网络黑客确实能查隐私保护吗-微信校友录-应用云服务平台的ROKRAT木马病

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

user@lnx$ rasm2 -d 0404040404040404040490909090909090909090E8000000005E

add al, 0x4

add al,网络黑客确实能查隐私保护吗 0x4

add al, 0x4

add al, 0x4

add al, 0x4

nop

nop

nop

nop

nop

nop

网络黑客确实能查隐私保护吗 nop

nop

nop

nop

call 0x19

pop esi

这两个HWP文档中的shellcode目地是免费下载并编解码互联网技术上的一个荷载。荷载为二进制可执行程序。下列是文档所应用的一些样版信息内容：

1

2

网络黑客确实能查隐私保护吗 3

SHA256: 7d163e36f47ec57c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e

文件夹名称: 통일북한학술대회网络黑客确实能查隐私保护吗_심사서류.hwp ("北朝鲜大会_问卷调查")

URL: http://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg

1

2

3

SHA256:&网络黑客确实能查隐私保护吗nbsp;5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4f 

文件夹名称: 저는요 북조선 강원도 문천 사람이에요.hwp (“我是一名来源于北朝鲜江原道文川市的人网络黑客确实能查隐私保护吗”)

URL: http://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg

四、木马病毒剖析

这网络黑客确实能查隐私保护吗2个文档所免费下载的木马病毒都归属于同一群族，关键差别是所应用的指令与操纵网络服务器，在其中一个应用了Twitter做为C2网络服务器，另一个应用了Yandex和Mediafire这两个云服务平台，2个样版都包括同一个Twitter动态口令。

（一）反剖析对策

ROKRAT创作者应用了普遍的几类技术性来抵抗人力剖析和防止在沙盒内实行。

最先，恶意手机软件没有Windows XP系统软件上运作，它应用GetVersion() API分辨电脑操作系统版本号，假如主版本信息为5，就执网络黑客确实能查隐私保护吗行不断循环sleep：

除此之外，恶意手机软件查验当网络黑客确实能查隐私保护吗前运作过程，便于鉴别防护软件或沙箱环境，如下列编码：

恶意手机软件查验受害人服务器上的过程名，查询是不是包括包括关键字，关键字目录以下：

1

2

3

4

5

6

7

8

9

10

网络黑客确实能查隐私保护吗 11

12

13

14

"mtool"代表VMWare Tools

"llyd"代表OllyDBG

"ython"代表Python (Cuckoo等沙箱使用这个工具)

"ilemo"代表File Monitor

黑客真的能查隐私吗 "egmon"代表Registry Monitor

"peid"代表PEiD

"rocex"代表Process Explorer

"vbox"代表VirtualBox

"iddler"代表Fiddler

黑客真的能查隐私吗 "ortmo"代表Portmon

"iresha"代表Wireshark

"rocmo"代表Process Monitor

"utoru"代表Autoruns

"cpvie"代表TCPView

如果执行中发现上述任一进程，恶意软件则会跳转到虚假函数中，产生虚假的HTTP流量。另外，如果恶意软件发现自己正被调试黑客真的能查隐私吗、不是通过HWP文档运行（比如使用双击运行）或者在父进程上成功使用OpenProcess()函数，那么恶意软件也会进入虚假处理流程。

恶意软件这么做似乎是为了产生网络流量以提供某种反馈机制，虚假处理流程使用了以下两个URL：

1

2

https://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg

黑客真的能查隐私吗 http://www[.]hulu[.]com/watch/559035/episode3.mp4

第一个URL是一张“Men of War”的WII游戏图片，第二个URL是一部名为“Golden Time”的日本动漫视频。

这两个URL都没有恶意，作者使用这些URL来试图欺骗对其的安全分析。

（二）C2架构

ROKRAT使用合法平台作为C2服务器并接收指令。我们总共发现了12个硬编码令牌，通过这些平台的公共API进行通讯。

1、使用Twitter作为C2服务器

我们在样本中发现了7个不同的Twitter API令牌（包含Consumer Key、Consumer Secret、Token以及Token Secret）。恶意软件检查Twitter时间线上的最后一条信息来接收指令，指令包括执行命令、移动文件、删除文件、终止进程、下载并执行文件。恶意软件也可以发布推文，推文以下面字符串中的随机三个字符开始：

1

黑客真的能查隐私吗 SHA-TOM-BRN-JMS-ROC-JAN-PED-JHN-KIM-LEE-

恶意软件使用的是官方的Twitter API：

2、使用Yandex作为C2服务器

Yandex云平台允许用户在Yandex云中创建磁盘。对于这个C2服务器，我们在样本中找到了4个Yandex令牌。样本使用API来下载和执行文件，或者上传用户文档。文档上传地址为：

1

disk:/12ABCDEF/Document/黑客真的能查隐私吗Doc20170330120000.tfs

其中“12ABCDEF”是一个随机ID，用来标识受害主机，而“Doc20170330120000”则包含了时间信息。

3、使用Mediafire作为C2服务器

这个网站的使用方法与Yandex类似，目的在于使用Mediafire提供的文件存储功能，以便下载执行文件或上传用户文档：

样本中内置了一个Mediafire账户（邮箱、密码和应用ID）。

（三）其他功能：屏幕截图和键盘记录

此外，某个样本可以截取受害主机的屏幕，攻击者使用了GDI API来实现这一功能：

键盘记录中，恶意软件使用了SetWindowsHookEx()这个API拦截用户键盘输入，使用GetKeyNameText() API来获取按键代表的字符，恶意软件同时提取了前台窗口的标题信息以便了解用户当前所处的输入窗口（使用GetForegroundWindow()以及GetWindowText() API）。

五、总结

这次攻击活动中所使用了HWP（用户主要集中在韩国）文档，邮件和文档完全使用韩文撰写，这表明攻击者以韩语作为母语。

木马使用了新颖的通信渠道，包括Twitter和Yandex、Mediafire这两个云平台来发送命令、获取文件以及上传文件。这种通信渠道难以防范，因为这些平台基本都用于合法用途。恶意软件具备异常处理功能，例如它可以检测自身是否在沙箱中运行或者目标环境中是否黑客真的能查隐私吗存在安全分析工具，检测成功则会进入虚假处理流程并访问合法网站（Amazon和Hulu）。

这次攻击活动再次表明韩国仍是攻击者热衷的目标。本文案例中，攻击者使用了首尔某大学合法论坛的邮箱来发送钓鱼邮件，以提升攻击成功率。

六、样本特征

（一）文件哈希

HWP文档：

1

2

7d163e36f47ec56c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e

黑客真的能查隐私吗 5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4f

ROKRAT文件：

1

2

cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c

黑客真的能查隐私吗 051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00

（二）网络特征

恶意URL：

1

2

http://discgolfglow[.]com/wp-content/plugins/maintenance/images/worker.jpg

黑客真的能查隐私吗 http://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg

非恶意URL：

1

2

https://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg

http://www[.]hulu[.]com/watch/559035/黑客真的能查隐私吗episode3.mp4

（三）令牌特征

MEDIAFIRE：

1

2

3

Account #1

Username: ksy182824@gmail.com

黑客真的能查隐私吗 Application ID: 81342

TWITTER：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

Account #1

黑客真的能查隐私吗 Consumer key: sOPcUKjJteYrg8klXC4XUlk9l

Token: 722226174008315904-u6P1FlI7IDg8VIYe720X0gqDYcAMQAR

Account #2

Consumer key: sgpalyF1KukVKaPAePb3EGeMT

Token: 7595776336305930黑客真的能查隐私吗29-CQzXMfvsQ2RztFYawUPeVbAzcSnwllX

Account #3

Consumer key: XVvauoXKfnAUm2qdR1nNEZqkN

Token: 752302142474051585-r2TH1Dk8tU5TetUyfnw9c5OgA1popTj

Account #4

黑客真的能查隐私吗 Consumer key: U1AoCSLLHxfeDbtxRXVgj7y00

Token: 779546496603561984-Qm8CknTvS4nKxWOB4tJvbtBUMBfNCKE

Account #5

Consumer key: 9ndXAB6UcxhQVoBAkEKnwzt4C

Token: 777852155245080576-H0kXYcQCpV6qiFER38h3wS1tBFdROcQ

黑客真的能查隐私吗 Account #6

Consumer key: QCDXTaOCPBQM4VZigrRj2CnJi

Token: 775849572124307457-4ICTjYmOfAy5MX2FxUHVdUfqeNTYYqj

Account #7

Consumer key: 2DQ8GqKhDWp55XIl77Es9oFRV

黑客真的能查隐私吗 Token: 778855419785154560-0YUVZtZjKblo2gTGWKiNF67ROwS9MMq

YANDEX：

1

2

3

4

Token #1: AQAAAAAYm4qtAANss-XFfX3FjU8VmVR76黑客真的能查隐私吗k4aMA0

Token #2: AQAAAAAA8uDKAANxExojbqps-UOIi8kc8EAhcq8

Token #3: AQAAAAAY9j8KAANyULDuYU1240rjvpNXcRdF5Tw

Token #4: AQAAAAAZDPB1AAN6l1Ht3ctALU1flix57TvuMa4

本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。

原文链接：http://blog.talosintelligence.com/2017/04/introducing-rokrat.html

initiating是initiate(发起/实施)的现在分词,DNS是DomainNameServer(域名服务器),这个短语的(不是句子)意思是“启动并行域名服务器的分辨率。微信校友录

接了黑客电话有什么后果无知者也无畏,经常有人说,我不怕木马,我也没可啥可偷的,中毒就格式化。但就因对信息安全意识的淡薄,恰恰给攻击者带来无尽的肉鸡资源,同时,也会让。