(ipconfig、whoami等命令执行) 2. 防御措施 预防措施 : 只从官方渠道下载软件 安装前验证数字签名 保持安全软件更新 技术防护 : 部署EDR解决方案监控可疑行为 配置防火墙规则阻止可疑外联 启用应用程序白名单 应急响应 : 发现感染立即断网 使用专业工具查杀 重置所有账户密码 溯源分析 疑似基于Gitee上私人项目"Aps"开发 代码中包含部分调试信息 采用强链接方式增加兼容性 使用ZLMediaKit开源库的网络功能 总结 该窃密软件通过高度伪装和利用合法开源组件实现隐蔽的信息窃取,展示了现代恶意软件的复杂性和规避检测的能力。防御此类威胁需要多层防护策略,结合行为检测和网络流量分析等技术。