随着网络游戏用户规模的扩大,针对游戏的外挂和辅助灰产业日益壮大。与此同时也有不少木马团伙利用外挂辅助传播木马,此前
腾讯云安全威胁情报中心
已发现多起通过外挂传播恶意木马的案例。
2024年BinaryAI的恶意文件检测引擎创新性地探索了一套基于语义化的查杀引擎技术:
BinaryAI更新布告|摆脱特征码和特征工程束缚,语义化恶意文件检测功能上线
,通过
大模型相关技术实现端到端文件检测,利用这项能力我们发现一起针对俄语环境戏辅助用户的攻击,我们根据同源分析关联到本次样本在传播时位于Catlavan压缩包中,因此将相关攻击样本命名为“Catlavan”后门。截止分析时在VirusTotal上未发现其他安全软件检出该样本。
1.1.
一阶段Loader:LiveRuch.exe
1.1.1.BinaryAI分析结果
分析链接:
https://www.binaryai.cn/analysis/9e6bb9f5be0a22e89d16c2a830c0fc97d6a1c839fb1467fbfeddb1d051536e69
1.1.2.行为拆解
样本首先根据SID判断自身是否以管理员身份启动:
如果不是则调用
ShellExecuteExA重新请求管理员权限运行并退出:
如果是管理员权限则从93.185.157[.]131/file/runtime_broker.exe 下载第二阶段的server到本地Temp目录,并创建runtime_broker.exe进程:
截止分析时,VT暂无杀毒引擎查杀:
1.2.二
阶段
Server:runtime_broker.exe
1.2.1.BinaryAI分析结果
该Server启动后会窃取用户信息,并通过Telegram向攻击者发送日志。分析链接:
https://www.binaryai.cn/analysis/c5f915d44aecc5b56f55e9d2635b9dbb1c4d6f018c5d11d6912c800b29420d13
1.2.2.行为拆解
样本启动后首先调用Telegram接口,向目标tg账号发送日志:
chat_id:7174999938
使用俄语:
"Начало выполнения программы" (”程序开始执行“)
:
然后会创建一个线程,在该线程中显示伪造的错误消息框,欺骗用户点击:
标题:
"Ошибка обновления"(“更新错误”)
内容:
"Не удалось установить обновление. Код ошибки: 0x80070002"(“无法安装更新。错误代码:0x80070002”)
当用户点击确定按钮后,向远程Telegram账号发送消息:
“Пользователь нажал ОК на фейковое сообщение об ошибке” (“用户在虚假错误消息上单击“确定”)
然后开始执行窃密操作,先向目标Telegram账号发送日志:
“Начало процесса архивации“ (”开始归档过程“)
首先获取环境变量AppData,并在该路径下递归查找Desktop目录,如果找到,向远程tg发送日志 :
“Найдена папка:{path}”(“找到的文件夹:{path}”)
然后以当前时间戳命名在temp目录下创建一个zip文件,将Desktop目录下的所有文件进行压缩打包,处理过程中记录进度并发送日志到
Telegram
账号(每处理 1000 个文件记录一次日志)
zip文件
名格式:temp_年月日_时分秒.zip。
Telegram日志:
“Обработано файлов: xx/yy“ (”已处理文件:已处理/总文件“)
如果在打包过程中写入压缩包失败,则会通过taskkill命令结束掉telegram.exe(占用文件的进程)
打包结束后向Telegram账号发送日志:
”Архив создан успешно” ("存档创建成功")。
最后,该server文件会连接C2,将该zip文件上传到远程sftp服务器的指定目录下:/var/www/html/files/。
SFTP用户名和密码被硬编码在后门中:SFTP_HOST = '93.185.157.131'。
并向Telegram账号发送日志:
Архив успешно загружен на сервер!\nСсылка для скачивания: {download_url}
归档已成功上传,下载连接:(sftp路径)
最终向Telegram账号发送日志,并结束进程:
"Задача выполнена успешно, завершение работы" (“任务成功完成,关闭”)
截止分析时,未发现其他安全软件查杀:
