一、背景

近期捕獲到一組后門(mén)病毒樣本，使用pyinstaller打包，如下圖所示：

樣本使用pyinstaller打包，解包后內(nèi)部核心功能編譯成app.cp38-win32.pyd，使用 UPX 壓縮殼打包，如下圖所示：

經(jīng)過(guò)分析研判，確認(rèn)樣本與鷹眼威脅情報(bào)中心金山毒霸安全團(tuán)隊(duì)于 2023 年 8 月 7 日發(fā)布的分析報(bào)告《黑產(chǎn)團(tuán)伙利用SEM渠道投放CS遠(yuǎn)控木馬》（https://mp.weixin.qq.com/s/xjDRBTLRPFbpwaRlQY7RdA）所屬組織同源。

二、詳細(xì)分析

以樣本 fw1.exe 為例，我們粗略觀察到樣本存在以下行為：

1. 將自身復(fù)制到 AppData\Roaming\CleverSoar 目錄內(nèi)，并將其命名為 cleversoar.exe

2. 在 AppData\Roaming\CleverSoar 目錄內(nèi)釋放 drv-loader.exe(驅(qū)動(dòng)加載器) 與 kavservice.bin(驅(qū)動(dòng)程序)，由drv-loader.exe加載kavservice.bin

3. 樣本運(yùn)行后會(huì)對(duì)防病毒軟件、任務(wù)管理器、注冊(cè)表編輯器進(jìn)行對(duì)抗（強(qiáng)制結(jié)束指定進(jìn)程）

部分行為，如下圖所示：

由于本次樣本的 app.cp38-win32.pyd 使用標(biāo)準(zhǔn) UPX 壓縮殼打包，而不是先前的 VMProject Themida 等強(qiáng)殼，我們可以對(duì)其使用 UPX 官方的脫殼程序進(jìn)行標(biāo)準(zhǔn)脫殼處理，如下圖所示：

我們將脫殼后的程序使用 WinHex 打開(kāi)，可以發(fā)現(xiàn)樣本會(huì)先將drv-loader.exe與kavservice.bin復(fù)制到同目錄下，確認(rèn)了上述行為，如下圖所示：

通過(guò)單獨(dú)運(yùn)行 drv-loader.exe，我們可以發(fā)現(xiàn)，drv-loader.exe 執(zhí)行的行為就是將自身目錄+"\kavservice.bin"組成的字符串寫(xiě)入注冊(cè)表服務(wù)/驅(qū)動(dòng)加載項(xiàng)kavService\ImagePath當(dāng)中實(shí)現(xiàn)驅(qū)動(dòng)加載，如下圖所示：

如此一來(lái)，樣本將drv-loader.exe與kavservice.bin復(fù)制到同目錄下，也就不難理解了。

通過(guò)查看驅(qū)動(dòng)文件 kavservice.bin 的簽名，確認(rèn)其具有有效數(shù)字簽名："CleverSoar Electronic Technology Co., Ltd."，與鷹眼威脅情報(bào)中心金山毒霸安全團(tuán)隊(duì)發(fā)現(xiàn)樣本的有效數(shù)字簽名一致，如下圖所示：

繼續(xù)查看 WinHex，可以發(fā)現(xiàn)多個(gè)“killEdr” “check_edr_processes” “is360TrayProcessAlive” “kill360SafeMonClass”等字符串，如下圖所示：

往下翻之后能看到樣本針對(duì)的防病毒軟件的一些信息，包含“qqpc” “zhudongfangyu” “avp”(卡巴斯基) “360” “hips” “anti malware” “anti - malware” “antimalware” “anti virus” “anti-virus”?“avast” “tray” “crowdstrike” “defender” 等多種防病毒軟件相關(guān)字符串，如下圖所示：

繼續(xù)往下翻之后，還能夠看到樣本針對(duì)任務(wù)管理器、注冊(cè)表編輯器，如下圖所示：

我們將樣本動(dòng)態(tài)運(yùn)行后搜索內(nèi)存數(shù)據(jù)，以關(guān)鍵字“tray”和“avast”為例，又可以發(fā)現(xiàn)樣本針對(duì)的防病毒軟件進(jìn)程的一些信息，如下圖所示：

有趣的是，當(dāng)搜索關(guān)鍵字“360”后，樣本出現(xiàn)了“[-] 檢測(cè)到360托盤(pán)程序,正在嘗試殺死” “[-] 無(wú)法殺死360托盤(pán)程序,該文件可能被上報(bào),放棄中...” “[+] 成功殺死360托盤(pán)程序,轉(zhuǎn)移并安裝中” 等字符串，如下圖所示：

于是根據(jù)通過(guò) “[-]” “[+]” 分別作為搜索字符串，又得到了以下結(jié)果：

同時(shí)我們發(fā)現(xiàn)樣本會(huì)在注冊(cè)表HKCU Run項(xiàng)內(nèi)添加自啟動(dòng)項(xiàng)，并且樣本啟動(dòng)后便會(huì)第一時(shí)間加載驅(qū)動(dòng)并阻止特定進(jìn)程啟動(dòng)，如下圖所示：

我們又發(fā)現(xiàn)樣本啟動(dòng)后存在嘗試外鏈行為，如下圖所示：

于是對(duì)樣本部分內(nèi)存模塊數(shù)據(jù)進(jìn)行提取，在提取的兩份字符串和dump中，均發(fā)現(xiàn)了檢測(cè)ServUDaemon.exe、檢測(cè)防病毒軟件與防火墻、疑似剪切板記錄、疑似獲取 QQ 號(hào)、疑似鍵盤(pán)記錄、連接C2（fw1[.]youjucan[.]com，該C2與鷹眼威脅情報(bào)中心金山毒霸安全團(tuán)隊(duì)分析的樣本同屬 *[.]youjucan[.]com 下），并發(fā)現(xiàn)了 “發(fā)現(xiàn)S-U” “在爆破” “在掃1433” “在抓雞” 等字符串，符合后門(mén)病毒特征，部分字符串如下圖所示：

三、可能的同源性

以鷹眼威脅情報(bào)中心金山毒霸安全團(tuán)隊(duì)于 2023 年 8 月 7 日分析的樣本為例，C2 為 xy1[.]youjucan[.]com，通過(guò)威脅情報(bào)平臺(tái)的查詢可以發(fā)現(xiàn) 2023 年 8 月 8 日該域名的解析指向 IP 143.92.53.167

同為 *[.]youjucan[.]com 的 sbdx2[.]youjucan[.]com 在 2023 年 8 月 14 日的解析指向 IP 38.55.185.94

對(duì) IP 38.55.185.94 進(jìn)行威脅情報(bào)查詢，發(fā)現(xiàn)一個(gè)樣本的pdb路徑為“C:\Users\谷墮\Desktop\2022遠(yuǎn)程管理gfi\cangku\WinOsClientProject\Release-exe\上線模塊.pdb”；另一個(gè)通信樣本的pdb路徑為“D:\劫持文件\shellcode過(guò)火絨測(cè)試\Release\shellcode過(guò)火絨測(cè)試.pdb”

同時(shí)對(duì) IP 143.92.53.167 進(jìn)行威脅情報(bào)查詢后，發(fā)現(xiàn)多個(gè) CobaltStrike 木馬與其通信外，也發(fā)現(xiàn)了多個(gè)使用 pyinstaller 的惡意軟件與其通信

四、Ioc

本文分析樣本 (SHA-256)：

fw1.exe d6dd58ef702737a3311ea62e11360072a1b5fa160d155f18392ae7d40a6f9848

drv-loader.exe ec9bcdd47b193031b4f1c7cc7365dd1bbc2ee96054f87e1d19d836d37970e076

kavservice.bin e055fdfb914e3da936eb7745acb665f50346df9abac597cf43d487262a6a12d5

app.cp38-win32.pyd 92dcbc0560ae173e4152613874ffea7b1b87fcab7f1bcd17e1b5384ca2643de4

與本文同批次行為相同樣本 (SHA-256)：

0b5c981a40e4ab59eb387570c2833934bbf4946b7a7c423bb311ce636c983f92

646a58e0047eedce5712a03e9509a41469f77053e2f85b97f0c7ada51af4b0f6

9850b0e361c9fe6ce302cc49bec17953f3a2a47d5051bfad294e56491382899a

b2eed5c10ba1adf77e246517de0b639b4fbf9c8e82e6dd99a7165dffe0fe28e1

e757ea36cd65ab057e8f5aed78f1894a139168b8e831be2679c39745c579529b