木馬作者主動提交Tatoo遠控後門程式

摘要： 一、    概述 近日，360核心安全團隊發現一個偽裝商業軟體的木馬程式，該程式擁有有效的數字簽名《南充市慶達商貿有限公司》，該木馬作者主動提交的軟體“單據列印系統”，企圖通過正規渠道來躲避安全軟體的查殺。該木馬擁有云控功能，可以在雲端關閉或開啟工作流程，通過對該木馬的深入分析，...

一、    概述

近日，360核心安全團隊發現一個偽裝商業軟體的木馬程式，該程式擁有有效的數字簽名《南充市慶達商貿有限公司》，該木馬作者主動提交的軟體“單據列印系統”，企圖通過正規渠道來躲避安全軟體的查殺。該木馬擁有云控功能，可以在雲端關閉或開啟工作流程，通過對該木馬的深入分析，最終發現開啟工作流程後會安裝一個遠控後門程式長期潛伏在受害者的機器中。

二、    木馬分析

工作流程

該木馬作者主動提交的“單據列印系統”除了正常的功能程式碼之外，還包含了一些加密資訊，解密後會得到木馬雲控地址。根據後續程式碼流程可以知道從雲端下發的檔案是一個DLL模組，該模組將在記憶體中被載入，並執行名為“MainThread”的匯出函式。運行了該DLL功能後，會繼續釋放其他惡意檔案，對使用者電腦進行安裝佈置，直至完全控制使用者電腦。

木馬工作流程

詳細分析

執行木馬作者提交的“單據列印系統”軟體程式，該程式首先會檢測雲控地址是否開啟工作流程，如果沒有開啟那麼軟體將會執行無害的流程，顯示正常的程式功能。但是如果雲端開啟工作指示，那麼該軟體就會執行潛伏工作，常駐在使用者電腦中造成危害。

雲控未開啟的執行狀態

木馬程式檢測到雲端開啟工作流程後下載DLL模組並在記憶體載入執行的程式碼如下。

雲控開啟後的木馬流程

由於木馬作者提交的軟體版本中雲控地址（hxxp://www.ohmytatoo.com/Tatoo.html）暫未開放，所以並未開始投入使用。不過通過360安全大腦感知，我們卻發現了相同C&C域名的木馬在野傳播案例。如下圖所示，在野木馬程式功能與上述提交的軟體版本基本一致，都是通過雲控地址下載惡意檔案，但與之前版本不同的是，在野木馬中還多了一個加密的惡意程式，在呼叫“MainThread”匯出函式時，會直接載入執行該惡意程式。

在野木馬程式

對比在野木馬和提交稽核版本的雲控流程，發現C&C地址可以相互替換，執行流程是一致的，兩個程式呼叫惡意DLL的程式碼部分基本相同。

企圖認證的程式                                                 惡意程式

從在野木馬雲控地址（hxxp://www.ohmytatoo.com/dll.jpg）下載的檔案，主要功能是在C盤根目錄下建立一個Microsoftxxxxx的目錄（目錄後5位是隨機字元），並將加密惡意模組寫入到該目錄下的檔案“bugrpt.log”，同時再釋放一些輔助模組，文件結構如下圖所示。

木馬釋放的檔案

其中“schedule.exe”是被木馬利用的”視窗隱藏工具”，可以通過更改同目錄下的配置檔案讓該程式來完成新增自啟動項的任務。

白利用設定自啟動

接著木馬程式會通過命令列呼叫”temp.exe”（實為WinRAR解壓程式）對 “temp.txt”檔案進行解壓，解壓密碼為”123”。此步驟釋放出來的兩個重要檔案是一組典型的白利用，用於躲避安全軟體的查殺，其中白檔案是騰訊的漏洞掃描程式，被重新命名為“schedule.exe”用以替換剛剛新增自啟動項的”視窗隱藏工具”，而黑檔案則命名成“qmipc.dll”以便在系統自啟白檔案“schedule.exe”時自動被載入。

程序鏈

“qmipc.dll”模組的主要任務是對加密惡意模組bugrpt.log進行解密和記憶體載入，並啟動名為“Torchwood”的匯出函式。解密的惡意模組即為Torchwood遠控的核心程式。

PELoader模組

進一步對該後門程式進行分析，得到木馬遠控的上線地址為120.24.231.105:7363。

木馬上線地址

至此，該木馬程式就完成了其安裝工作的任務，可以長期潛伏在受害使用者的電腦中，並實時處於木馬作者的監控之中。下圖是木馬作者雲端使用的後門管理軟體。

木馬控制端

該木馬擁有的都是常規的遠控程式功能，包括檔案管理，鍵盤記錄，螢幕控制，語音監聽等等功能。其中部分操作指令及對應的功能如下：

遠控部分指令

三、      尋蹤溯源

由於360安全大腦的實時監測和持續查殺，導致該系列木馬存活率低，於是作者鋌而走險，妄想通過偽裝成正規公司來提交軟體，企圖矇混過關。軟體稽核過程中該作者還多次通過電話和郵箱催促，一再強調自己是正常軟體，實在是“此地無銀三百兩”。

木馬作者郵件

根據提交的資料，我們整理了木馬作者的相關資訊

木馬作者資訊

檢視木馬作者的QQ：

木馬作者QQ

根據360安全大腦的監測資料，我們發現木馬作者經常活躍的城市主要有兩個，一個是江蘇無錫，正好對應QQ號的歸屬地址，另一個是四川的南充，則對應作者提交的公司地址。

木馬作者活躍地址-江蘇

木馬作者活躍地址-南充

查詢該公司的營業執照，發現此公司確實存在。

簽名公司的營業執照

除了“正規”的營業執照，木馬作者還特定為該公司申請了合法有效的數字簽名。

木馬的簽名信息

進一步挖掘後發現，該系列遠控木馬與曾經多次出現的Torchwood木馬是同一家族，早在2017年的一篇報告中我們就披露了Torchwood木馬作者的部分資訊（“hxxps://www.anquanke.com/post/id/87775”），與這次木馬作者企圖混白時提供的資訊比較發現，擁有相同的手機號碼和qq號，因此認為是同一人或團伙所為。該木馬作者在上次被曝光後並未收手，持續對木馬進行更新，對抗安全軟體的查殺。（下圖中為我們追蹤到的不同版本的Torchwood木馬控制端）。

木馬控制端

四、    總結

360安全大腦一直以來都會對監測到最新木馬病毒第一時間進行查殺，並通過多種技術手段防禦和發現最新木馬病毒，保證使用者資訊的安全。

五、    附錄

Hashs