近日，天融信（002212）天璇實驗室在日常安全運營中發(fā)現(xiàn)國外黑客組織Patchwork將BADNEWS遠控木馬偽裝成PDF的lnk文件進行活動。本次發(fā)現(xiàn)的BADNEWS遠控木馬，不同于之前版本使用HTTP協(xié)議上傳主機信息和接收遠控指令，而是采取HTTPS通信，更為隱蔽。

Patchwork，印度知名黑客組織，又稱HangOver、VICEROY TIGER、The Dropping Elephant、摩訶草（APT-C-09），該組織主要針對亞洲國家（地區(qū)）的政府機構(gòu)、科研教育等領(lǐng)域進行網(wǎng)絡(luò)間諜活動，以竊取敏感信息為主。

目前天融信天璇實驗室已分析提取出BADNEWS木馬特征，經(jīng)驗證，天融信下一代防火墻、EDR、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、病毒過濾網(wǎng)關(guān)均可精確檢測該木馬的傳播及活動行為，提供全面的保護措施，有效阻止危害進一步蔓延。

樣本分析

（上下滑動查看更多）

1、該樣本后綴名為.pdf.lnk，實際為lnk文件，雙擊運行后會執(zhí)行文件中的PowerShell命令。lnk文件會從shhh2564.b-cdn.net/abc.pdf下載誘餌文件并打開，接著從shhh2564.b-cdn.net/c下載文件到C:ProgramDataMicrosoftDeviceSyncp，將p文件復制為同路徑下的OneDrive.exe，并刪除p文件，最后創(chuàng)建計劃任務(wù)每隔1分鐘執(zhí)行OneDrive.exe。

2、OneDrive.exe就是BADNEWS遠控木馬，使用C++語言編寫，編譯于4月6日。

3、該遠控運行后首先隱藏運行窗口。

4、創(chuàng)建互斥體名為“qzex”，保證木馬自身單實例運行。

5、使用SetWindowsHookExW注冊鍵盤鉤子，將捕獲到的鍵盤記錄以文本的方式保存在%temp%目錄下的kednfbdnfby.dat文件中。

6、獲取受害主機的時區(qū)名稱，檢查是否為中國標準時區(qū)。

7、若檢測結(jié)果為中國標準時區(qū)將收集系統(tǒng)信息上傳至服務(wù)器。

① 獲取操作系統(tǒng)版本信息。

②使用正常的Web服務(wù)（myexternalip.com， api.ipify.org，ifconfig.me）獲取主機IP外網(wǎng)地址。

③將上一步獲取到的外網(wǎng)IP地址在（api.iplocation.net，ipapi.co等）Web服務(wù)中查詢所屬國家的名稱。

④將獲取的信息base64編碼后進行AES-128的CBC模式加密，最后將加密后的數(shù)據(jù)再進行base64編碼。AES-128加密使用的密鑰為“qgdrbn8kloiuytr3”，IV為“feitrt74673ngbfj”。

⑤具體收集的受害主機基本信息如下表：

8、接著獲取CreateThread函數(shù)地址，創(chuàng)建3個線程與服務(wù)器通信，上傳主機信息接收遠控指令。

①獲取CreateThread函數(shù)地址，創(chuàng)建3個線程。

②C2地址為：charliezard.shop:443，uri為/tagpdjjarzajgt/cooewlzafloumm.php，通信內(nèi)容會使用AES-128加密數(shù)據(jù)。

③線程sub_409900負責將收集到的信息使用POST方式發(fā)送給C2，內(nèi)容為收集的系統(tǒng)信息加密數(shù)據(jù)。

④線程sub_4090A0主要接收服務(wù)器下發(fā)的控制指令，執(zhí)行相應(yīng)的操作。

⑤線程sub_409440創(chuàng)建cmd進程執(zhí)行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集當前用戶名、完整網(wǎng)絡(luò)配置信息、DNS緩存信息、完整系統(tǒng)信息、正在執(zhí)行的進程信息后，使用AES-128加密數(shù)據(jù)，添加到endfh參數(shù)發(fā)送到C2。

樣本IOC列表

TOPSEC

防護建議

應(yīng)用軟件下載請通過官方網(wǎng)站獲取，避免通過第三方網(wǎng)站下載，下載文件打開前，提前使用殺毒軟件查殺。

及時關(guān)閉客戶端上不必要的文件共享權(quán)限以及端口。

配置高強度密碼認證，建議口令長度為16位及以上，包括大小寫字母、數(shù)字和符號在內(nèi)的組合。避免多個賬戶使用相同口令以及弱口令，并定期更換。

定期對系統(tǒng)展開基線檢查，組織滲透測試及安全加固，并及時更新操作系統(tǒng)、開源軟件、第三方應(yīng)用程序補丁等。

購買天融信下一代防火墻、EDR、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、病毒過濾網(wǎng)關(guān)系統(tǒng)的客戶，可以通過升級僵尸主機規(guī)則庫、威脅情報庫、病毒特征庫進行有效監(jiān)測防護。

TOPSEC

天融信產(chǎn)品防御配置

1

天融信下一代防火墻系統(tǒng)防御配置

1、升級到最新病毒特征庫，配置病毒防護策略，開啟日志記錄和報警功能；

2、通過訪問控制策略禁用不必要的端口、服務(wù)，縮小資產(chǎn)暴露面，降低傳染風險；

3、開啟弱口令防護、暴力破解防護功能，可有效降低口令破解風險；

4、開啟聯(lián)動功能，獲取天融信EDR系統(tǒng)、病毒過濾網(wǎng)關(guān)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)等產(chǎn)品檢測結(jié)果，及時攔截傳播/感染源，控制網(wǎng)絡(luò)傳播范圍；

5、開啟資產(chǎn)防護功能，啟用資產(chǎn)行為基線功能，通過檢測資產(chǎn)異常行為，可及時發(fā)現(xiàn)隱藏攻擊行為并啟用策略進行阻斷。

2

天融信EDR系統(tǒng)防御配置

1、開啟病毒實時監(jiān)控功能，有效預(yù)防和查殺該病毒；

2、通過微隔離策略加強訪問控制，降低橫向感染風險；

3、創(chuàng)建周期掃描任務(wù)，定時對主機進行全面清理，消除安全隱患。

3

天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)、入侵檢測系統(tǒng)配置

1、升級最新僵尸主機規(guī)則庫，配置僵尸主機策略，實時檢測木馬的異常通信；

2、升級最新威脅情報庫，開啟威脅情報惡意文件檢測和捕獲功能，實時檢測和捕獲網(wǎng)絡(luò)中傳播的木馬；

3、開啟僵尸主機、威脅情報日志記錄和告警功能；

4、可配置旁路阻斷或者天融信防火墻聯(lián)動，攔截木馬的異常通信和網(wǎng)絡(luò)傳播。

4

天融信入侵防御系統(tǒng)配置

1、升級最新僵尸主機規(guī)則庫，配置僵尸主機策略，實時檢測、攔截木馬的異常通信；

2、升級最新威脅情報庫，開啟威脅情報惡意文件阻斷和捕獲功能，實時檢測、攔截及捕獲網(wǎng)絡(luò)中傳播的木馬；

3、開啟僵尸主機、威脅情報日志記錄和告警功能。

5

天融信病毒過濾網(wǎng)關(guān)防御配置

1、升級到最新病毒特征庫；

2、導入HTTPS證書；

3、開啟HTTP、POP3、SMTP、FTP、IMAP等協(xié)議的病毒掃描檢測；

4、配置病毒檢測處置策略；

5、開啟日志記錄和報警功能。