假 Zoom安裝程式暗藏後門和 Devil Shadow 殭屍網路

下載到惡意 Zoom 和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。

網路犯罪份子正在利用”新常態”(員工需要遠端工作的狀況以及易用網路工具的普及)來讓惡意程式濫用或偽裝熱門應用以感染系統。趨勢科技發現兩個偽裝成Zoom安裝程式的惡意檔案,解碼後發現裡面包含了惡意程式碼。這些惡意假安裝程式並非來自Zoom的官方管道。其中一個樣本會安裝後門讓駭客可以遠端執行惡意行為,而另一個樣本則會在裝置上安裝Devil Shadow殭屍網路。

A screenshot of a social media post

Description automatically generated
圖1. 跟真正的Zoom安裝檔比起來,惡意安裝程式的檔案明顯更大。

網路犯罪分子也可能會利用其他視訊會議軟體來綁入惡意軟體。因此趨勢科技正密切監視其他平台、行為和樣本是否出現篡改或捆綁惡意軟體的跡象。為避免遭受這些惡意假安裝程式感染,請只從可信任來源(像是Google Play store、Apple App store和https://zoom.us/download)下載Zoom或其他應用程式。

假安裝程式將後門程式與遠端存取功能綁在一起


我們發現一個綁入後門功能的假 Zoom安裝程式。將惡意安裝程式和所植入合法副本與官方Zoom網站的真正安裝程式進行比較,所植入檔案的屬性跟真正的版本相近。惡意安裝程式是一個包含許多加密過檔案的執行檔,解密後會將惡意程式碼寫入檔案%User Temp%\Zoom Meetings\5.0.1\setup.exe來執行。

分析惡意樣本顯示其在安裝時會終止執行中的遠端工具,並且打開TCP端口5650來取得對受感染系統的遠端存取能力。同時還會加入四個似乎是惡意程式配置的登錄機碼。

A screenshot of a social media post

Description automatically generated
圖2. 打開端口5650

A picture containing table

Description automatically generated
圖3. 安裝時加入四個設定

檢視所加入notification登錄機碼反組繹的功能後,發現字串包含用於通知命令和控制(C&C)伺服器的設定和值(電子郵件已設定、使用者帳密已被竊以及標記受到感染可被存取)。

A screenshot of text

Description automatically generated
圖4. 反組譯notification登錄機碼

調查其可疑行為發現它會執行真正的Zoom安裝程式來避免被懷疑。安裝後攻擊者就可利用此後門在任何時候來遠端執行命令。

Devil Shadow殭屍網路


該惡意安裝程式由包含惡意命令的pyclient.cmd檔案組成。cmd_shell.exe檔案是個自解壓縮檔(SFX),裡面包含了new_script.txt(內含C&C伺服器)、madleets.ddns.netshell.bat以保持持續性,以及v5.0.1版的zoom.exe安裝程式副本。botnet_start.vbs檔案會執行pyclient.cmd,同時植入的組件boot-startup.vbs會執行來保持持續性。

重新包裝過的安裝程式會植入篡改過的應用安裝程式、惡意壓縮檔和程式碼以及用於持續性和通訊的命令。

圖5. 植入的惡意檔案

圖6. 惡意軟體確保持續性

分析發現網路犯罪份子會用合法應用程式node.exe來執行檔案new_script.txt(內含C&C伺服器)。

A close up of a clock

Description automatically generated
圖7. 跟C&C進行通訊

檢視pyclient.cmd內的命令可以發現它連到主機網址https[:]//hosting303[.]000wenhostapp[.]com並下載與該應用惡意功能相關的檔案。

A screenshot of a cell phone

Description automatically generated
圖8. 下載應用程式的二進位檔

A screenshot of a cell phone

Description automatically generated
A screenshot of a cell phone

Description automatically generated
圖9. 下載的二進位檔執行列出的命令。

名為screenshot.exe的執行檔可取得使用者桌面和活動視窗的螢幕截圖。Webcam.exe會掃描系統檢查連接的網路攝影機。

A screenshot of a computer

Description automatically generated
圖10. Screenshot.exe

A close up of text on a black background

Description automatically generated
圖11. Webcam.exe

仍然會安裝真正的Zoom執行檔,讓使用者不會懷疑到惡意活動,但是即使安裝結束,惡意軟體仍會持續在系統上運行。查看工作排程可以發現惡意軟體在電腦開啟後每30秒就會將所有收集的資訊發送到C&C。

A screenshot of a cell phone

Description automatically generated
圖12. 每30秒送出一次竊取的資訊

結論

這些惡意安裝程式託管在可疑網站而非Play Store、App Store或Zoom下載中心等官方市場,這可以視為惡意軟體的明顯跡象。另一個可觀察跡象是惡意安裝程式安裝和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。

此惡意軟體背後的網路犯罪分子也可能正在進行研發;他們會用多個組件加上合法應用程式來躲避安全程式偵測。因為網路犯罪份子已經開始在篡改該應用程式,所以網路犯罪份子也可能在探索將惡意軟體綁入其他視訊會議軟體以獲利的可能性。

Zoom在新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發期間因其易用性而變得更加流行,而且Zoom會持續地依據被披露的問題來更新平台。跟多數惡意行為一樣,預期到業務連續性使得這些網路工具的需求會不斷成長,讓網路犯罪分子會去借助其普及性來感染盡可能多的系統。所以這兩種惡意軟體都可用於滲透企業或非商業組織內高價值目標的系統來竊取專有或機密資訊。駭客可以在使用者不知情下利用它們來滲透會議、鍵盤側錄、使用攝影機、安裝其他惡意軟體或錄製音訊和視訊。考慮到這些應用程式也可以用在各種平台和作業系統上,威脅也可能會擴展到其他裝置。

遠端和在家工作設置的使用者可以採用下列最佳實作來保持業務連續性和生產力:

  • 只從官方市場和平台下載應用程式和軟體。
  • 防護好你的視訊會議軟體和作業系統。將裝置軟體更新到最新版本,使用會議密碼並且要設定主持人控制功能。

趨勢科技解決方案

使用者可以安裝多層次防護系統來補充和完善這些安全措施以封鎖和偵測已知或未知威脅。趨勢科技Apex One提供先進的自動化威脅偵測及回應功能以應對日益增長的各類威脅。趨勢科技XDR將人工智慧和專家分析應用到趨勢科技解決方案從整個企業所收集的深層資料集,從而能夠提供更有效的早期偵測。

入侵指標(IoC)

後門程式

SHA256描述偵測名稱
4070e977823d74478aec248862302063918fda16b57f2c3b561018605bfbf4fesvchîst.exe1Backdoor.Win32.RADMIN.CMU
57bf83837c18a75d2e7327cdf5bfdcc906ccf78d82237ec961a4f1bee85473cfinstall.exe1Trojan.Win32.ZAPIZ.A
9b6b1807f886bb9eccdc170988d6e419e4301c96817f362aca3d01df17c352fdreg.exe1 
90728a5b2f22460e1b28e3dc350a95b993a185a6170b4aa5e45b57834b90bceeZoom 5.0.1 RUS,ENG.exeTrojan.Win32.ZAPIZ.THA

Devil Shadow殭屍網路

SHA256描述偵測名稱
a26f3981ed3784bb86f5223bf14fb0047ff3fd86b8fc94753ce5a3f1702ebb56Zoom installer.exeBackdoor.Win32.DEVILSHADOW.THEAABO
93bf084daddb10b3760f4e4424b1bc4d5d5590c30064045d01c8658a6fe50d3apyclient.cmd1 
f01da52509792a52c6def452b3ee9b0b78acaca399341926fbe4f3212c42a55eboot-startup.vbs1Trojan.BAT.DEVILSHADOW.THEAABO
5b7804919d437688c8811e85c54cb36efba72652bac8093833ca04b811ea87b7cmd_shell.exe1Trojan.Win32.DEVILSHADOW.THEAABO
628928fe61e86d3b246a7822b1d1505d3694becc4a73e373f73653851d22f1a5new_script.txt1Trojan.JS.DEVILSHADOW.THEAABO
65f725f380c9b90d409539b74bfbd8a57f0fa48843ee79838fa57ad28240feb5shell.bat1Trojan.BAT.DEVILSHADOW.THEAABO

網址

hosting303[.]000webhostapp[.]com/devil_shadow託管惡意軟體
madleets[.]ddns[.]netC&C伺服器

@原文出處:Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers 作者:Raphael Centeno和Llallum Victoria(趨勢科技

▶ 延伸閱讀

從漏洞到 「Zoom Bombing」亂入視訊:如何維護線上會議安全?

《肺炎抗疫》在家工作,專家建議這樣開視訊會議才安全

報告:針對遠端與家用裝置的攻擊大幅增加

《肺炎抗疫》在家工作嗎? 請先做好安全設定

電腦變慢了?竟是挖礦病毒!跟你一起在家工作!