近日，天融信天璇實驗室在日常安全運(yùn)營中發(fā)現(xiàn)國外黑客組織Patchwork將BADNEWS遠(yuǎn)控木馬偽裝成PDF的lnk文件進(jìn)行活動。本次發(fā)現(xiàn)的BADNEWS遠(yuǎn)控木馬，不同于之前版本使用HTTP協(xié)議上傳主機(jī)信息和接收遠(yuǎn)控指令，而是采取HTTPS通信，更為隱蔽。

Patchwork，印度知名黑客組織，又稱HangOver、VICEROY TIGER、The Dropping Elephant、摩訶草（APT-C-09），該組織主要針對亞洲國家（地區(qū)）的政府機(jī)構(gòu)、科研教育等領(lǐng)域進(jìn)行網(wǎng)絡(luò)間諜活動，以竊取敏感信息為主。

目前天融信天璇實驗室已分析提取出BADNEWS木馬特征，經(jīng)驗證，天融信下一代防火墻、EDR、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、病毒過濾網(wǎng)關(guān)均可精確檢測該木馬的傳播及活動行為，提供全面的保護(hù)措施，有效阻止危害進(jìn)一步蔓延。

樣本分析

1、該樣本后綴名為.pdf.lnk，實際為lnk文件，雙擊運(yùn)行后會執(zhí)行文件中的PowerShell命令。lnk文件會從shhh2564.b-cdn.net/abc.pdf下載誘餌文件并打開，接著從shhh2564.b-cdn.net/c下載文件到C:\ProgramData\Microsoft\DeviceSync\p，將p文件復(fù)制為同路徑下的OneDrive.exe，并刪除p文件，最后創(chuàng)建計劃任務(wù)每隔1分鐘執(zhí)行OneDrive.exe。

2、OneDrive.exe就是BADNEWS遠(yuǎn)控木馬，使用C++語言編寫，編譯于4月6日。

3、該遠(yuǎn)控運(yùn)行后首先隱藏運(yùn)行窗口。

4、創(chuàng)建互斥體名為“qzex”，保證木馬自身單實例運(yùn)行。

5、使用SetWindowsHookExW注冊鍵盤鉤子，將捕獲到的鍵盤記錄以文本的方式保存在%temp%目錄下的kednfbdnfby.dat文件中。

6、獲取受害主機(jī)的時區(qū)名稱，檢查是否為中國標(biāo)準(zhǔn)時區(qū)。

7、若檢測結(jié)果為中國標(biāo)準(zhǔn)時區(qū)將收集系統(tǒng)信息上傳至服務(wù)器。

① 獲取操作系統(tǒng)版本信息。

②使用正常的Web服務(wù)（myexternalip.com， api.ipify.org，ifconfig.me）獲取主機(jī)IP外網(wǎng)地址。

③將上一步獲取到的外網(wǎng)IP地址在（api.iplocation.net，ipapi.co等）Web服務(wù)中查詢所屬國家的名稱。

④將獲取的信息base64編碼后進(jìn)行AES-128的CBC模式加密，最后將加密后的數(shù)據(jù)再進(jìn)行base64編碼。AES-128加密使用的密鑰為“qgdrbn8kloiuytr3”，IV為“feitrt74673ngbfj”。

⑤具體收集的受害主機(jī)基本信息如下表：

8、接著獲取CreateThread函數(shù)地址，創(chuàng)建3個線程與服務(wù)器通信，上傳主機(jī)信息接收遠(yuǎn)控指令。

①獲取CreateThread函數(shù)地址，創(chuàng)建3個線程。

②C2地址為：charliezard.shop:443，uri為/tagpdjjarzajgt/cooewlzafloumm.php，通信內(nèi)容會使用AES-128加密數(shù)據(jù)。

③線程sub_409900負(fù)責(zé)將收集到的信息使用POST方式發(fā)送給C2，內(nèi)容為收集的系統(tǒng)信息加密數(shù)據(jù)。

④線程sub_4090A0主要接收服務(wù)器下發(fā)的控制指令，執(zhí)行相應(yīng)的操作。

⑤線程sub_409440創(chuàng)建cmd進(jìn)程執(zhí)行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集當(dāng)前用戶名、完整網(wǎng)絡(luò)配置信息、DNS緩存信息、完整系統(tǒng)信息、正在執(zhí)行的進(jìn)程信息后，使用AES-128加密數(shù)據(jù)，添加到endfh參數(shù)發(fā)送到C2。

樣本IOC列表

防護(hù)建議

應(yīng)用軟件下載請通過官方網(wǎng)站獲取，避免通過第三方網(wǎng)站下載，下載文件打開前，提前使用殺毒軟件查殺。

及時關(guān)閉客戶端上不必要的文件共享權(quán)限以及端口。

配置高強(qiáng)度密碼認(rèn)證，建議口令長度為16位及以上，包括大小寫字母、數(shù)字和符號在內(nèi)的組合。避免多個賬戶使用相同口令以及弱口令，并定期更換。

定期對系統(tǒng)展開基線檢查，組織滲透測試及安全加固，并及時更新操作系統(tǒng)、開源軟件、第三方應(yīng)用程序補(bǔ)丁等。

購買天融信下一代防火墻、EDR、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、病毒過濾網(wǎng)關(guān)系統(tǒng)的客戶，可以通過升級僵尸主機(jī)規(guī)則庫、威脅情報庫、病毒特征庫進(jìn)行有效監(jiān)測防護(hù)。

天融信產(chǎn)品防御配置

1、天融信下一代防火墻系統(tǒng)防御配置

1）升級到最新病毒特征庫，配置病毒防護(hù)策略，開啟日志記錄和報警功能；

2）通過訪問控制策略禁用不必要的端口、服務(wù)，縮小資產(chǎn)暴露面，降低傳染風(fēng)險；

3）開啟弱口令防護(hù)、暴力破解防護(hù)功能，可有效降低口令破解風(fēng)險；

4）開啟聯(lián)動功能，獲取天融信EDR系統(tǒng)、病毒過濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)等產(chǎn)品檢測結(jié)果，及時攔截傳播/感染源，控制網(wǎng)絡(luò)傳播范圍；

5）開啟資產(chǎn)防護(hù)功能，啟用資產(chǎn)行為基線功能，通過檢測資產(chǎn)異常行為，可及時發(fā)現(xiàn)隱藏攻擊行為并啟用策略進(jìn)行阻斷。

2、天融信EDR系統(tǒng)防御配置

1）開啟病毒實時監(jiān)控功能，有效預(yù)防和查殺該病毒；

2）通過微隔離策略加強(qiáng)訪問控制，降低橫向感染風(fēng)險；

3）創(chuàng)建周期掃描任務(wù)，定時對主機(jī)進(jìn)行全面清理，消除安全隱患。

3、天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)配置

1）升級最新僵尸主機(jī)規(guī)則庫，配置僵尸主機(jī)策略，實時檢測木馬的異常通信；

2）升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網(wǎng)絡(luò)中傳播的木馬；

3）開啟僵尸主機(jī)、威脅情報日志記錄和告警功能；

4）可配置旁路阻斷或者天融信防火墻聯(lián)動，攔截木馬的異常通信和網(wǎng)絡(luò)傳播。

4、天融信入侵防御系統(tǒng)配置

1）升級最新僵尸主機(jī)規(guī)則庫，配置僵尸主機(jī)策略，實時檢測、攔截木馬的異常通信；

2）升級最新威脅情報庫，開啟威脅情報惡意文件阻斷和捕獲功能，實時檢測、攔截及捕獲網(wǎng)絡(luò)中傳播的木馬；

3）開啟僵尸主機(jī)、威脅情報日志記錄和告警功能。

5、天融信病毒過濾網(wǎng)關(guān)防御配置

1）升級到最新病毒特征庫；

2）導(dǎo)入HTTPS證書；

3）開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測；

4）配置病毒檢測處置策略；

5）開啟日志記錄和報警功能。

天融信產(chǎn)品獲取方式

天融信下一代防火墻、病毒過濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等產(chǎn)品特征庫下載地址: ftp://ftp.topsec.com.cn

天融信EDR企業(yè)版試用：天融信全國各分支機(jī)構(gòu)獲取（查詢網(wǎng)址：

http://www.jinri-gushi.com/contact/）

天融信EDR單機(jī)版下載地址：http://edr.topsec.com.cn