火绒终端安全 四川 分销代理商 科汇科技 分享技术好文 恶意文件携带驱动人生数字签名,混淆视听执行后门
原创 火绒安全 火绒安全
2025年01月27日 11:41 北京
图片
在现代数字化领域中,数字签名借助先进的加密技术,为文件和数据披上了一层坚固的“防护衣”,确保软件的完整性和来源的可靠性,极大地提升了软件的安全性。但是随着数字签名技术的广泛应用,一些安全检查也可能因此“放松警惕”,放过大部分带有数字签名的软件,为攻击者留下可乘之机。因为攻击者可以巧妙地利用数字签名,将恶意程序伪装成正常软件,悄无声息地进行传播。这种做法不仅让恶意软件的识别难度大幅增加,更进一步加剧了对用户数字资产和隐私安全的威胁,给网络安全带来了巨大的隐患。
近期,火绒工程师在日常病毒分析过程中发现一个特殊的白加黑样本,其中的黑 DLL 带有驱动人生数字签名。该 DLL 文件(expatai.dll) 具有以下特征:
1.无明确来源:在对样本进行溯源时,并未在驱动人生官方发布的安装包中找到类似 DLL 。
2.核心行为异常:该模块仅实现了 ShellCode 内存加载功能,并不具备其他业务逻辑。这类 ShellCode 加载器具备典型的恶意代码特征。
3.调试信息缺失:文件中不存在 PDB (程序数据库)路径字符串。这通常是通过特意设置编译配置项或进行特殊处理实现的,而这种操作会增加溯源的难度。
经火绒工程师分析,该 DLL 会读取同目录下的 update.log 文件,解密并执行其中的恶意代码后,通过反射加载 Korplug 后门,最终实现远控。目前,火绒安全产品可对上述病毒进行拦截查杀。临近春节,攻击者可能利用防护放松的时机,发起攻击,请广大用户及时更新病毒库至最新版本,防范潜在威胁。
图片
查杀图
该样本会多次启动进程,通过附带不同的参数来实现初始化、持久化、控制功能和后门功能等。其执行流程图如下。
图片
流程图
一
样本分析
该样本由 LZMA.exe(白文件)、expatai.dll(内含 ShellLoader 且带有驱动人生数字签名)和update.log(内含被加密的 ShellCode )三个文件组成。其中的 update.log 解密后是一段 ShellCode ,该 ShellCode 内含有反射加载代码和 Korplug 后门模块数据。
图片
样本组成
1.1 加载 ShellCode 阶段
加载 expatai.dll:在样本的第一步执行过程中,LZMA.exe 会通过静态依赖加载 expatai.dll,使得其中的 ShellCode 解密代码在 LZMA.exe 入口点之前执行。
图片
图片
expatai.dll 入口点
修改入口点代码:之后,样本会修改 LZMA.exe 入口点代码,使其运行至入口点时,直接跳转至用于解密 update.log 文件数据的函数。
图片
修改入口点
解密 ShellCode 数据并执行:随后,运行至入口点并跳转进入该函数,对 update.log 文件进行解密,同时执行 ShellCode 。该 ShellCode 即 DLL 反射加载函数。
图片
入口点被修改
图片
解密并执行
1.2 反射加载 Korplug 后门模块
通过 PEB 获取 kernel32.dll 的基址,并根据导出表查询到 GetProcAddress 地址。借助该地址获取 LoadLibraryA 、 VirtualAlloc 、 RtlDecompressBuffer 、 memcpy 等函数地址。
图片
获取 GetProcAddress 地址
解密解压后门模块:通过自定义异或解密算法对被压缩的后门模块进行解密。接着,利用 RtlDecompressBuffer 对其进行解压。随后,检查模块头部信息、检查是否为 DLL ,赋值 PLUG 字符串用于后续校验,并获取被加密的启动配置的大小和地址等数据。
图片
解密解压后门模块
手动加载(反射加载):复制后门模块的区段数据,并修复重定位表和导入表。之后,进入 DLL 入口。该入口即 Korplug 后门模块的入口点。
图片
手动加载
1.3 Korplug 后门模块
Korplug 后门模块的执行分为以下阶段:
初始化阶段:提升权限和获取启动配置。
持久化阶段:创建服务或创建注册表形成自启。
注入阶段:创建两个分别附带参数 201 与 209 的 svchost.exe 进程,并向其注入后门模块。这两个进程都具备执行后门功能的能力。其中,附带 209 的进程会通过附带 201 的进程接收远程指令,进而执行后门功能。
控制功能:发送计算机信息、开启后门、自清理、接收和发送启动信息等功能。
后门功能:实现文件管理、注册表管理、进程管理等系统管理功能和 SQL 、网络、剪贴板管理等其他功能。
图片
进程参数执行逻辑
1.3.1 初始化阶段
后门模块在初期执行过程中会进行初始化操作,其中包括提升权限、获取启动配置、移动文件、启动参数 100 (进行持久化操作)进程等。
提升权限。
图片
提升权限
获取启动配置:其首先通过自身模块中的数据获取启动配置。如果 boot.cfg 文件存在,则会以 boot.cfg 中的启动配置为基准。
图片
获取启动配置
启动配置的解密算法:之后,通过算法生成密钥流进行异或解密。该算法是此后门模块中主要使用的加密解密算法,同样也用于与远程服务器进行数据交换的过程。
图片
异或解密
随后,解密出远控服务器链接、文件路径等启动配置。其中的域名均指向 148.66.5.50 。
图片
启动配置
终止父进程和删除父进程文件:获取父进程 ID ,并检查其是否为 explorer.exe 。若否,终止该父进程。最后,删除父进程文件。
图片
删除父进程
COM 组件提权:若不具有管理员权限,则利用 COM 组件创建进程进行提权。
图片
COM 组件提权
文件复制至指定路径并创建进程:复制文件到 C:\ProgramData\Microsoft\CryptSvcser 路径下。随后利用 COM 组件或普通的 CreateProcess 创建 LZMA.exe 进程,并附带参数 100 与当前进程 ID 。
图片
复制文件
图片
新目录文件
1.3.2 持久化阶段
参数 100 进程会根据操作系统版本、进程安全标识符、管理员权限等条件,决定进行系统服务的创建还是以自动启动方式运行进程,以此确保目标进程能够持久化执行。
图片
持久化
图片
CryptSvcser 服务或启动项
隐藏服务:通过修改服务的安全描述符,实现隐藏服务的操作。
图片
隐藏服务
1.3.3 注入阶段
该阶段会创建两个 svchost.exe 进程,同时将后门模块注入其中,并进行反射加载。这两个进程分别附带参数 201 和 209,其作用为接收指令,以实现控制功能或后门功能的执行。
创建第一个 svchost.exe 进程:创建进程 svchost.exe 并传入参数 201 。
图片
创建第一个 svchost.exe
注入至第一个 svchost.exe 进程:分配远程进程内存,向其中写入反射加载器和后门代码。随后,修改入口点,并恢复线程执行,从而在目标进程(如 svchost.exe)中注入并执行恶意代码。
图片
注入至 svchost.exe
创建第二个 svchost.exe 进程并注入:遍历进程列表,找到符合条件的进程后,复制其令牌并将其设置为管理员安全标识符。之后,创建第二个进程 svchost.exe 并传入参数 209 。随后向其中注入代码。
图片
创建第二个 svchost.exe 进程并注入
1.3.4 控制功能
连接服务器:进入控制循环之前, svchost.exe 201 进程会先连接 list.whoamis.info 远程服务器,进行上线操作。
图片
连接服务器
执行控制功能:随后,该进程接收指令并执行控制功能。其中控制码 3 号对应为执行后门功能。
图片
控制功能
指令接收解密解压:该进程在接收指令后,会先利用初始化阶段所介绍的异或算法对指令进行解密。随后,使用 RtlDecompressBuffer 函数对其进行解压缩。
图片
解压缩
1.3.5 后门功能
后门功能包括以下内容:
系统管理类:文件、进程、注册表、服务等。
其他:网络、CMD 后门、SQL 等。
记录:键盘记录、剪贴板管理。
样本在接收指令之前,会先将后门功能函数写入共享内存中。
图片
后门功能函数
执行后门功能有两种模式:
获取指令直接执行;
获取指令后,通过管道通信的方式发送指令。随后,另一个 svchost.exe 进程会从该管道读取读取指令并执行后门功能。
图片
条件判断
图片
管道创建和获取
通过管道获取指令,执行后门功能。
图片
执行后门功能
系统管理类后门功能对应的控制码如下。
图片
系统管理类后门功能
此外,还存在 CMD 后门、网络相关、SQL 管理等后门功能。
图片
其他后门功能
部分后门功能的具体操作如下:
剪贴板管理:将剪贴板数据写入文件 NvSmart.x64.hlp 中。
图片
剪贴板管理
键盘记录:记录数据。
图片
键盘记录
插件加载:遍历 C:\ProgramData\Microsoft\CryptSvcser 目录下的 0~127.plg 文件,并将其反射加载。
文章标题:火绒安全 企业级杀毒 终端安全 四川 成都 科汇科技 IT服务商
火绒自身关键词:
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统,终端安全管理系统采购项目
火绒安全,火绒,火绒安全软件,火绒官网,EDR V1.0,火绒安全防护
火绒安全企业版300一年 火绒linux版收费,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,火绒终端安全管理系统 linux 版(三年订阅), 火绒企业版收费标准 火绒杀毒软件企业版价格,火绒安全 火绒终端安全管理系统V2.0 火绒安全 火绒终端安全管理系统V2.0 机构版,火绒企业版杀毒软件 火绒终端安全管理系统 2.0、火 绒企业版杀毒软件 信创 Linux 终端 (桌面版)、火绒企业版杀毒软件 信创 Linux 终端 (服务器版)软件授权。火绒安全 终端安全管理系统Windows版 杀毒软件 Windows服务器杀毒3年授权,火绒安全 终端安全管理系统Linux服务器版 杀毒软件 1inux服务器杀毒3年授权
火绒企业管理员密码,火绒企业版监控员工电脑,火绒企业版和个人版区别,
火绒企业版与个人版有何不同?火绒企业版怎么收费?火绒企业版卸载要密码吗?火绒杀毒软件怎么样?
品类关键词:
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
火绒终端安全管理系统V2.0
火绒信息安全软件 linux PC V2.0终端安全管理系统网络版
支持部署在Windows终端、Linux终端、国产系统终端、macOS终端上
1 终端管控篇:威胁可预见,敌情先洞察
2 终端防护篇:技术驱动,纵深防护
3 产品优势篇:平台开发完善,产品契合国情
4 企业合作篇:产品覆盖全国用户,技术赋能广大同行
终端安全数据化,直观呈现威胁信息。“火绒企业版”将终端处拦截、处理的各类威胁信息呈现在“控制中心”,方便管理员直观了解企业安全状况,并根据显示的信息制定及时、合适的安全策略。
多级中心
支持多中心管理,解决跨部门、跨地域管理难题,将企业网络有条不紊纳入严密防护中,确保安全无死角。终端管理定制策略自由分组管理旗下终端,定制、下发【病毒扫描】、【漏洞修复】、【资产管理】等策略,并支持对策略进行“增、删、改、查”等操作。
移动存储介质管理
可实现对U盘设备、便携设备、USB无线网、USB有线网卡、打印机、光驱、蓝牙进行设备的使用与禁用,并支持对U盘设备、便携设备和光驱的只读操作。
硬件资产管理
记录和更新终端资产变更情况,包括硬件的变更、新增、遗失等,辅助运维人员对硬件资产进行准确有效的管理和记录,方便财务审计等工作。
信息管理补丁管理提供高效、便捷的漏洞集中化管理,随时查看所有终端漏洞修复情况,包含高危漏洞、功能漏洞以及已忽略漏洞,并下发修复任务。信息管理日志报表管理支持对终端病毒查杀、病毒防御、系统防御、网络防御、访问控制、漏洞修复、终端管理、系统管理日志的记录和统计,并可以对所产生的日志报表展现和导出。中心管理容灾备份通过设置备份中心,避免因宕机、断电、软硬件故障等意外突发情况带来的损失。备份中心可自动切换、接管主中心,确保终端安全不受影响。
中心管理账号管理通过“**管理员”账户,添加并管理其它管理员,分管控制中心不同模块,减少、优化管理人员工作量。产品联动API接口通过调用火绒预先定义好的API接口,开放与其它产品(如准入系统)进行联动,方便查询部署火绒产品的终端的信息,包括终端地址、终端名称、终端版本、分组策略、终端在线状态、病毒库版本等。随着产品完善,后续将逐渐开放更多联动信息和功能。
一.自主研发,避免掣肘
独有“通用脱壳”、“动态行为查杀”技术,基于“虚拟沙盒”环境, 通过行为特征来精准判断,高查杀、低误报。
火绒研发的“通用脱壳”技术可用于戳穿病毒“伪装”,通过启发式逻辑评估待扫描样本,使其在虚拟环境中还原被保护的代码、数据和行为。因此,对比传统反病毒引擎的静态或动态指导脱壳,火绒“通用脱壳”可解决病毒使用的自定义壳、代码混淆器在内的所有其他代码级对抗难题。
火绒反病毒引擎通过跟踪和记录程序或脚本在虚拟环境中的动态行为,配合启发式分析算法对程序的恶意行为进行评估。无论病毒如何修改或混淆特征,只要它的行为与已知的病毒行为模式匹配,就可以直接判定为病毒。因此,和传统的反病毒引擎使用的固定的特征判断病毒的方式相比,火绒可以有效识别已知病毒的新变种和未知病毒。
二.持续迭代,对抗未知威胁
优化虚拟沙盒的启发算法
改进虚拟沙盒的执行效率
日常升级推送给用户 提高对未知威胁的检测能力
火绒反病毒引擎
三.本地杀毒,不受断网影响
通过行为特征,时间精准识别各类病毒、变种以及新的威胁。
对感染型病毒、宏病毒等特殊类型病毒能够做到只清除病毒、不损害文件。
对查杀结果可阐述,能准确指出样本为病毒的依据。
对查杀结果可控,误报率低,对软件的兼容性好。
本地杀毒能力强,不受断网环境影响。
内容拦截层( Content - Based Threat Detection)
文件实时监控
规则拦截层( Policy - Based Protection & Restriction)
系统加固
行为拦截层(Behavior - Based Threat Detection )
病毒行为监控 软件安装拦截
内容过滤层(Content - Based Network Packet Filtering)
恶意网站拦截 下载保护 U盘保护 软件安装拦截 邮件监控 Web扫描 执行控制 危险动作拦截 病毒免疫 联网控制 IP协议控制 自定义防护 应用加固 摄像头保护网络入侵拦截 横向渗透防护 对外攻击拦截 僵尸网络防护 暴破攻击拦截 Web服务保护多层次防御系统
一.构建充分防护纵深
火绒率先将单步防御和多步恶意监控相结合,监控百个防御点(包含防火墙),有效阻止各种恶意程序对系统的攻击和篡改,保护终端脆弱点。
二.多层次主动防御系统
1.灵活的网络管理
火绒具备完整的防火墙,可以从“协议”、“来源”、“应用程序”三个维度对终端的网络连接进行全面预防。
2.僵尸网络防护规则
通过对网络通讯数据进行扫描,识别主机存在的Botnet、RAT和后门程序与黑客间的恶意通信并进行拦截,无需人工干预。
3.漏洞攻击防护技术
对严重的蠕虫级漏洞、Web服务漏洞,提前创建“虚拟补丁”,保护存在漏洞的操作系统或者程序免受黑客攻击。
4.RDP弱口令渗透防护
通过二次验证与IP白名单设置,阻止终端密码泄漏后遭遇攻击的风险。尤其对常利用RDP弱口令入侵的勒索病毒防御效果显著。
5.应用加固防护技术
对受保护的进程行为进行监控,防止黑客利用应用程序中未修复的漏洞或零日漏洞对主机发起攻击。
6.全面的系统加固
火绒系统加固对系统的防护包括文件防护、注册表防护、敏感动作防护三大项共86个防护点。绘制威胁情报系统,执行EDR防护策略。
一.威胁情报系统
火绒威胁情报系统实时报告互联网中存在的威胁每一个用户、终端都将享受“情报驱动安全”带来的防护绘制威胁情报系统,执行EDR防护策略
二. EDR防护策略
终端捕获威胁信息后,在安全情报系统响应,经过分析处理后升级解决方案,再反馈给所有火绒终端。
成熟稳定的产品性能
对政企机构使用的特殊软件有较强的兼容性,不影响正常办公。兼容好能迅速处理、拦截国内常见流行的蠕虫、挖矿、勒索等病毒和流氓侵权行为。本土化占用空间小、配置要求低,轻巧干净,不拖慢电脑速度。占用小
自主研发,支持微软系统、Linux服务器,适配国产主流操作系统和芯片。
适配广严格的职业操守火绒秉承安全厂商的基本操守,产品没有捆绑、弹窗、侵占资源等行为,并强力阻挡和狙杀各种流氓软件、商业软件的侵权行为,确保系统干净清爽。针对政府、商业企业等机构用户,火绒承诺:“尊重用户的隐私权、数据所有权,不会上传用户的文件、数据信息”。尊重用户隐私保护企业数据安全全面适配国产化。一直以来,火绒都在国产化服务的道路上不断稳步前行着,包括产品和自主研发的反病毒引擎技术模块也早已完成对主流国产CPU芯片和操作系统的支持。
一.科学严谨的服务流程
火绒建立一套完整的、专业的服务平台和流程,通过集中统一收纳用户、代理商、技术合作伙伴等企业需求,分拣派发给反病毒研究、产品开发、产品测试、售前和售后服务等相关部门,及时匹配专业的工程师评估、解决。
技术合作伙伴电话、邮件常规渠道论坛、社群反馈
“在线支持和响应中心”平台
线上技术支持
产品咨询与安装、部署指导应急响应服务与报告提供安全巡检与安全加固各类临时需求全国筛选专业服务商,随时提供上门服务
二.完善齐全的服务平台
用户服务平台和系统完善的任务处理系统 企业级快速响应服务中心
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,
火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0 火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱
实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统
终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件
成都科汇科技有限公司( 终端安全 软件 解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)
