后门程序正在通过知名搜索引擎广告位传播

概述

近期奇安信病毒响应中心在日常运营过程中，发现我们的AI引擎检出了一个样本：

经过我们溯源，发现此样本通过搜索引擎广告位传播且其入口还有“保障”字样的图标，迷惑性很强。

检索词一CAD看图

检索词二：看图

点击搜索结果第一个跳转进入下载：

下载回来都是个zip压缩包，解压后只有一个cad.exe，我们执行相关程序并没有cad编辑器的窗口，黑窗一闪而过。该样本为Go语言编写，且作者更新较为频繁，因此大部分杀毒软件还无法有效查杀

最终通过进一步技术分析，我们发现此样本并没有cad编辑相关的功能，而是一个鬼鬼祟祟从图床下载有隐写dll和shellcode图片，进而提取shellcode、dll加载执行。经过进一步分析我们确认此样本为彻彻底底的后门程序——搜索引擎推荐的TOP1居然是后门？！

从相关特征，我们还能关联到其他从搜索引擎推荐下载到的后门：

moshushou.exe

pdf.exe

qidianshipin.exe

…

以及一些钓鱼程序：

博易大师软件账户导出名字.exe

通达信账户导出买入盈亏交易记录.exe

同花顺导出交易记录.exe

…

从上述名称分析，我们有理由相信这个团伙近期应该购买了大量搜索引擎关键词（广告位）来传播这类后门程序。

02 文件分析

该程序虽然名字是cad.exe但是并不具备cad相关的功能。该程序会提权对抗安全软件，并从公共图床、网易云课堂非公开图床下载经过LSB隐写的图片，提取shellcode、dll加载执行。

其Shellcode的PDB路径为：

回连(cc根据下载cad.exe其嵌入的网易云课堂图床uri变化也会有动态变化，见后文)然后dll会移动cad.exe到以下目录，加入计划任务持久项。

2.1鬼鬼祟祟提权对抗

点击程序运行后，样本首先会提升自身权限SeDebugPrivilege。

然后遍历进程，和安全厂商对抗：给安全防护软件去掉SeDebugPrivilege权限。

为安全防护软件赋予一些权限用以维持基本功能，如SeChangeNotifyPrivilege，SeBackupPrivilege等：

设置安全防护程序在安全访问令牌完整性等级为低：

2.2偷偷摸摸加载上线模块、注册持久项

我们观察到其通过公共图床：img1.imgtp.com、网易云课堂未公开图床：edu-image.nosdn.127.net分别下载了两张百度的图片，两个资源地址分别为：

看起来没问题，不代表实际没问题，其下回来的两个百度logo图片是经过LSB隐写(github开源项目)的图片，里面分别存放了一段shellcode和一个dll。

其中shellcode是用来加载上线模块，其pdb路径是：

C:\\Users\\谷堕\\Desktop\\2022远程管理gfi\\cangku\\WinOsClientProject\\Release\\上线模块.pdb

而dll是用来创建持久项的，其pdb路径是：

C:\\\\Users\\\\Administrator\\\\Desktop\\\\Tools\\\\计划任务\\\\Release\\\\Shellcode.pdb

Shellcode.pdb,这个名字就比较厉害了，从事安全相关工作的人都知道或了解：通常是让攻击者获得shell的一段code，从而得名shellcode。

相关详细分析如下：

下载LSB 隐写图片提取加载shellcode以加载上线模块回连

资源地址：edu-image.nosdn.127.net /A540DF52245740BB23844E8EAE7DBC44.png

解密并调用该段shellcode。如下图：

该段shellcode会加载上线模块：

C:\\Users\\谷堕\\Desktop\\2022远程管理gfi\\cangku\\WinOsClientProject\\Release\\上线模块.pdb

回连cc: 8.134.105.59:19001 (分析人员发现该cc是动态变化的，隔两天下载cad.exe其嵌入的网易云课堂图床uri会有变化，shellcode里面的cc又变成了47.100.111.143:19001)

下载LSB隐写图片提取加载dll以注册持久项

资源地址：img1.imgtp.com/2023/01/29/ZUyxU1M2.png

图片解密后如下所示：

然后动态加载pe文件，pe文件dump下来信息如下：

Md5：912e48a103dc65ff7036f5518418630b

pdb符号路径：

C:\\\\Users\\\\Administrator\\\\Desktop\\\\Tools\\\\计划任务\\\\Release\\\\Shellcode.pdb

调用该dll导出函数DLL。DLL函数首先进行查找Wins.exe，在找不到的情况下，进入sub_34CE1140()函数创建持久项：

在该函数内，会使用COM对象创建计划任务。CLSID_TaskScheduler {0F87369F-A4E5-4CFC-BD3E-73E6154572DD}

设置计划任务执行路径

保存Task，其中task name为：Windups：

最后，将自身移动到该目录下：

03

防护

通过进一步关联，我们发现更多的和此后门相似样本且这些样本均具备或多或少免杀效果，目前天擎已经支持对这些样本的查杀。

04 总结

我们不能完全信任搜索提供的结果。我们应该养成良好习惯，不随意从网上下载文件执行；我们要有好的安全防范意识，对网上的东西要保持警惕。当需要下载使用某个软件的时候，我们应该从该类型软件中知名厂商官方正规渠道进行下载使用，防止 “裸奔”沦为别人盈利的工具。

05 IOCS

Hash:

719ab2c961b9432cc5e1e16a7c503ae8

2790681f2b6f3aa6d816b12334ec6608

CC:

8.134.105.59:19001

47.100.111.143:19001

声明：本文来自奇安信病毒响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。