3 rdp连接_揭开谍中谍的好戏,关键词:HW、RDP漏扫、红蓝对抗

f8a03e99af0491f1f3510c009e90016b.png

腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(腾讯安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏……

一、概述
腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(亦有安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog,如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址,不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏:有人假冒安全研究者煞有介事的编造了一个故事,利用你对安全工具的好奇心,钓你上钩。

86a01a10a3542f6ae04c242db250e6af.png


Blog结尾的工具介绍

75c706354921df65b04089c8d6fadc36.png


这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿,且看下面的技术分析。
二、技术分析
Rdpscan.exe详细分析
工具包解压后如下所示:

134fc88393a3b2e83132ffb6ca62c5b2.png


将下载回来的rdpscan工具,用ida打开,并与github上的开源代码进行比较后发现,在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

95c9b32b592e0d8ff2e1dd5fcfe40fae.png


ssleay32.dll详细分析
该dll中内容为未加密的shellcode,入口点如下所示。

d49a055caf3ffd1640656f809816e7e9.png


主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后,再执行另一段shellcode。

bc5161b2a1045a2de6cd55410a2c8ef5.png


另一段shellcode入口点如下所示

206acc45f3578914ac9810ca4740a7dc.png


Shellcode中调用api的方式全部是下面这种方式

a1da0f9d4692ce0b1e7341c8a901ad84.png


会利用CreateThread创建多个检测线程,用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点,如果存在会退出进程。

b0120420db6ec80967df1f7b8667425c.png


会创建线程利用CreateFile函数检查".Regmon"、".FileMon"、".ProcmonDebugLogger"、".NTICE" 等工具是否存在,检查到后,会利用TerminateProcess结束进程。

65d3004025d9da755845c7c5f092d7db.png


会创建线程检测窗口的classname,窗口类名主要有"ACPUASM"、"AOPOASM" 、"AOPUASM"、"ACPOASM"、"WinDbgFrameClass"

d579535a4864c4d7f89e493271189cdb.png


会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

b7547112bf43f31ee633abd8b91bcdf8.png


会创建线程利用OpenMutex函数来检查wireshark是否存在,用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

acf6e0a9e18958c158edb3cec0a8b3a6.png


在dllmain函数结尾会出现“Poison Ivy C++”的字符串,然后执行其它多个shellcode模块

75344449ef8beaccd8c2de893d118547.png


木马的核心功能都在如下6个shellcode模块中,并且相互调用,几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

6f23b679bb49d8b3a1328181475de463.png


解密后的木马配置项如下所示,木马c2假冒知名安全厂商赛门铁克的域名(http://security.symanteclabs.com,目前已无法访问)。Shellcode还会根据配置项创建svchost.exe进程,并将代码注入其中,然后svchost.exe会访问c2,执行配置的相关功能,通过以上代码及木马配置等信息与参考资料中的对比,可以确信是Poison Ivy Rat(远程控制木马)。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。

dc90a7a1e03f40a9b3c14e2f875e3fbd.png


三、安全建议:1. RDP漏洞固然可怕,请使用官方认证的RDP漏洞检测工具,推荐使用鹅厂安全团队的RDS远程批量漏洞检测工具,下载地址:http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

cb8f482dff79dc9f41aec9be8fb759c5.png


据腾讯御见威胁情报中心监测分析,自上个月Windows远程桌面服务漏洞公开以来,已有部分用户按安全厂商的建议完成漏洞修复,尚未修复漏洞的电脑仍然数量众多,建议尽快修复,避免成为黑灰产控制的肉鸡。相关链接:https://guanjia.qq.com/avast/383/index.html
2. 警惕使用来历不明的工具软件,尤其是与安全相关的,小心跌入精心策划的陷阱;
3. 企业客户可以使用腾讯御点终端安全管理系统,来保护系统免遭病毒木马入侵;
4. 疑似中招的可检测有无异常程序连接下文c2服务器,以及创建名为Test或TestSvc的服务,或使用腾讯御点清除病毒。
IOCs:
Md5:
d0840aeb2642d718f325a07a4b7f6751(rdpscan.exe)
77e929095d57c044f18ab259023c9ea5(RDP检测工具&HW第一天攻击方IP库.zip)
27b0374083f46693df15c0e3fffad070(ssleay32.dll)
C2:

security.symanteclabs.com​security.symanteclabs.com security.symanteclabs.com​security.symanteclabs.com www.symanteclabs.com/hw.html​www.symanteclabs.com


参考资料:

Deep Analysis of New Poison Ivy Variant​www.fortinet.com
ae62224f2b6c5e283806160a9cb1485e.png
https://dhsagarinfo.blogspot.com/free-download-poison-ivy-rat-232-and​dhsagarinfo.blogspot.com

作者:腾讯电脑管家

656141ddc66d2047587ceca87e55cf7b.png
  • 0
    点赞
  • 0
    收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:1024 设计师:我叫白小胖 返回首页
评论

打赏作者

撒旦-cc

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值