揭开谍中谍的好戏，关键词：HW、RDP漏扫、红蓝对抗

ittongluren

发布于 2019-11-20 12:29:51

9390

发布于 2019-11-20 12:29:51

一、概述

腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞（亦有安全专家命名为RDS漏洞）检测工具在流行，这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些，有人还给此款工具配上漂亮的解说blog，如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址，不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析，结果发现这是一出谍中谍的好戏：有人假冒安全研究者煞有介事的编造了一个故事，利用你对安全工具的好奇心，钓你上钩。

Blog结尾的工具介绍

这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿，且看下面的技术分析。

二、技术分析

Rdpscan.exe详细分析

工具包解压后如下所示：

将下载回来的rdpscan工具，用ida打开，并与github上的开源代码进行比较后发现，在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

ssleay32.dll详细分析

该dll中内容为未加密的shellcode,入口点如下所示。

主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后，再执行另一段shellcode。

另一段shellcode入口点如下所示

Shellcode中调用api的方式全部是下面这种方式

会利用CreateThread创建多个检测线程，用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点，如果存在会退出进程。

会创建线程利用CreateFile函数检查"\\.\Regmon"、"\\.\FileMon"、"\\.\ProcmonDebugLogger"、"\\.\NTICE" 等工具是否存在，检查到后，会利用TerminateProcess结束进程。

会创建线程检测窗口的classname,窗口类名主要有"ACPUASM"、"AOPOASM" 、"AOPUASM"、"ACPOASM"、"WinDbgFrameClass"

会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

会创建线程利用OpenMutex函数来检查wireshark是否存在，用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

在dllmain函数结尾会出现“Poison Ivy C++”的字符串，然后执行其它多个shellcode模块

木马的核心功能都在如下6个shellcode模块中，并且相互调用，几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

解密后的木马配置项如下所示，木马c2假冒知名安全厂商赛门铁克的域名（security.symanteclabs.com，目前已无法访问）。Shellcode还会根据配置项创建svchost.exe进程，并将代码注入其中，然后svchost.exe会访问c2，执行配置的相关功能，通过以上代码及木马配置等信息与参考资料中的对比，可以确信是Poison Ivy Rat（远程控制木马）。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。