2023 年 2 月13 日，深信服 XDR 捕获新型间谍软件，此次事件中的恶意程序通过钓鱼邮件传播，当受害者解压邮件附件并执行其中的恶意程序之后，该程序会通过 PowerShell 添加 Defender 扫描白名单并创建计划任务，之后执行窃密操作。

通过进程执行链可以发现该样本是通过钓鱼邮件投递，受害者解压之后执行。

该样本是一个 .NET 编写的窃密程序，通过对资源节区的数据进行解密还原出恶意模块，然后使用反射加载的方式执行该模块。

调试发现该恶意模块名为 B4000。入口函数为Melvin.White。跟进函数，首先使用Sleep 休眠了 44s，在对一段硬编码的数据进行base64解码后再解压缩，还原出一个 PE 文件。

同样使用反射加载的方式加载还原出来的 PE，名为 Cruiser，在通过加载模块中的函数从图像中提取出另外一个模块 HIVacSim，同样使用反射加载。找到模块入口函数如下：

进入模块之后会执行一系列恶意操作。

释放文件

从资源节区中释放文件至 C:UsersUserNAmeAppDataRoamingNgsWWESFAPv.exe

，释放的文件与当前文件一致。

创建计划任务

通过schtasks.exe从XML文件中创建计划任务，二进制文件指向C:UsersUserNameAppDataingRomaingNgsWWSFAPv.exe。

添加Defender白名单

通过 Powershell 添加 Defender 白名单。

创建傀儡进程

创建傀儡进程步骤大致如下：

1. 通过 GetThreadContext 获取线程内容

2. 使用 ReadProcessMemory 读取进程内容

3. 使用 VirtualAllocEx 在傀儡进程中分配空间

4. 使用 WriteProcessMemory 往分配的内存中写入数据，

5. 使用 SetThreadContext 设置执行入口。

6. 使用 ResumeThread 恢复傀儡进程的主线程。

在 SetThreadContext 处下一个断点，找到傀儡进程入口点：

在写完数据并激活傀儡进程之后当前进程就会结束，导出写完数据的傀儡进程继续调试。

信息主机收集

通过 Win32_BaseBoard 获取主板信息，之后获取主机和用户名信息等。

获取公网 IP

收集软件信息

收集多种浏览器信息。

在多个 try catch 中收集特定安装程序的数据：

包括 discord、Claws mail、eM Client、FileZilla、Foxmail、FTP Navigator、WinSCP、RealVNC、MySQL 等程序、以及系统凭证等信息。

发送数据

将收集到的数据进行处理之后通过邮件发送到特定邮箱。

1. 删除计划任务

2. 取消 Defender 白名单

3. 终结该进程及其子进程并删除对应文件。