远控服务器 后门连接 求分析
某远控下载器发现珑凌网络有效数字签名
匿名用户 2019-09-14 22:04:58 1485人浏览

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

事情是这样的:

几周前在魔盾考古的时候发现了这个玩意儿,当时的文件名好像是“菲律宾菠菜人员名单曝光,看看有没有你.exe”

][KY0RCXBDK}NKS[POH3O(3.pngP04~D{KVM6~_}WD][K[]9KD.png

病毒运行后会在C盘的Windows目录释放名为Nqlztyy.exe的可执行程序(不,文件名并不随机)并以这个文件名创建一个服务

(97KL%{5X)3T5QXPVKUD)79.png

EWQW}O_%5LBZ3CF5X`GTS{6.png

但奇怪的是这两个数字证书已经过期两年仍然有效

也许...程序数字证书的有效判定和SSL不一样

Hmmmmmm

当时捕获到这个样本时它会与IP45[.]137[.]16[.]39建立TCP连接并保持ESTABLISHED状态

但现在没有,一直处在和服务器建立连接的状态

QQ截图20190914214825.png

样本向服务器通讯的端口4433已关闭

然后就把这个IP拉到微步的数据监控了

最近开学 也没时间看数据 现在中秋放假才发现我晚了一步

QQ截图20190914215050.png

8月29号 微步开源情报放出Farfli后门下载器的信息 但是后门我已经无法捕获

和这个IP通讯的样本在微步也有捕获

该样本还释放了LONLIFEDLl.dll,因技术垃圾未做分析

qwq

话说珑凌的玲珑网络加速器的商标注册信息里还有殡仪的功能?

最近珑凌也不大行 官方贴吧里有好多人抱怨连不上服务器

但是这也不一定说明一定是珑凌搞的东西,还是那句话奥

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

【虽带有珑凌网络有效数字签名,但不排除证书被盗的可能性】

IOC中的文件Hash为微步捕获样本

样本中的1.exe来自魔盾

微步不能上传多个样本🐎

----------

20190914-2247补充

不,文件名随机的

将程序筛入火绒剑网络监控发现程序尝试与C2(?)服务器4433端口握手但是失败(并没有建立连接)

除此之外无其它网络行为

另外服务器反查域名hxxp://shaobing2024.cn/出现Farfli木马下载器情报 但是...无法访问

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
ldfwindows 2019-09-19 10:07:35 回复
真酷啊
alsn 2019-09-16 14:59:17 回复
学习一下
xxx 2019-09-16 11:51:14 回复
沙箱批量分析很快上线!
gugan1 2019-09-16 11:49:20 回复
学习
匿名用户 2019-09-16 10:16:49 回复
loader 2019-09-15 15:58:23 回复
多文件白加黑,利用了那款加速器的白文件,函数调用,达到远控的效果。
dirshell 2019-09-15 13:45:34 回复
路过
微步情报局 2019-09-16 10:38:18 回复
回复@dirshell: 您好,我是社区管理员,感谢您对社区长期的关注与支持,社区目前正在规范发帖内容与留言内容,会对无价值留言进行清理,感谢您的理解,欢迎您常来社区,与我们一同将社区建设得更好。