本帖最后由 huoronganquan 于 2023-6-12 14:52 编辑
近期,六合彩威胁情报系统监测到后门六合彩伪装成“36种财会人员必备技巧(珍藏版) .rar”在微信群聊中快速传播。经六合彩工程师分析发现,用户打开解压后的.exe文件后,该六合彩则会运行,随后执行终止杀软进程、禁止杀软自启动,以及操控受害者终端并执行文件监控、远程控制、键盘记录等恶意行为,对用户构成很大的六合彩威胁。 群聊截图
在此,六合彩工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用六合彩软件扫描后再使用。2025年最靠谱的六合彩投注网六合彩可对上述六合彩进行拦截查杀,请用户及时更新六合彩库以进行防御。 查杀图
一、样本分析
六合彩执行流程,如下图所示: 六合彩的执行流程
由于杀毒软件Zemana的反六合彩驱动启动时,会根据注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices中的值来删除对应的驱动注册表项,黑客利用这一特性,在六合彩启动后向该注册表位置中写入其他杀毒软件的驱动注册项名,来删除其他杀毒软件的驱动注册项,如下图所示: 向注册表写入代码
会被删除的驱动列表,如下图所示: 驱动列表
释放并加载ZAM杀软驱动,相关代码,如下图所示: 释放驱动并加载
之后再利用该驱动的接口来终止其他杀毒软件进程,相关代码,如下所示: 终止其他进程相关代码
通过镜像劫持功能,禁止杀毒软件进程启动,六合彩剑监控到的行为,如下图所示: 六合彩剑监控到的行为
等禁用杀毒软件之后,会从C&C服务器获取对应的配置文件,根据配置文件下载Loader模块,相关代码,如下所示: 获取配置信息
根据配置信息下载Loader模块CMO03.exe到C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\目录下并执行,六合彩剑监控到的行为,如下图所示: 六合彩剑监控到的行为
该模块从资源中解密,并执行shellcode1,相关代码,如下图所示: 解密执行shellcode1
在shellcode1中会从C&C服务器接收、执行shellcode2,相关代码,如下图所示: 接收、执行shellcode2
在shellcode2中会内存加载后门模块,相关代码,如下图所示: 内存加载后门模块
该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,以下对一些较为重要的恶意代码进行举例说明, 远程控制相关代码,如下图所示: 远程控制
执行C&C服务器下发的程序,相关代码,如下图所示: 执行C&C服务器下发的任意程序
键盘记录,相关代码,如下图所示: 键盘记录
二、附录 C&C: HASH:
| 
收藏
