盗版“有毒”：对某办公软件激活工具的一次病毒溯源

0x00 引子

近日，终端安全运营小组接到一起黑域名告警事件，一台办公计算机发起了对某互联网恶意网络地址的访问请求，根据威胁情报，该域名识别为“远控--匿影僵尸网络”，触发安全告警。

安全人员第一时间定位到该办公电脑，联系到电脑使用人。

该同事非常困惑，不知为何自己的电脑会突遭毒手。

0x01 初步处置

不管三七二十一，先将设备断网，防止病毒扩散。

安全人员查看该设备上的防病毒软件状态，病毒码已更新至最新，每周五的全盘扫描也已经正常执行，但查询最近一周的病毒日志，并没有异常告警。应该是新的病毒变种，或者做过免杀，逃过了防病毒软件的检测。

怎么办？

难道又要像之前一样：重装系统吧兄嘚！

0x02 病毒溯源

经过一年的终端安全运营，我们当然不能再这么粗暴了，病毒溯源分析处置流程走起来，看看能不能再挽救一下？

1、日志溯源：安全人员立即展开溯源分析，根据DNS请求域名的线索进行日志分析，发现了发起网络请求的恶意进程。

officekms.exe这个进程发起了对恶意域名的请求。

2、进程溯源：进一步分析该进程的其他行为，发现除了发起DNS请求，还进行了文件创建、读写、进程创建等操作。

在c:\\ProgramData\\xidAHBXFQg目录下创建了cfg、cfgi两个文件并进行了读写。

创建进程，执行了上一步写入的cfgi文件中的命令。

找到该文件，发现里面有经过base64加密的代码。

进行解密，发现了其中的恶意代码和另一个恶意域名“xmr.f2pool.com:13531”

从该文件中可以发现”coin”:”monero” ，这是门罗币挖矿的信息。

根据其中”user”账户信息，在互联网上进行搜索，可溯源到该矿主已经挖到的门罗币：

证实了这是一个挖矿病毒，可以看到刚挖不久，总收益还不是很多，也印证了之前的猜想：这是一个新型病毒，防病毒系统还没有它对应的病毒特征码。

由于虚拟货币匿名化的特征，无法再进一步继续追查。

3、样本分析：获取officekms.exe程序样本，传入沙箱进行分析。

结果显示为高风险，检测到多项恶意行为特征。

没错，发起黑域名的请求，就是它干的！

4、来源调查：经过详细了解，该同事说明了该病毒文件的来源，officeKMS.exe为其在外网下载的激活工具，使用行内U盘拷贝至办公电脑。本次事件深深震撼了这名同事，其对自己的不当行为进行了深刻反思。

0x03 病毒处置

根据沙箱给出的详细报告，找到剩下的恶意代码程序，一并进行删除，杀毒。

终于！终于！终于！不用重装系统了，回想起过去杀不掉的病毒只能在用户的杀人眼神下重装系统，大家流下了激动的眼泪。

0x04样本提交

将样本提交给防病毒厂商，提取病毒特征，制作病毒码。

通过病毒码更新，确保全行的防病毒客户端可直接将该病毒查杀。

0x05 总结

这是一起比较典型的病毒感染事件，反映出几点突出问题。

1、使用盗版软件、激活工具的行为蕴含了巨大的安全风险。

盗版软件、激活工具本身就是经过非法篡改的，黑客经常会在其中埋下后门、木马病毒，以实现其不可告人的目的。

2、使用盗版软件面临巨大法律风险。

《中华人民共和国侵权责任法》第三十四条规定，“用人单位的工作人员因执行工作任务造成他人损害的，由用人单位承担侵权责任。”员工使用该盗版软件的目的是为了完成公司的工作任务，由此对他人造成损害的，该侵权责任应当由公司承担。

 类似案例屡见不鲜：

为保障终端软件供应链的安全，目前我行在多方面已经开展和计划开展以下工作：

一是优化防病毒策略，针对激活工具类灰色软件，加强查杀力度；

二是搭建全行共享的终端软件中心，加强终端软件供应链的安全准入管理，方便员工获取所需的正版软件；

三是通过软件进程黑白名单的运营和技术控制，对终端软件的安装和运行进行管控；

四是持续开展常态化的安全意识培训，培养良好的安全文化。

“封堵”和“疏通”并举，有效提升办公软件使用安全。

中国光大银行 信息科技部安全管理处

作者：戴晋

视觉：刘丹华

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。