腾讯御见为你揭开谍中谍的好戏 关键词：HW、RDP漏扫、红蓝对抗

一、概述
腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞（亦有安全专家命名为RDS漏洞）检测工具在流行，这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些，有人还给此款工具配上漂亮的解说blog，如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址，不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析，结果发现这是一出谍中谍的好戏：有人假冒安全研究者煞有介事的编造了一个故事，利用你对安全工具的好奇心，钓你上钩。

Blog结尾的工具介绍：

这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿，且看下面的技术分析。

二、技术分析

Rdpscan.exe详细分析
工具包解压后如下所示：

将下载回来的rdpscan工具，用ida打开，并与github上的开源代码进行比较后发现，在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

ssleay32.dll详细分析
该dll中内容为未加密的shellcode,入口点如下所示。

主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后，再执行另一段shellcode。

另一段shellcode入口点如下所示

Shellcode中调用api的方式全部是下面这种方式

会利用CreateThread创建多个检测线程，用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点，如果存在会退出进程。

会创建线程利用CreateFile函数检查”\\.\Regmon”、”\\.\FileMon”、”\\.\ProcmonDebugLogger”、”\\.\NTICE” 等工具是否存在，检查到后，会利用TerminateProcess结束进程。

会创建线程检测窗口的classname,窗口类名主要有”ACPUASM”、”AOPOASM” 、”AOPUASM”、”ACPOASM”、”WinDbgFrameClass”

会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

会创建线程利用OpenMutex函数来检查wireshark是否存在，用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

在dllmain函数结尾会出现“Poison Ivy C++”的字符串，然后执行其它多个shellcode模块

木马的核心功能都在如下6个shellcode模块中，并且相互调用，几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

解密后的木马配置项如下所示，木马c2假冒知名安全厂商赛门铁克的域名（security.symanteclabs.com，目前已无法访问）。Shellcode还会根本配置项创建svchost.exe进程，并将代码注入其中，然后svchost.exe会访问c2，执行配置的相关功能，通过以上代码及木马配置等信息与参考资料中的对比，可以确信是Poison Ivy Rat（远程控制木马）。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。

三、安全建议
1.RDP漏洞固然可怕，请使用官方认证的RDP漏洞检测工具，推荐使用鹅厂安全团队的RDS远程批量漏洞检测工具，下载地址：http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

据腾讯御见威胁情报中心监测分析，自上个月Windows远程桌面服务漏洞公开以来，已有部分用户按安全厂商的建议完成漏洞修复，尚未修复漏洞的电脑仍然数量众多，建议尽快修复，避免成为黑灰产控制的肉鸡。相关链接：https://guanjia.qq.com/avast/383/index.html

2.警惕使用来历不明的工具软件，尤其是与安全相关的，小心跌入精心策划的陷阱；

3.企业客户可以使用腾讯御点终端安全管理系统，来保护系统免遭病毒木马入侵；

4.疑似中招的可检测有无异常程序连接下文c2服务器，以及创建名为Test或TestSvc的服务，或使用腾讯御点清除病毒。

IOCs
Md5:
d0840aeb2642d718f325a07a4b7f6751（rdpscan.exe）
77e929095d57c044f18ab259023c9ea5（RDP检测工具&HW第一天攻击方IP库.zip）
27b0374083f46693df15c0e3fffad070（ssleay32.dll）

C2:
security.symanteclabs.com
security.symanteclabs.com
www.symanteclabs.com/hw.html

参考资料：
https://www.fortinet.com/blog/threat-research/deep-analysis-of-new-poison-ivy-variant.html

https://dhsagarinfo.blogspot.com/free-download-poison-ivy-rat-232-and