一个木马,三方印记:中国数字签名×俄罗斯邮箱×乌克兰上传
字数 2320 2025-12-04 12:19:42

恶意软件分析教学:三方印记木马技术剖析

一、样本基本信息分析

1.1 文件属性

  • 文件名:Gyepatit_s_rf_srb_Khomenko_Viktoriya_Mikolaivna_1978_08_21.scr
  • 文件大小:18071544 字节
  • MD5:149D2014BA1A86F18103A3B05B63B3AE
  • SHA1:13B767C38CAAC62580AC9FF61BC7A76B5F76A861
  • 修改时间:2025年11月27日 03:51:58

1.2 文件名分析

文件名结构分解:

  • Gyepatit_s_rf_srb:疑似伪造的护照或身份证件标识
  • Khomenko_Viktoriya_Mikolaivna:乌克兰式姓名(姓氏+名字+父名)
  • 1978_08_21:出生日期
  • .scr:屏幕保护程序扩展名(实际为可执行文件)

1.3 数字签名分析

  • 签名机构:Xingtai Yali Intelligent Technology Co., Ltd.
  • 公司中文名:邢台鸭梨智能科技有限公司
  • 地理位置:河北邢台
  • 分析意义:恶意软件使用合法数字签名绕过安全检测

二、技术架构分析

2.1 打包方式

  • 打包工具:PyInstaller
  • 分析工具:pyinstxtractor-ng、pylingual
  • 反编译结果:成功提取Python源代码

2.2 模块结构

recast.py(主入口)
├── recast2.py(PDF释放模块)
└── recast1.py(远控木马释放模块)

三、技术实现细节

3.1 recast.py(主入口模块)

  • 文件大小:13MB(内含大量加密数据)
  • 主要功能
    • 加载recast2.spok():释放迷惑性PDF文件
    • 加载recast1.Fraid():释放并加载远控木马

3.2 recast2.py(PDF释放模块)

3.2.1 工程目录创建

# 在%APPDATA%下创建随机目录
目录名随机生成固定长度15字符
路径示例C:\Users\[用户名]\AppData\Roaming\[15位随机字符串]\

3.2.2 PDF获取机制

优先级1:网络下载

  • 目标地址:185.238.169.125:2834
  • 数据结构:文件长度(4字节) + PDF文件内容
  • IP归属:荷兰

优先级2:本地解密

# 解密函数调用
CESNA_B12(dle4(pdf_bin), 673, 211, 111, 251)

# 解密密钥
密钥1673
密钥2211  
密钥3111
密钥4251

3.3 recast1.py(远控木马模块)

3.3.1 Dropbox通信机制

三层请求结构

  1. ansc请求(获取解密密钥)

    • URL:https://www.dropbox.com/scl/fi/e2ntcun02w52n60mgpgyj?rlkey=brxetilryxroq7o8vpn0rl0e1&st=vuh8flga&dl=0
    • 返回:659,337,97,253

  2. ansb请求(获取解密密钥)

    • URL:https://www.dropbox.com/scl/fi/76shi2tyw2v1suuzd3szg?rlkey=r25objrkxygzu1cwq3ds6im1a&st=3x7k2mq6&dl=0
    • 返回:AuRjiuT7KyV

  3. ansa请求(获取解压密码)

    • URL:https://www.dropbox.com/scl/fi/cbdcy5f18uoptqn86bs97?rlkey=atmfduorc3et8y94ozn6l7sis&st=k2ayqw10&dl=0
    • 返回:129X5w3VdNK

3.3.2 数据解密流程

# 使用外联获取的密钥解密
解密密钥 = ansc返回结果659,337,97,253
解密函数CESNA_B12(加密数据, 659, 337, 97, 253)

3.3.3 文件解压

  • 解压密码:ansa请求返回结果(129X5w3VdNK)
  • 输出路径:recast2创建的随机工程目录

3.4 backuper模块(远控安装)

3.4.1 配置参数传递

参数列表
[
    '', 
    '-silent', 
    'user=p6835@yandex.ru',        # Yandex邮箱(俄罗斯)
    'password=daV0p26pAHOAxoA',    # 安装密码
    'name=urqi9K96rw7yt6y',        # 设备标识
    'logpath=C:\Check.log'         # 日志路径
]

3.4.2 DWService工具分析

  • 性质:开源远程访问软件
  • 控制方式:基于www.dwservice.net的浏览器远程控制
  • 静默安装参数
    • -silent:静默模式
    • user:账户用户名(非登录凭证)
    • password:安装密码(非账号密码)

四、技术对比分析

4.1 样本与官方dwagent.exe对比

文件结构对比

样本文件 官方文件 差异分析
精简文件列表 完整文件结构 样本可能经过定制化修改

启动代码对比

  • 样本启动:特定参数配置
  • 官方启动:标准启动流程
  • 关键发现:样本使用合法的DWService工具实现恶意功能

五、攻击链重构

5.1 完整攻击流程

  1. 诱饵阶段:伪装成乌克兰证件扫描文件(.scr)
  2. 环境准备:创建随机目录,释放迷惑性PDF
  3. 密钥获取:通过Dropbox请求获取解密密钥
  4. 负载释放:解密并解压远控木马文件
  5. 持久化:安装DWService实现远程控制
  6. 通信建立:通过dwservice.net平台进行远程控制

5.2 三方印记特征

  1. 中国印记:邢台鸭梨智能科技有限公司数字签名
  2. 俄罗斯印记:Yandex邮箱(p6835@yandex.ru)
  3. 乌克兰印记:样本上传地、文件名伪装

六、防御检测建议

6.1 IOCs(失陷指标)

文件HASH:
- SCR文件:149D2014BA1A86F18103A3B05B63B3AE
- PDF文件:C54CC7B8A7BE5D3AF09E9ADA5764FA4E
- 压缩包:7C540F2AC9733F810B286875CB74D75C

网络IOC:
- 185.238.169.125:2834(荷兰)
- www.dropbox.com(特定URL模式)
- www.dwservice.net

6.2 检测规则

  1. 行为检测:大量Python脚本释放可执行文件
  2. 网络检测:异常Dropbox API请求模式
  3. 文件检测:带有合法签名的异常大尺寸Python打包文件

6.3 防护措施

  1. 签名验证:加强对合法数字签名的异常使用检测
  2. 脚本监控:监控PyInstaller打包程序的异常行为
  3. 网络过滤:检测异常的云存储服务通信模式

七、技术总结

本案例展示了现代恶意软件的复杂特征:

  • 使用多国基础设施混淆溯源
  • 利用合法工具实现恶意功能
  • 采用分阶段加载机制规避检测
  • 通过云服务动态获取关键配置

这种"合法工具滥用+供应链污染"的组合手法,对传统安全检测方案提出了新的挑战。

恶意软件分析教学:三方印记木马技术剖析 一、样本基本信息分析 1.1 文件属性 文件名 :Gyepatit_ s_ rf_ srb_ Khomenko_ Viktoriya_ Mikolaivna_ 1978_ 08_ 21.scr 文件大小 :18071544 字节 MD5 :149D2014BA1A86F18103A3B05B63B3AE SHA1 :13B767C38CAAC62580AC9FF61BC7A76B5F76A861 修改时间 :2025年11月27日 03:51:58 1.2 文件名分析 文件名结构分解: Gyepatit_s_rf_srb :疑似伪造的护照或身份证件标识 Khomenko_Viktoriya_Mikolaivna :乌克兰式姓名(姓氏+名字+父名) 1978_08_21 :出生日期 .scr :屏幕保护程序扩展名(实际为可执行文件) 1.3 数字签名分析 签名机构 :Xingtai Yali Intelligent Technology Co., Ltd. 公司中文名 :邢台鸭梨智能科技有限公司 地理位置 :河北邢台 分析意义 :恶意软件使用合法数字签名绕过安全检测 二、技术架构分析 2.1 打包方式 打包工具 :PyInstaller 分析工具 :pyinstxtractor-ng、pylingual 反编译结果 :成功提取Python源代码 2.2 模块结构 三、技术实现细节 3.1 recast.py(主入口模块) 文件大小 :13MB(内含大量加密数据) 主要功能 : 加载recast2.spok():释放迷惑性PDF文件 加载recast1.Fraid():释放并加载远控木马 3.2 recast2.py(PDF释放模块) 3.2.1 工程目录创建 3.2.2 PDF获取机制 优先级1:网络下载 目标地址 :185.238.169.125:2834 数据结构 :文件长度(4字节) + PDF文件内容 IP归属 :荷兰 优先级2:本地解密 3.3 recast1.py(远控木马模块) 3.3.1 Dropbox通信机制 三层请求结构 : ansc请求 (获取解密密钥) URL: https://www.dropbox.com/scl/fi/e2ntcun02w52n60mgpgyj?rlkey=brxetilryxroq7o8vpn0rl0e1&st=vuh8flga&dl=0 返回: 659,337,97,253 ansb请求 (获取解密密钥) URL: https://www.dropbox.com/scl/fi/76shi2tyw2v1suuzd3szg?rlkey=r25objrkxygzu1cwq3ds6im1a&st=3x7k2mq6&dl=0 返回: AuRjiuT7KyV ansa请求 (获取解压密码) URL: https://www.dropbox.com/scl/fi/cbdcy5f18uoptqn86bs97?rlkey=atmfduorc3et8y94ozn6l7sis&st=k2ayqw10&dl=0 返回: 129X5w3VdNK 3.3.2 数据解密流程 3.3.3 文件解压 解压密码 :ansa请求返回结果(129X5w3VdNK) 输出路径 :recast2创建的随机工程目录 3.4 backuper模块(远控安装) 3.4.1 配置参数传递 3.4.2 DWService工具分析 性质 :开源远程访问软件 控制方式 :基于www.dwservice.net的浏览器远程控制 静默安装参数 : -silent :静默模式 user :账户用户名(非登录凭证) password :安装密码(非账号密码) 四、技术对比分析 4.1 样本与官方dwagent.exe对比 文件结构对比 | 样本文件 | 官方文件 | 差异分析 | |---------|---------|---------| | 精简文件列表 | 完整文件结构 | 样本可能经过定制化修改 | 启动代码对比 样本启动 :特定参数配置 官方启动 :标准启动流程 关键发现 :样本使用合法的DWService工具实现恶意功能 五、攻击链重构 5.1 完整攻击流程 诱饵阶段 :伪装成乌克兰证件扫描文件(.scr) 环境准备 :创建随机目录,释放迷惑性PDF 密钥获取 :通过Dropbox请求获取解密密钥 负载释放 :解密并解压远控木马文件 持久化 :安装DWService实现远程控制 通信建立 :通过dwservice.net平台进行远程控制 5.2 三方印记特征 中国印记 :邢台鸭梨智能科技有限公司数字签名 俄罗斯印记 :Yandex邮箱(p6835@yandex.ru) 乌克兰印记 :样本上传地、文件名伪装 六、防御检测建议 6.1 IOCs(失陷指标) 6.2 检测规则 行为检测 :大量Python脚本释放可执行文件 网络检测 :异常Dropbox API请求模式 文件检测 :带有合法签名的异常大尺寸Python打包文件 6.3 防护措施 签名验证 :加强对合法数字签名的异常使用检测 脚本监控 :监控PyInstaller打包程序的异常行为 网络过滤 :检测异常的云存储服务通信模式 七、技术总结 本案例展示了现代恶意软件的复杂特征: 使用多国基础设施混淆溯源 利用合法工具实现恶意功能 采用分阶段加载机制规避检测 通过云服务动态获取关键配置 这种"合法工具滥用+供应链污染"的组合手法,对传统安全检测方案提出了新的挑战。