偷梁换柱“Windows 11安装包”竟成了恶意程序?
防人之心不可无,这句话放在现实世界有用,放在网络世界也是一样的道理。随着近几年各种物联网移动设备的普及,以及人们对于网络使用率的提高。各种新型网络诈骗层出不穷。甚至出现许多利用虚假网站骗别人安装自己的恶意软件的事件发生。
在2022年的2月8日,惠普在自己的官方网站上发布了一条关于恶意网站的信息。他们在1月27日,也就是在Windows 11升级的最后阶段的第二天,发现了一个由恶意行为者注册的一个windows-upgraded[.]com的域名。这些人利用这个域名来传播自己的恶意软件,欺骗用户下载和运行一个假的Windows安装程序。
域名: windows-upgraded.com
创建日期: 2022-01-27 10:06:46
注册商:NICENIC INTERNATIONAL GROUP CO., LIMITED
注册组织:Ozil Verfig
注册州/省: 莫斯科
注册人国家: 俄罗斯
恶意行为者复制了合法的Windows 11网站的页面设计,除了域名是新注册的,合法品牌是伪造的,以及点击 "立即下载 "按钮会下载一个托管在Discord的内容交付网络上的,名为Windows11 Installation Assistant.zip的可疑压缩文件外,其他所有的一切与真正的Windows 11网站完全一样。这导致很多用户上当受骗下载了网站分发的一种名叫RedLine Stealer的信息窃取软件。值得一提的是,它不只是一个软件而是一整个家族软件,这个家族软件在地下论坛内被大肆出售。
在windows-upgraded[.]com域名上的假Windows 11网站
文件分析
Windows11 Installation Assistant压缩包只有1.5 MB,其中包含六个Windows DLLs、一个XML文件和一个可移植可执行文件。
压缩包档案内容
在将压缩包解压后,得到一个总大小为753MB的文件夹。其中可移植可执行文件Windows11 Installation Assistant.exe是压缩包里最大的的文件,大小为751 MB。
解压缩后的文件大小
前面说过压缩包的大小仅有1.5MB,而解压后的文件大小达到了753MB,这意味着它的压缩率达到了惊人的99.8%。远远大于可执行文件的平均压缩率47%。为了达到如此高的压缩率,该可执行文件里有很大可能包含了极易压缩的填充物。如果在十六进制编辑器中查看,就很容易发现这种填充物。
Windows11InstallationAssistant.exe内的0x30填充区
可以看到该文件的很大一部分被填充了0x30字节,完全与该文件的运行无关。该填充区位于文件的末端,就在文件签名之前。通过截断填充区以及签名,可以得到一个应该是恶意软件主体的可移植可执行文件。恶意行为者之所以插入这样一个填充区,让文件变得非常大,是因为许多沙箱以及其他的恶意软件分析工具无法处理过大的文件,并且这种大小的软件还有很大几率不被反病毒和其他扫描控件发现,如果通过手动分析该文件或将其压缩到一个合理的大小,倒是可以判断出它是一个恶意软件,但很少会有人这么做。这样就增加了文件可以不受阻碍地执行并安装恶意软件的机会。下图显示了删除填充区后的可执行文件部分。
在PE-bear中查看Windows11InstallationAssistant.exe的部分文件(填充物已删除)。
动态分析
利用沙盒或静态恶意软件分析工具动态分析这个文件。在恶意软件的安装程序执行后,它立即启动了一个具有编码参数的PowerShell进程。这将导致一个运行时间为21秒的cmd.exe进程被启动,21秒后,初始进程就会从远程网络服务器下载一个名为win11.jpg的文件。
导致RedLine Stealer的进程执行
由于win11.jpg运行文件工具未能识别其文件类型,这就表明它被编码或加密了。然而,在文本编辑器中打开该文件,发现它的内容只是以相反的顺序存储了而已。
在文本编辑器中查看反转的DLL文件。
由于文件的内容被颠倒,我们可以得到一个动态链接库(DLL)。这个DLL被初始进程加载后,它会再次执行自己,然后用下载的DLL替换当前线程。这就是RedLine Stealer的有效载荷,一个典型的信息窃取的方式。它可以收集当前执行环境的各种信息,如用户名、计算机名称、安装的软件和硬件信息。该恶意软件还能从网络浏览器中窃取存储的密码,信用卡信息等数据,甚至是加密货币文件和钱包。为了渗出信息或接收进一步的指示,RedLine Stealer会打开一个TCP连接到配置命令和控制(C2)服务器。
无独有偶的偷梁换柱事件
这个RedLine Stealer中运用的技术和程序(TTPs)与惠普曾在在2021年12月分析的一个恶意软件相似。在该事件中,恶意行为者注册了discrodappp[.]com域名,他们用它来提供RedLine Stealer,伪装成流行的消息应用程序的安装程序。在这两个事件中,恶意行为者使用模仿流行软件的假网站来欺骗用户安装他们的恶意软件,使用相同的域名注册商注册域名,使用相同的DNS服务器,并提供相同系列的恶意软件。
2021年12月伪造Discord网站分发RedLine Stealer的恶意网站
真的是防人之心不可无,这些恶意行为者利用当下流行软件的更新为引,创建一个假网站来吸引用户下载他们的恶意软件。从而获取用户的各种重要个人信息。想要避免自己上当受骗,只需要在值得信赖的软件下载来源防止这种事件的发生,或在下载前仔细辨别域名,认准网站的官方标识。
参考链接:Attackers Disguise RedLine Stealer as a Windows 11 Upgrade | HP Wolf Security
偷梁换柱“Windows 11安装包”竟成了恶意程序?相关推荐
- 腾讯市值1个月蒸发1700亿美元;微软发布Windows 11 首个Beta版本; 恶意程序开发者转向新兴编程语言 | 架构视点...
推荐大家关注一个公众号 点击上方 "编程技术圈"关注, 星标或置顶一起成长 后台回复"大礼包"有惊喜礼包! 每日英文 It doesn't matter how ...
- php一键安装包winnt,(推荐)Windows一键安装包安装
为了简化大家在windows下面的安装,我们在xampp基础上做了禅道企业版的windows一键安装包. xampp是业内非常著名的AMP集成运行环境.禅道企业版的一键安装包主要在它基础上做了大量的精 ...
- Windows下载安装包格式说明
Windows下载安装包格式说明 msi:是microsoft installer的简写,是微软格式的安抄装包. 直接运行安装即可. zip:是一种数据压缩和文档储存的文件格式. 配置 ...
- windows下安装包制作软件:NSIS的使用方法
NSIS (Nullsoft Scriptable Install System) 是一个专业开源的制作 windows 安装程序的工具.它提供了安装.卸载.系统设置.文件解压缩等功能.下面以Qt程序 ...
- VIPM 2020 For Windows资源安装包
VIPM 2020 For Windows资源安装包 VIPM 2020.2 Release (Windows) VIPM(VI Package Manager)是由OpenG组织开发的VI包管理器, ...
- 老生常谈,打包windows服务安装包
搞.net 开发的不可避免的要做打包程序的工作,而其工作过程甚是枯燥乏味,从vs2010以后微软干脆去掉了打包工程的创建模版,取而代之的是用InstallShield这个商业化工具,默认只支持免费版本 ...
- inno setup打包的安装包如何在卸载完程序后可以继续安装_这两个方法就够了!快速制作Python程序Windows安装包...
点击关注州的先生 编程应用.实战教程,不容错过 /00/ 前言 我们使用Python可以编写很多提高工作和学习效率的小工具,在编写完之后,如果我们想将其分享给更多的人使用,那么最便捷的方法就是将其打包 ...
- 使用Squirrel创建基于Electron开发的Windows 应用安装包
我们把自己开发的Electron应用发布之前,需要把app打包成简单的安装包,这样app更容易被获取,以此来发布我们的应用.我们可以参考Wix或其他的安装程序,但是对于Electron应用更好的打包程 ...
- windows - MinGW安装包下载及下载失败解决
MinGM安装过程 一.下载 MinGM官网下载地址: http://www.mingw.org/. 第一步: 第二步: 第三步: 下载到电脑,如果页面出现下载弹框,直接下载:若没有,则点击图中所示链 ...
- Windows软件安装包制作工具汇总
0 前言 软件开发最终离不开安装包的制作,本文重点总结一下有哪些可用的工具. 1 Windows Intaller 使用方法见参考资料[1]. 2 InstallShield 3 EasySetup ...
最新文章
- iOS中你可能没有完全弄清楚的(一)synthesize
- mysql 连接器配置_配置连接器 - 金融分布式架构 SOFAStack - 阿里云
- 主动防御型杀毒软件的技术探讨
- 从萌新玩家到游戏开发,IEG首位女专家的升级之路
- hive外部表改为内部表_hive内部表外部表介绍
- mysql gtid ha_MySQl新特性 GTID
- dubbo+rabbitmq+hystrix实现服务的高可用
- 把每列中最大的数据合并一行
- 00001__伊丽莎白福尔摩斯
- Android 播放器框架
- 2020-10-1 //严蔚敏《数据结构》 //赫夫曼树及其应用:创建顺序赫夫曼树创建及得到赫夫曼编码
- 网络工程师——Private VLAN
- C/C++申请和释放内存
- 一个带展开按钮的TextView控件
- 【stm32】delay详解
- S5PV210 | 裸机汇编LED流水灯实验
- 5个基本的统计学概念,你知道多少?
- 简单的数组找出最大最小值
- 微信小程序 补充一发笔记
- 看书标记【R语言 商务数据分析实战9】
热门文章
- 数据科学分布——Beta分布
- python身份证号码共18位_用Python写一个身份证号码校验工具
- 北京周边骑行路线总结
- 空降领导想活下去必须做好的5点
- 记一次使用screw 生成MySQL数据库文档
- 诺瓦面试(一面和二面)总结
- MySQL学习第三弹——约束与多表查询详解
- java调用加密机实例_Enigma Java模拟实现恩尼格玛密码机加密解密过程 Develop 238万源代码下载- www.pudn.com...
- AirDisk-Q3C/T2/Q3S/Q3X加密空间PIN码忘记怎么找回?
- EditPlus 使用 json 格式化