克日，，，，，，3377体育网官网入口天璇实验室在一样平常清静运营中发明外洋黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件举行运动。。。。。。。本次发明的BADNEWS远控木马，，，，，，差别于之前版本使用HTTP协议上传主机信息和吸收远控指令，，，，，，而是接纳HTTPS通讯，，，，，，更为隐藏。。。。。。。

Patchwork，，，，，，印度着名黑客组织，，，，，，又称HangOver、VICEROY TIGER、The Dropping Elephant、摩诃草（APT-C-09），，，，，，该组织主要针对亚洲国家（地区）的政府机构、科研教育等领域举行网络特工运动，，，，，，以窃取敏感信息为主。。。。。。。

现在3377体育网官网入口天璇实验室已剖析提取出BADNEWS木马特征，，，，，，履历证，，，，，，3377体育网官网入口下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置惩罚系统、入侵检测系统、入侵防御系统、病毒过滤网关均可准确检测该木马的撒播及运动行为，，，，，，提供周全的；；；；；げ椒ィ，，，有用阻止危害进一步伸张。。。。。。。

样天职析

1、该样本后缀名为.pdf.lnk，，，，，，现实为lnk文件，，，，，，双击运行后会执行文件中的PowerShell下令。。。。。。。lnk文件会从shhh2564.b-cdn.net/abc.pdf下载诱饵文件并翻开，，，，，，接着从shhh2564.b-cdn.net/c下载文件到C:\ProgramData\Microsoft\DeviceSync\p，，，，，，将p文件复制为同路径下的OneDrive.exe，，，，，，并删除p文件，，，，，，最后建设妄想使命每隔1分钟执行OneDrive.exe。。。。。。。

2、OneDrive.exe就是BADNEWS远控木马，，，，，，使用C++语言编写，，，，，，编译于4月6日。。。。。。。

3、该远控运行后首先隐藏运行窗口。。。。。。。

4、建设互斥体名为“qzex”，，，，，，包管木马自身单实例运行。。。。。。。

5、使用SetWindowsHookExW注册键盘钩子，，，，，，将捕获到的键盘纪录以文本的方法生涯在%temp%目录下的kednfbdnfby.dat文件中。。。。。。。

6、获取受害主机的时区名称，，，，，，检查是否为中国标准时区。。。。。。。

7、若检测效果为中国标准时区将网络系统信息上传至服务器。。。。。。。

① 获取操作系统版本信息。。。。。。。

②使用正常的Web服务（myexternalip.com，，，，，， api.ipify.org，，，，，，ifconfig.me）获取主机IP外网地点。。。。。。。

③将上一步获取到的外网IP地点在（api.iplocation.net，，，，，，ipapi.co等）Web服务中盘问所属国家的名称。。。。。。。

④将获取的信息base64编码后举行AES-128的CBC模式加密，，，，，，最后将加密后的数据再举行base64编码。。。。。。。AES-128加密使用的密钥为“qgdrbn8kloiuytr3”，，，，，，IV为“feitrt74673ngbfj”。。。。。。。

⑤详细网络的受害主机基本信息如下表：

8、接着获取CreateThread函数地点，，，，，，建设3个线程与服务器通讯，，，，，，上传主机信息吸收远控指令。。。。。。。

①获取CreateThread函数地点，，，，，，建设3个线程。。。。。。。

②C2地点为：charliezard.shop:443，，，，，，uri为/tagpdjjarzajgt/cooewlzafloumm.php，，，，，，通讯内容会使用AES-128加密数据。。。。。。。

③线程sub_409900认真将网络到的信息使用POST方法发送给C2，，，，，，内容为网络的系统信息加密数据。。。。。。。

④线程sub_4090A0主要吸收服务器下发的控制指令，，，，，，执行响应的操作。。。。。。。

⑤线程sub_409440建设cmd历程执行whoami下令、ipconfig /all下令、ipconfig /displaydns下令、systeminfo下令、tasklist下令。。。。。。。网络目今用户名、完整网络设置信息、DNS缓存信息、完整系统信息、正在执行的历程信息后，，，，，，使用AES-128加密数据，，，，，，添加到endfh参数发送到C2。。。。。。。

样本IOC列表

防护建议

应用软件下载请通过官方网站获。。。。。。。，，，阻止通过第三方网站下载，，，，，，下载文件翻开前，，，，，，提前使用杀毒软件查杀。。。。。。。

实时关闭客户端上不须要的文件共享权限以及端口。。。。。。。

设置高强度密码认证，，，，，，建议口令长度为16位及以上，，，，，，包括巨细写字母、数字和符号在内的组合。。。。。。。阻止多个账户使用相同口令以及弱口令，，，，，，并按期替换。。。。。。。

按期对系统睁开基线检查，，，，，，组织渗透测试及清静加固，，，，，，并实时更新操作系统、开源软件、第三方应用程序补丁等。。。。。。。

购置3377体育网官网入口下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置惩罚系统、入侵检测系统、入侵防御系统、病毒过滤网关系统的客户，，，，，，可以通过升级僵尸主机规则库、威胁情报库、病毒特征库举行有用监测防护。。。。。。。

3377体育网官网入口产品防御设置

1、3377体育网官网入口下一代防火墙系统防御设置

1）升级到最新病毒特征库，，，，，，设置病毒防护战略，，，，，，开启日志纪录和报警功效；；；；；

2）通过会见控制战略禁用不须要的端口、服务，，，，，，缩小资产袒露面，，，，，，降低熏染危害；；；；；

3）开启弱口令防护、暴力破解防护功效，，，，，，可有用降低口令破解危害；；；；；

4）开启联动功效，，，，，，获取3377体育网官网入口EDR系统、病毒过滤网关、僵尸网络木马和蠕虫监测与处置惩罚系统等产品检测效果，，，，，，实时阻挡撒播/熏染源，，，，，，控制网络撒播规模；；；；；

5）开启资产防护功效，，，，，，启用资产行为基线功效，，，，，，通过检测资产异常行为，，，，，，可实时发明隐藏攻击行为并启用战略举行阻断。。。。。。。

2、3377体育网官网入口EDR系统防御设置

1）开启病毒实时监控功效，，，，，，有用预防和查杀该病毒；；；；；

2）通过微隔离战略增强会见控制，，，，，，降低横向熏染危害；；；；；

3）建设周期扫描使命，，，，，，准时对主机举行周全整理，，，，，，消除清静隐患。。。。。。。

3、3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统、入侵检测系统设置

1）升级最新僵尸主机规则库，，，，，，设置僵尸主机战略，，，，，，实时检测木马的异常通讯；；；；；

2）升级最新威胁情报库，，，，，，开启威胁情报恶意文件检测和捕获功效，，，，，，实时检测和捕获网络中撒播的木马；；；；；

3）开启僵尸主机、威胁情报日志纪录和告警功效；；；；；

4）可设置旁路阻断或者3377体育网官网入口防火墙联动，，，，，，阻挡木马的异常通讯和网络撒播。。。。。。。

4、3377体育网官网入口入侵防御系统设置

1）升级最新僵尸主机规则库，，，，，，设置僵尸主机战略，，，，，，实时检测、阻挡木马的异常通讯；；；；；

2）升级最新威胁情报库，，，，，，开启威胁情报恶意文件阻断和捕获功效，，，，，，实时检测、阻挡及捕获网络中撒播的木马；；；；；

3）开启僵尸主机、威胁情报日志纪录和告警功效。。。。。。。

5、3377体育网官网入口病毒过滤网关防御设置

1）升级到最新病毒特征库；；；；；

2）导入HTTPS证书；；；；；

3）开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测；；；；；

4）设置病毒检测处置惩罚战略；；；；；

5）开启日志纪录和报警功效。。。。。。。

3377体育网官网入口产品获取方法

3377体育网官网入口下一代防火墙、病毒过滤网关、僵尸网络木马和蠕虫监测与处置惩罚系统、入侵检测系统、入侵防御系统等产品特征库下载地点: ftp://ftp.topsec.com.cn

3377体育网官网入口EDR企业版试用：3377体育网官网入口天下各分支机构获。。。。。。。ㄅ涛释罚

http://www.topsec.com.cn/contact/）

3377体育网官网入口EDR单机版下载地点：http://edr.topsec.com.cn