每周典型威胁分析

       据调查，“大灰狼”远控长期以来一直处于不断更新、升级的状态。近日，安天追影小组通过威胁感知平台发现一类“大灰狼”远控样本，该样本的C2连接方式较为新颖，以第三方ip查询的方式来实现DNS的功能，以达到突破域名检测的目的，同时控制端使用的是免费二级域名gnway.cc，为追踪黑客身份增加了难度。

       安天追影小组在对其初步分析中发现，该样本会连接控制端下载文件“NetSyst81.dll”，该文件是“大灰狼”远控的典型文件。同时，该样本有自复制为常见系统进程名、自删除、修改注册表、设置自启动、通过CMD隐藏删除自身、创建可疑进程、设置调试器权限、检查摄像头、连接网络、查找杀软件相关进程等行为。

       对该样本进行网络分析后可发现，其网络行为中有连接某个QQ号空间的行为。通过对该QQ号的查找、分析发现，该QQ号的关联帐号，近期在一些黑客论坛上购买过“大灰狼”远控。所以该QQ号的所有者很有可能是该样本的制作者。

       样本行为 ：

       1. 样本运行后，会创建多个进程，自复制为常见的系统进程名servise.exe并自删除原样本。
       2. 设置开机自启动，修改注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
       3. 网络连接通过ip.cn作为中转DNS，查找控制端域名的IP地址，其中控制端域名为免费二级域名，本机与控制端通信下载文件“NetSyst81.dll”后访问某QQ空间两次，推测该行为是为了以QQ空间昵称为远控上线方式，经过对该QQ号的关联搜索发现，该QQ号532****的所有者很有可能是该样本的作者（修改大灰狼源码的作者）。
       4. 样本随后有设置调试器、检查摄像头、查找杀软等行为。

       “大灰狼”远控有着较长久的历史，其软件更新换代较快，在搜索引擎中搜索该关键字，会出现大量的该远控的源码及生成器售卖，并且以免杀、破解来吸引用户，但大部被修改过的源码都会留有后门，所谓“螳螂捕蝉，黄雀在后”。为了预防该恶意样本，安天追影小组建议用户尽量在官网下载程序，不要随意打开不明链接。