安全中心 > 安全热点分析 > 通过CHM文件传播的Torchwood远控木马分析

通过CHM文件传播的Torchwood远控木马分析

时间:2017年 11月 16日   作者:腾讯反病毒实验室

0x1 概况

CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。

双十一网购期间,腾讯反病毒实验室拦截到大量的恶意CHM格式文件,该批CHM文件伪装成“商户注册资料”、“最新风控通知”等电商相关资料,通过聊天工具,瞄准电商发动定向钓鱼攻击。由于当下正处网购旺季,文件名带有商家普遍关注的行业关键词,加上先入为主的CHM文件“无公害”印象,不少商家往往会放松警惕而打开钓鱼文件。实际上,商家一旦运行该恶意CHM文件,无需其它任何操作,电脑即可触发相关脚本下载和执行远控木马,导致电脑被控制,重要资料及帐号密码被盗取。

 

0x2木马行为分析

 

1. CHM文件

CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图3所示,可以发现CHM文件内部包含一个.html文件。

 

html文件内容如图4所示,里面插入了一个恶意的标签,内容为:

 

其功能是一旦CHM文件被打开,就会执行命令,拉起一个rundll32.exe进程并执行相关脚本,实现下载hxxp://aaJone.com:1111/ccjone/connect.torch脚本文件并执行。其原理详见参考链接。

 

2. connect.torch行为

connect.torch文件的功能是下载http://ccjone.com:1111/ccjone/rat.torch脚本文件并执行,如果下载失败还会将失败信息post到服务器。

 

3. rat.torch行为

rat.torch的功能是拉起一个powershell进程,并执行powershell脚本,脚本经过base64编码,解码后如图6所示。

 

powershell脚本主要实现以下功能:

  

 

 

4. 远控木马

解压后的压缩包内容如图9所示,主要包含了两个白文件,一个黑文件xger.dll和一个数据文件,木马使用白加黑技术躲避检测和查杀。QQApp.exe是个白文件,其功能是启动同目录下的QQ.exe文件,QQ.exe文件也是一个白文件,带有数字签名,该文件运行后会加载xger.dll文件,从而实现白加黑利用。

 

 

  

5. xger.dll行为

xger.dll的功能是读取当前目录下在的gif.txt文件,并进行解密,gif.txt文件是个使用DES加密的数据文件,加密的密钥为Torchwood,解密成功后直接在内存中展开,并调用其Torchwood接口函数开始执行恶意行为。

 

 

 

6. Torchwood.dll行为

解密出来的Torchwood.dll文件是该木马的核心功能文件,其主要功能是连接C&C的9999端口,接受控制端发来的命令并执行相关行为,主要功能包括加载插件、文件管理、进程管理、CMD Shell、截屏、盗取密码等。通过与开源远控gh0st比较,发现命令分发部分代码有50%相似性,推测该木马是在gh0st源码基础上作的修改。

 

 

 

0x3溯源及相关数据附录

近期截获的这批恶意CHM文档具有高度的相似性,但是其C&C服务器较多,初步推测木马开发者可能只有一个,但是使用者众多。通过整理得到以下近期比较活跃的C&C地址,其中部分牧马人很容易定位到。此外我们通过特征搜索,找到了疑似该远控木马的管理端和疑似作者。

 

 

 

 

 

0x4安全建议

不要随意点开陌生文件,切勿因为CHM文件是“无公害”文档工具而掉以轻心,使用腾讯电脑管家可以实时拦截该病毒。

 

参考:

http://wps2015.org/drops/drops/JavaScript后门深层分析.html

相关热点分析