「惠普」偷梁换柱“Windows11安装包”化身恶意程序？

原文标题：偷梁换柱“Windows11安装包”化身恶意程序？

作者 | 丁广辉 责编 | 张红月

防人之心不可无，这句话放在现实世界有用，放在网络世界也是一样的道理。随着近几年各种物联网移动设备的普及，以及人们对于网络使用率的提高。各种新型网络诈骗层出不穷。甚至出现许多利用虚假网站骗别人安装自己的恶意软件的事件发生。

在 2022 年的 2 月 8 日，惠普在自己的官方网站上发布了一条关于恶意网站的信息。他们在 1 月 27 日，也就是在 Windows 11 升级的最后阶段的第二天，发现了一个由恶意行为者注册的一个 windows-upgraded [ . ] com 的域名。这些人利用这个域名来传播自己的恶意软件，欺骗用户下载和运行一个假的 Windows 安装程序。

域名 : windows-upgraded.com

创建日期 : 2022-01-27 10:06:46

注册商：NICENIC INTERNATIONAL GROUP CO., LIMITED

注册组织：Ozil Verfig

注册州 / 省 : 莫斯科

注册人国家 : 俄罗斯

恶意行为者复制了合法的 Windows 11 网站的页面设计，除了域名是新注册的，合法品牌是伪造的，以及点击 " 立即下载 " 按钮会下载一个托管在 Discord 的内容交付网络上的，名为 Windows11 Installation Assistant.zip 的可疑压缩文件外，其他所有的一切与真正的 Windows 11 网站完全一样。这导致很多用户上当受骗下载了网站分发的一种名叫 RedLine Stealer 的信息窃取软件。值得一提的是，它不只是一个软件而是一整个家族软件，这个家族软件在地下论坛内被大肆出售。

在 windows-upgraded [ . ] com 域名上的假 Windows 11 网站

文件分析

Windows11 Installation Assistant 压缩包只有 1.5 MB，其中包含六个 Windows DLLs、一个 XML 文件和一个可移植可执行文件。

压缩包档案内容

在将压缩包解压后，得到一个总大小为 753MB 的文件夹。其中可移植可执行文件 Windows11 Installation Assistant.exe 是压缩包里最大的的文件，大小为 751 MB。

解压缩后的文件大小

前面说过压缩包的大小仅有 1.5MB，而解压后的文件大小达到了 753MB，这意味着它的压缩率达到了惊人的 99.8%。远远大于可执行文件的平均压缩率 47%。为了达到如此高的压缩率，该可执行文件里有很大可能包含了极易压缩的填充物。如果在十六进制编辑器中查看，就很容易发现这种填充物。

Windows11InstallationAssistant.exe 内的 0x30 填充区

可以看到该文件的很大一部分被填充了 0x30 字节，完全与该文件的运行无关。该填充区位于文件的末端，就在文件签名之前。通过截断填充区以及签名，可以得到一个应该是恶意软件主体的可移植可执行文件。恶意行为者之所以插入这样一个填充区，让文件变得非常大，是因为许多沙箱以及其他的恶意软件分析工具无法处理过大的文件，并且这种大小的软件还有很大几率不被反病毒和其他扫描控件发现，如果通过手动分析该文件或将其压缩到一个合理的大小，倒是可以判断出它是一个恶意软件，但很少会有人这么做。这样就增加了文件可以不受阻碍地执行并安装恶意软件的机会。下图显示了删除填充区后的可执行文件部分。

在 PE-bear 中查看 Windows11InstallationAssistant.exe 的部分文件（填充物已删除）。

动态分析

利用沙盒或静态恶意软件分析工具动态分析这个文件。在恶意软件的安装程序执行后，它立即启动了一个具有编码参数的 PowerShell 进程。这将导致一个运行时间为 21 秒的 cmd.exe 进程被启动，21 秒后，初始进程就会从远程网络服务器下载一个名为 win11.jpg 的文件。

导致 RedLine Stealer 的进程执行

由于 win11.jpg 运行文件工具未能识别其文件类型，这就表明它被编码或加密了。然而，在文本编辑器中打开该文件，发现它的内容只是以相反的顺序存储了而已。

在文本编辑器中查看反转的 DLL 文件。

由于文件的内容被颠倒，我们可以得到一个动态链接库（DLL）。这个 DLL 被初始进程加载后，它会再次执行自己，然后用下载的 DLL 替换当前线程。这就是 RedLine Stealer 的有效载荷，一个典型的信息窃取的方式。它可以收集当前执行环境的各种信息，如用户名、计算机名称、安装的软件和硬件信息。该恶意软件还能从网络浏览器中窃取存储的密码，信用卡信息等数据，甚至是加密货币文件和钱包。为了渗出信息或接收进一步的指示，RedLine Stealer 会打开一个 TCP 连接到配置命令和控制（C2）服务器。

无独有偶的偷梁换柱事件

这个 RedLine Stealer 中运用的技术和程序（TTPs）与惠普曾在在 2021 年 12 月分析的一个恶意软件相似。在该事件中，恶意行为者注册了 discrodappp [ . ] com 域名，他们用它来提供 RedLine Stealer，伪装成流行的消息应用程序的安装程序。在这两个事件中，恶意行为者使用模仿流行软件的假网站来欺骗用户安装他们的恶意软件，使用相同的域名注册商注册域名，使用相同的 DNS 服务器，并提供相同系列的恶意软件。

真的是防人之心不可无，这些恶意行为者利用当下流行软件的更新为引，创建一个假网站来吸引用户下载他们的恶意软件。从而获取用户的各种重要个人信息。想要避免自己上当受骗，只需要在值得信赖的软件下载来源防止这种事件的发生，或在下载前仔细辨别域名，认准网站的官方标识。

热门文章：国产真香系列，长续航大吸力一莱克吉米吸尘器A6上手体验<\a>