技术标签:供应链攻击、恶意安装包、DLL侧载、图片隐写、公共服务C2
恶意代码植入策略:“利用开源第三方库ffmpeg的动态库侧载截至执行流程恶意代码”
FFmpeg仅提供“源代码“形式的分发,所以编译成dll组件是软件商自行编译分发的。
样本
msi安装包
名称: 3CXDesktopApp-18.12.416.msi
大小: 102555648 字节 (97 MiB)
MD5: 0eeb1c0133eb4d571178b2d9d14ce3e9
SHA1: bfecb8ce89a312d2ef4afc64a63847ae11c6f69e
SHA256: 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
dll
名称: d3dcompiler_47.dll
大小: 5168344 字节 (5047 KiB)
MD5: 82187ad3f0c6c225e2fba0c867280cc9
SHA1: 20d554a80d759c50d6537dd7097fed84dd258b3e
SHA256: 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
名称: ffmpeg.dll
大小: 2814976 字节 (2749 KiB)
MD5: 74bc2d0b6680faa1a5a76b27e5479cbc
SHA1: bf939c9c261d27ee7bb92325cc588624fca75429
SHA256: 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
名称: ffmpeg.dll
大小: 2824448 字节 (2758 KiB)
MD5: 27b134af30f4a86f177db2f2555fe01d
SHA1: 188754814b37927badc988b45b7c7f7d6b4c8dd3
SHA256: c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
名称: payload.dll
大小: 1182208 字节 (1154 KiB)
MD5: 7faea2b01796b80d180399040bb69835
SHA1: 3b3e778b647371262120a523eb873c20bb82beaf
SHA256: 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423
3CXDesktopApp-18.12.416.msi
安装
3CXDesktopApp加载ffmpeg.dll
ffmpeg.dll加载后创建名为“AVMonitorRefreshEvent”的Event,若创建失败则结束运行,以此来保证单实例运行:
ffmpeg.dll载入d3dcompiler_47.dll
d3dcompiler_47.dll 是具备正规微软签名 且签名有效
实际上该样本利用了CVE-2013-3900漏洞,在文件末尾添加了一段加密的shellcode
CVE-2013-3900 – 安全更新程序指南 – Microsoft – WinVerifyTrust 签名验证漏洞
检索数据0xfe 0xed 0xfa 0xce:
RC4解密
调用VirtualProtect将shellcode的内存属性设置为可读可写可执行,然后跳到shellcode继续执行
Windows Shellcode学习笔记——通过VirtualProtect绕过DEP – 知乎 (zhihu.com)
获取时间戳,读manifest文件,内容为空就写入当前的时间戳+7天时间,7天后触发。
下载:https://raw.githubusercontent.com/IconStorages/images/main/icon%d.ico
ico 里面每一个ico文件的末尾都附上了一段额外的数据,被base64加密过
开头具有固定的特征$ 识别后解密
AES-GCM
解密后得到的是C&C服务器地址
解密后的地址会继续请求下一阶段的payload
最后阶段payload.dll
读配置文件
从字符串里可以看到它会访问的位置是Chrome、Edge、Brave、Firefox游览器的用户数据的路径
History为基于Chromium开发的浏览器用于记录历史浏览信息的sqlite数据库,places.sqlite文件为FireFox浏览器中所有的书签、下载文件记录、和浏览网页的记录的sqlite数据库。
取500条游览器记录
从以上可知 该dll主要功能是盗取用户游览器信息
发表回复