详细内容或原文请订阅后点击阅览
AppSuite PDF编辑器后门:详细的技术分析
一些威胁性参与者足够大胆,可以将自己的恶意软件视为对防病毒公司的假阳性,并要求删除检测。这正是Appsuite PDF编辑器所发生的情况。最初,Automation将其标记为潜在不需要的程序 - 该判决通常保留用于具有不必要的广告或安装第三方程序的阴暗功能的合法软件,未经适当的同意。但是,对于AppSuite,我们找到了一个后门。
来源:G DATA _恶意软件以下文件和网址是我们分析的基础,并揭示了下面的文件位置和持久性指标。
此外,我们为其他研究人员提供了去混淆的脚本[7]。我们手动重命名了函数和变量名称,因此它们不应该用作检测签名的基础。样本中的大部分字符串在原始文件中都是加密的,只会出现在内存中。
[7]安装位置
%LOCALAPPDATA%\Programs\PDF 编辑器
%USERPROFILE%\PDF 编辑器
示例哈希值
[1] MSI:fde67ba523b2c1e517d679ad4eaf87925c6bbf2f171b9212462dc9a855faa34b
[2] pdfeditor.js: b3ef2e11c855f4812e64230632f125db5e7da1df3e9e34fdb2f088ebe5e16603
[3] UtilityAddon.node: 6022fd372dca7d6d366d9df894e8313b7f0bd821035dd9fa7c860b14e8c414f2
[4] PDFEditorSetup.exe:da3c6ec20a006ec4b289a90488f824f0f72098a2f5c2d3f37d7a2d4a83b344a0
[5] PDF Editor.exe:cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c
[6] 卸载 PDF Editor.exe: 956f7e8e156205b8cbf9b9f16bae0e43404641ad8feaaf5f59f8ba7c54f15e24
[7] 反混淆的 pdfeditor.js:104428a78aa75b4b0bc945a2067c0e42c8dfd5d0baf3cb18e0f6e4686bdc0755
持久性值和用户代理
用户代理 - PDFFusion/93HEU7AJ
计划任务 1 – PDFEditorScheduledTask 执行
%USERPROFILE%\PDF Editor\PDF Editor.exe --cm=--partialupdate
计划任务 2 – PDFEditorUScheduledTask 执行
%USERPROFILE%\PDF Editor\PDF Editor.exe --cm=--backupupdate
计划任务 3 – ShiftLaunchTask
定时任务4-OneLaunchLaunchTask
计划任务 5 – WaveBrowser-StartAtLogin
RUN 键 PDFEditorUpdater 及其值
%USERPROFILE%\PDF Editor\PDF Editor.exe
C2 URL
hxxps://appsuites(dot)ai
hxxps://sdk.appsuites(dot)ai
hxxps://log.appsuites(dot)ai
hxxps://on.appsuites(dot)ai
下载网址
hxxps://vault.appsuites(dot)ai/AppSuite-PDF-1.0.28.exe
[D1] hxxps://pdfmeta(dot)com
[D2] hxxps://pdfartisan(dot)com
[D3] hxxps://appsuites(dot)ai
[D4] hxxps://pdfreplace(dot)com