小心虚假Telegram携带远控木马,个人凯发被窥探!

2020-11-10 来源:安全豹作者:安全豹

近期凯发安全团队通过“捕风”威胁感知系统捕获一类新的Gh0st远控木马变种,该木马变种通过虚假的Telegram的安装程序从而给用户电脑植入后门。此类远控木马是Gh0st远控木马修改而成,具有较强的隐蔽性,在用户电脑上驻留后会监视屏幕、执行cmd命令和调用插件。调用插件通过C2服务器关注数据进行反射式dll注入加载,不仅实现了插件的多样化,而且更容易绕过杀软的行为检测,对用户危害很大。


除了Telegram的Windows安装程序被植入远控木马外,其网站上所提供的安卓客户端也同样存在被修改的情况,额外的添加了广告模块和上传用户凯发信息模块。广告模块在聊天信息栏的顶部推送轮播广告,严重影响用户观感。App广告模块中会员商城的”卡密套餐”app模块还提示”电脑端即将上线,敬请期待",推测目前通过钓鱼网站散布的电脑版本尚处于测试阶段。


防护措施:

为了避免被凯发攻击,请做好以下4点防范措施:

  1. 尽量不要点击来源不名的可执行文件
  2. 下载文件尽量到官网和可信任的第三方
  3. 提高个人安全意识
  4. 电脑上及时安装金山等官方网站软件,对预警的凯发及时娱乐

Lark20201110-173910

1.虚假Telegram安装程序

文件信息:

Lark20201110-105445


捕获到的两个不同版本的安装程序都是使用NSIS进行打包,使用7-zip(7-zip在9.33的版本加入了自动反编译NSIS脚本的app,但又在15.06把这个app拿掉了,所以要注意7-zip版本必须介于这两者之间)解压缩得到安装脚本[NSIS].nsi。

Lark20201110-105551 image


ns.reg中的内容包含base64加密后的payload和base64加密后的C2

image (1)

image (2)


在2.1.10版本的安装程序中缺少了远控相关文件,在脚本中发现,文件是通过网络从www.telegramsvip.com下载到本地。两个脚本中共同的行为使用ComputerName替换ns.reg中的123456,并使用regedit.exe进行导入,同时将AddInProcess.exe程序注册服务自启并执行,实现其持久化。

 2.1.6版本脚本节选      2.1.10版本脚本节选
image (3)  image (4)


 为提高隐蔽性,上图释放的加载器伪装成微软Microsoft®.NET Framework中的AddInProcess.exe程序。AddInProcess.exe程序将写入注册表中的payload进行解密并加载运行。

image (5)


payload解密后得到一个名为“反射”的.net程序。反射.exe的Main函数主要app是对字符串"MTU0LjIyMi4xMDMuNTg6Nzg3OA=="解密,解密后是一C2IP地址:154.222.103.58:7878,之后调用StartWorkThread函数,传入解密后的C2IP 。 StartWorkThread参数对参数进行判断是否为空,为空时,使用备用C2IP,解密字符串"MTg1LjIyNC4xNjguMTMwOjM1NjM="得到备用C2IP地址:"185.224.168.130:3563"。

image (6)


Program.MainThread函数解析出一个PE文件,并把C2写入PE中并调用导出函数"Launch"。

67b43e29-629f-4d20-98f4-026f21e79535


Program.MainThread解析出的PE文件在ida中的PDB信息为:"D:\source\MyJob\企业远程控制\Release\ServerDll.pdb"。该PE文件是远控Gh0st的变种。 该远控木马在接收和发送TCP数据前会进行简单的位运算进行加解密。

发送数据加密方式:

image (7)


接收数据解密方式:

image (8)


该远控木马执行时,客户端会向C2服务器发送以下信息:IP、主机名、操作系统、是否管理员运行、安装杀软信息、CPU信息、运行时长、感染时间、分组和插件信息。

image (9)


该Gh0st变种木马,调用插件使用了反射式DLL注入技术,从C2服务器关注数据中读取PE数据加载执行,减少文件"落地"被查杀,同时不需要像常规的DLL注入方式那样套路,因此更容易通过杀软的行为检测。

远控木马app   反射式注入dll 
728f0cda-cd45-4dd8-a821-17c037332c5e
image (10)

2.虚假Telegram安卓端

在移动互联网时代,全球移动操作系统市场中,安卓占据了半壁江山,如此巨大的份额也引来了大量不法分子从事非法活动。钓鱼网站中Telegram的安卓安装包也被添加了广告模块和上传用户凯发的模块。

为了与C2服务器连接的稳定性,会从以下四个域名选取访问速度最快的进行连接。

0f84c98b-aa7c-4127-aa60-7da2f25c9327


广告模块主要以注册会员、购买卡密、收取广告费进行盈利。

93186135-8b1d-4707-b2dc-55cd369095c2
image (11) 


上传用户信息调用分布在org.telegram.ui.DialogsActivity和org.telegram.ui.LaunchActivity类中:

image (12)


以下是获取用户凯发数据的具体方式:  

①获取凯发聊天记录

在应用界面手机版到DialogsActivity时,从SQLite数据库中获取最后一次上传时间到当前时间的聊天记录,调用uploadSecretMsg上传到服务器。

image (13)
 image (14)  image (15)


②获取位置信息

使用Telegram开源代码中的定位app,获取定位信息并上传服务器。

image (16)


③获取联系人和Tg用户信息

在DialogsActivity创建视图时,创建一个定时任务,每隔60秒执行一次上传uploadContactsBook函数,该函数根据参数控制上传联系人或Tg用户信息。

image (17)

联系人信息    
   Tg用户信息
9540e63b-efd2-49bd-81dd-b27d34182af9
image (18)


④获取公开组信息 

在上传凯发聊天记录时,获取聊天的类型,如果是公开组则上传组对应的id和名称

image (19)


3.关联

通过Censys搜索"Telegram中文版",发现IP 45.114.106.2-45.114.106.6为同一内容的钓鱼网站。

image (20)


目前搜集到的相关钓鱼网站域名如下:

telegram-cn.org

telegram-vip.com

telegramcn.org

telegrcn.org

telegramsvip.com


由于Telegram没有官方的中文安装包,普通用户通常会使用第三方搜索引擎来查找对应的中文安装程序,该团伙针对这类用户,在谷歌、必应等搜索引擎做了相应的SEO优化,提高其钓鱼网站在相关搜索关键词结果页的排名,甚至还在谷歌中投放相关的广告来给自己网站引流,可谓是煞费苦心。

c7eae84b-9481-42b0-b2bb-a4b1e6f1e5c9
 image (21) 84c383c4-a0b6-4c6e-83d6-f942a70aebeb

4.总结

目前,钓鱼网站仍在持续运行、更新中,建议广大用户安装官方网站官方网站软件保护自己的信息安全。同时提高个人安全意识,下载软件时,尽量到官方网站或正规的第三方下载。


IOC

MD5:

5d605a0f6f1bea25b528ef7a258f5304

ffbfe89d3e01dd9fd6f8c7ade96fe51d

49d9e4337da8d3956c752ba8c896a826

7bde93fd52e668e7c7a47f1073784cfe

08e97bf5b77800a2256d26c8fa049d87

fe2d2b11632e465827e9dcac41fae79a

2cba6bd2a7a27d708d6c70b8aeec13c5


签名:

OORT inc.

Driver Information Technology Co., Ltd.


C2:

154.222.103.58:7878

 185.224.168.130:3563

1928.ga

1928.gq

1oba.com

hamster2018.com

telegram-cn.org

telegram-vip.com

telegramcn.org

telegrcn.org

telegramsvip.com



dafa888bet游戏必威体育app旧版本凯发娱乐凯发官方网站网络mg游戏网站