谈谈远控木马ForShare伪装虚拟道具攻

pantuomenn

一、概述 [url=http:///www.xiazaigou.com]软件下载[/url]的相关资讯可以到我们网站了解一下，从专业角度出发为您解答相关问题，给您优质的服务！[align=center]

                               
登录/注册后可看大图

[/align]


讯安全威胁情报中心检测到近期FS远控木马较为活跃。此次传播的版本将带有游戏物品交易价格信息的图片捆绑到病中，在执行时通过伪造的游戏道具交易价格图片迷惑游戏玩家。中招后电脑即被远程控制，键盘输入、桌面窗口信息被时采集和上传，该远控木马还可现语音监听，屏幕控制，远程控制摄像头、DDS攻击，以及窃取受害者的敏感信息。







FS远控木马由国内黑客2021左右开发完成，在多个平台均有源码可供下载，攻击者可根据自己的需要灵活修改定制。讯安全专家建议游戏玩家小心处理其他玩家提供的文件，谨慎使用游戏外挂和辅助工具，游戏中全程开启保护系统。







二、详细分析


样本PE信息显示编译时间为2021年12月28日。启动后首先通过命令UIOD关闭交互式服务检测提示。











在C盘根目录下创建C:\,
C:\1，并通过C:\1中的CMD命令打开图片：



%SR%\2\C:\:\+:\1+








J图片打开时的内容，其中包含一些虚拟游戏道具的价格信息：








然后进入远控木马主体代码，传入标识参数“F82”。




通过VA动态申请内存，并将模块PM映到内存，然后跳转到入口处执行。






















获取时间拼接到"G\\ %"作为全局事件，创建互斥体保证模块具有唯一例




与服务器建立连接，其中各参数如下：



服务器地址：129204169107



端口：8000



密码：800



分组：D



版本：2021-0-16




判断是否接到退出命令，如则通过RE设置等待事件，保持连接状态。




将木马拷贝到W目录下，重命为，然后添加到注册表启动项"S\\M\\W\\CV\\R"。

















开启键盘记录，并时获取活动窗口标题信息，将键盘输入和活动窗口数据加密后保存至W目录下，文件后缀为。













上线成功后，FS可根据服务端指令，完成屏幕控制，语音监听，上传和下载文件，执行程序，关机和重启等多种远控功能。







而该木马源代码在多个共享平台可供下载，导致黑客可以随意下载和重新修改编译。




我们将CC地址输入讯安图高级威胁溯源系统查询，可以看到有较多情报标签为F或0的与129204169107有关联，对应样本的落地文件为“奥物图”，“物价,”，“收购”等。结合此前分析中木马启动时打开的图片信息，可以推测该远控木马通过伪装成游戏虚拟道具交易进行传播。




安全建议


1
推荐企业用户部署讯T-S高级威胁检测系统（讯御界）对黑客攻击行为、远控木马行为进行检测。







讯T-S高级威胁检测系统，是基于讯安全能力、依托讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业络的各种入侵渗透攻击风险。