小心虚假Telegram携带远控木马,个人隐私被窥探! | 您所在的位置:网站首页 › river flowers in you吉他教学 › 小心虚假Telegram携带远控木马,个人隐私被窥探! |
小心虚假Telegram携带远控木马,个人隐私被窥探!
2020-11-10 来源:安全豹作者:安全豹 我要分享 分享微博分享微信分享Qzone 微信扫码分享 近期毒霸安全团队通过“捕风”威胁感知系统捕获一类新的Gh0st远控木马变种,该木马变种通过虚假的Telegram的安装程序从而给用户电脑植入后门。此类远控木马是Gh0st远控木马修改而成,具有较强的隐蔽性,在用户电脑上驻留后会监视屏幕、执行cmd命令和调用插件。调用插件通过C2服务器返回数据进行反射式dll注入加载,不仅实现了插件的多样化,而且更容易绕过杀软的行为检测,对用户危害很大。 除了Telegram的Windows安装程序被植入远控木马外,其网站上所提供的安卓客户端也同样存在被修改的情况,额外的添加了广告模块和上传用户隐私信息模块。广告模块在聊天信息栏的顶部推送轮播广告,严重影响用户观感。App广告模块中会员商城的”卡密套餐”功能模块还提示”电脑端即将上线,敬请期待",推测目前通过钓鱼网站散布的电脑版本尚处于测试阶段。 防护措施: 为了避免被病毒攻击,请做好以下4点防范措施: 尽量不要点击来源不名的可执行文件下载文件尽量到官网和可信任的第三方提高个人安全意识电脑上及时安装金山等杀毒软件,对预警的病毒及时清理1.虚假Telegram安装程序文件信息: 捕获到的两个不同版本的安装程序都是使用NSIS进行打包,使用7-zip(7-zip在9.33的版本加入了自动反编译NSIS脚本的功能,但又在15.06把这个功能拿掉了,所以要注意7-zip版本必须介于这两者之间)解压缩得到安装脚本[NSIS].nsi。 ns.reg中的内容包含base64加密后的payload和base64加密后的C2 在2.1.10版本的安装程序中缺少了远控相关文件,在脚本中发现,文件是通过网络从www.telegramsvip.com下载到本地。两个脚本中共同的行为使用ComputerName替换ns.reg中的123456,并使用regedit.exe进行导入,同时将AddInProcess.exe程序注册服务自启并执行,实现其持久化。 2.1.6版本脚本节选 2.1.10版本脚本节选为提高隐蔽性,上图释放的加载器伪装成微软Microsoft®.NET Framework中的AddInProcess.exe程序。AddInProcess.exe程序将写入注册表中的payload进行解密并加载运行。 payload解密后得到一个名为“反射”的.net程序。反射.exe的Main函数主要功能是对字符串"MTU0LjIyMi4xMDMuNTg6Nzg3OA=="解密,解密后是一C2IP地址:154.222.103.58:7878,之后调用StartWorkThread函数,传入解密后的C2IP 。 StartWorkThread参数对参数进行判断是否为空,为空时,使用备用C2IP,解密字符串"MTg1LjIyNC4xNjguMTMwOjM1NjM="得到备用C2IP地址:"185.224.168.130:3563"。 Program.MainThread函数解析出一个PE文件,并把C2写入PE中并调用导出函数"Launch"。 Program.MainThread解析出的PE文件在ida中的PDB信息为:"D:\source\MyJob\企业远程控制\Release\ServerDll.pdb"。该PE文件是远控Gh0st的变种。 该远控木马在接收和发送TCP数据前会进行简单的位运算进行加解密。 发送数据加密方式: 接收数据解密方式: 该远控木马执行时,客户端会向C2服务器发送以下信息:IP、主机名、操作系统、是否管理员运行、安装杀软信息、CPU信息、运行时长、感染时间、分组和插件信息。 该Gh0st变种木马,调用插件使用了反射式DLL注入技术,从C2服务器返回数据中读取PE数据加载执行,减少文件"落地"被查杀,同时不需要像常规的DLL注入方式那样套路,因此更容易通过杀软的行为检测。 远控木马功能 反射式注入dll 2.虚假Telegram安卓端在移动互联网时代,全球移动操作系统市场中,安卓占据了半壁江山,如此巨大的份额也引来了大量不法分子从事非法活动。钓鱼网站中Telegram的安卓安装包也被添加了广告模块和上传用户隐私的模块。 为了与C2服务器连接的稳定性,会从以下四个域名选取访问速度最快的进行连接。 广告模块主要以注册会员、购买卡密、收取广告费进行盈利。 上传用户信息调用分布在org.telegram.ui.DialogsActivity和org.telegram.ui.LaunchActivity类中: 以下是获取用户隐私数据的具体方式: ①获取隐私聊天记录 在应用界面恢复到DialogsActivity时,从SQLite数据库中获取最后一次上传时间到当前时间的聊天记录,调用uploadSecretMsg上传到服务器。 ②获取位置信息 使用Telegram开源代码中的定位功能,获取定位信息并上传服务器。 ③获取联系人和Tg用户信息 在DialogsActivity创建视图时,创建一个定时任务,每隔60秒执行一次上传uploadContactsBook函数,该函数根据参数控制上传联系人或Tg用户信息。 联系人信息 Tg用户信息④获取公开组信息 在上传隐私聊天记录时,获取聊天的类型,如果是公开组则上传组对应的id和名称 3.关联通过Censys搜索"Telegram中文版",发现IP 45.114.106.2-45.114.106.6为同一内容的钓鱼网站。 目前搜集到的相关钓鱼网站域名如下: telegram-cn.org telegram-vip.com telegramcn.org telegrcn.org telegramsvip.com 由于Telegram没有官方的中文安装包,普通用户通常会使用第三方搜索引擎来查找对应的中文安装程序,该团伙针对这类用户,在谷歌、必应等搜索引擎做了相应的SEO优化,提高其钓鱼网站在相关搜索关键词结果页的排名,甚至还在谷歌中投放相关的广告来给自己网站引流,可谓是煞费苦心。 4.总结目前,钓鱼网站仍在持续运行、更新中,建议广大用户安装金山毒霸杀毒软件保护自己的信息安全。同时提高个人安全意识,下载软件时,尽量到官方网站或正规的第三方下载。 IOCMD5: 5d605a0f6f1bea25b528ef7a258f5304 ffbfe89d3e01dd9fd6f8c7ade96fe51d 49d9e4337da8d3956c752ba8c896a826 7bde93fd52e668e7c7a47f1073784cfe 08e97bf5b77800a2256d26c8fa049d87 fe2d2b11632e465827e9dcac41fae79a 2cba6bd2a7a27d708d6c70b8aeec13c5 签名: OORT inc. Driver Information Technology Co., Ltd. C2: 154.222.103.58:7878 185.224.168.130:3563 1928.ga 1928.gq 1oba.com hamster2018.com telegram-cn.org telegram-vip.com telegramcn.org telegrcn.org telegramsvip.com 上一篇:真与假?戴着面具的盗窃者 |
CopyRight 2018-2019 实验室设备网 版权所有 |