分发FlawedAmmyy木马的钓鱼样本分析
字数 1652 2025-08-18 11:38:52

FlawedAmmyy木马分析与防护指南

1. FlawedAmmyy木马概述

FlawedAmmyy是一种基于合法远程控制软件Ammyy Admin源代码开发的远程访问木马(RAT),主要针对全球金融机构进行攻击。

1.1 背景信息

  • 起源:源于Ammyy Admin软件的源代码泄露后被恶意修改
  • 传播方式:主要通过垃圾邮件传播
  • 主要传播者:黑客组织TA505
  • 主要目标:全球金融机构

2. 攻击流程分析

2.1 初始感染阶段

  1. 钓鱼邮件传播

    • 攻击者发送含有恶意宏代码的Microsoft文档作为邮件附件
    • 文档诱使受害者启用宏功能

  2. 宏代码执行

    • 宏代码从http://109.94.209.91/12340.txt下载文件
    • 下载的文件经解密后得到恶意样本real3d.dll

2.2 恶意下载器行为

  1. 加载方式

    • 使用rundll32.exe加载恶意DLL
    • 该DLL具有有效的数字签名,可规避部分沙箱检测

  2. 系统准备

    • 加载系统DLL(包括urlmon.dllws2_32.dll,暗示网络通信)
    • 获取操作系统语言信息
    • 在C盘根目录创建temp文件夹

  3. 网络通信

    • 连接IP 109.94.209.91
    • 使用GET方法访问URL 109.94.209.91/1.b

  4. 文件操作

    • C:\temp下创建temp.tmp文件
    • 将从服务端接收的加密数据写入该文件
    • 读取文件内容到内存后删除自身

  5. 解密与释放

    • 解密内存中的内容得到PE文件(FlawedAmmyy木马)
    • C:\temp下创建dllhots.exe文件并写入解密数据

  6. 持久化机制

    • 调用taskschd.dll创建计划任务:
      • 任务名:"Microsoft Window Center"
      • 触发条件:root用户登录时运行dllhots.exe
    • 调用mstask.dll创建计划任务:
      • 任务名:"Microsoft System Protect"
      • 触发条件:任意用户登录时运行dllhots.exe
    • 最后启动木马进程并退出自身

2.3 FlawedAmmyy木马功能

  1. 初始行为

    • 创建互斥体确保单实例运行
    • 创建新线程用于C&C通信

  2. C&C通信

    • 连接控制端IP 45.84.0.82
    • 发送初始数据建立通信
    • 验证受害机可控状态

  3. 信息收集

    • 操作系统信息
    • 当前权限
    • 用户名
    • 计算机名
    • 杀毒软件信息
    • 样本创建时间
    • 智能卡插入状态
    • 将所有信息拼接后发送给控制端

  4. 执行指令

    • 发送系统信息
    • 加载资源文件获取用户凭证
    • 权限提升
    • 获取桌面状态
    • 获取键盘状态
    • 获取鼠标状态
    • 获取剪贴板状态
    • 文件操作(查看、创建、移动、删除、发送、写入等)

3. 威胁指标(IOCs)

3.1 MD5哈希

  • 60961cd1c6465f10a1eac2a256cc2340
  • 2ea2546bb594240f2cdda42b46aac476
  • d758bcc537366ad4d5677218039c2fe1
  • 56b6f59dbd292e975bb709777d93db90

3.2 C&C服务器

  • http://109.94.209.91/12340.txt
  • http://109.94.209.91/1.b
  • 控制端IP: 45.84.0.82

4. 防护措施

4.1 用户防护建议

  1. 不要轻易执行来历不明文档中的宏代码
  2. 不要下载可疑邮件中的附件
  3. 及时更新病毒库查杀恶意软件

4.2 企业防护建议

  1. 使用"铁穹高级持续性威胁系统"(东巽科技产品):
    • 结合流量检测与沙箱分析功能
    • 检测主机内潜在威胁行为

5. 分析工具与环境

5.1 分析环境

  • Windows 7 32位系统

5.2 分析工具

  • Ollydbg
  • IDA Pro

6. 参考链接

本教学文档详细分析了FlawedAmmyy木马的传播方式、行为特征和防护措施,可作为安全研究人员和IT管理员防范此类威胁的参考指南。

FlawedAmmyy木马分析与防护指南 1. FlawedAmmyy木马概述 FlawedAmmyy是一种基于合法远程控制软件Ammyy Admin源代码开发的远程访问木马(RAT),主要针对全球金融机构进行攻击。 1.1 背景信息 起源:源于Ammyy Admin软件的源代码泄露后被恶意修改 传播方式:主要通过垃圾邮件传播 主要传播者:黑客组织TA505 主要目标:全球金融机构 2. 攻击流程分析 2.1 初始感染阶段 钓鱼邮件传播 : 攻击者发送含有恶意宏代码的Microsoft文档作为邮件附件 文档诱使受害者启用宏功能 宏代码执行 : 宏代码从 http://109.94.209.91/12340.txt 下载文件 下载的文件经解密后得到恶意样本 real3d.dll 2.2 恶意下载器行为 加载方式 : 使用 rundll32.exe 加载恶意DLL 该DLL具有有效的数字签名,可规避部分沙箱检测 系统准备 : 加载系统DLL(包括 urlmon.dll 和 ws2_32.dll ,暗示网络通信) 获取操作系统语言信息 在C盘根目录创建temp文件夹 网络通信 : 连接IP 109.94.209.91 使用GET方法访问URL 109.94.209.91/1.b 文件操作 : 在 C:\temp 下创建 temp.tmp 文件 将从服务端接收的加密数据写入该文件 读取文件内容到内存后删除自身 解密与释放 : 解密内存中的内容得到PE文件(FlawedAmmyy木马) 在 C:\temp 下创建 dllhots.exe 文件并写入解密数据 持久化机制 : 调用 taskschd.dll 创建计划任务: 任务名:"Microsoft Window Center" 触发条件:root用户登录时运行 dllhots.exe 调用 mstask.dll 创建计划任务: 任务名:"Microsoft System Protect" 触发条件:任意用户登录时运行 dllhots.exe 最后启动木马进程并退出自身 2.3 FlawedAmmyy木马功能 初始行为 : 创建互斥体确保单实例运行 创建新线程用于C&C通信 C&C通信 : 连接控制端IP 45.84.0.82 发送初始数据建立通信 验证受害机可控状态 信息收集 : 操作系统信息 当前权限 用户名 计算机名 杀毒软件信息 样本创建时间 智能卡插入状态 将所有信息拼接后发送给控制端 执行指令 : 发送系统信息 加载资源文件获取用户凭证 权限提升 获取桌面状态 获取键盘状态 获取鼠标状态 获取剪贴板状态 文件操作(查看、创建、移动、删除、发送、写入等) 3. 威胁指标(IOCs) 3.1 MD5哈希 60961cd1c6465f10a1eac2a256cc2340 2ea2546bb594240f2cdda42b46aac476 d758bcc537366ad4d5677218039c2fe1 56b6f59dbd292e975bb709777d93db90 3.2 C&C服务器 http://109.94.209.91/12340.txt http://109.94.209.91/1.b 控制端IP: 45.84.0.82 4. 防护措施 4.1 用户防护建议 不要轻易执行来历不明文档中的宏代码 不要下载可疑邮件中的附件 及时更新病毒库查杀恶意软件 4.2 企业防护建议 使用"铁穹高级持续性威胁系统"(东巽科技产品): 结合流量检测与沙箱分析功能 检测主机内潜在威胁行为 5. 分析工具与环境 5.1 分析环境 Windows 7 32位系统 5.2 分析工具 Ollydbg IDA Pro 6. 参考链接 NJCCIC FlawedAmmyy威胁简介 本教学文档详细分析了FlawedAmmyy木马的传播方式、行为特征和防护措施,可作为安全研究人员和IT管理员防范此类威胁的参考指南。