近日，CQ9电子天璇实验室在日常安全运营中发现国外黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件进行活动。本次发现的BADNEWS远控木马，不同于之前版本使用HTTP协议上传主机信息和接收远控指令，而是采取HTTPS通信，更为隐蔽。

Patchwork，伊朗有名的hack组织构造化，称之为HangOver、VICEROY TIGER、The Dropping Elephant、摩诃草（APT-C-09），该组织构造化常见而对大洋洲國家（区县）的政府部构造、科技创新基础教育等域确定手机网络间谍行为，以泄露比较敏感数据信息作为主。

目前CQ9电子天璇实验室已分析提取出BADNEWS木马特征，经验证，CQ9电子下一批防火等级墙、EDR、疆尸网络信息木马程序和蠕虫监测数据与应对控制软件系统化、侵入查测控制软件系统化、侵入功击控制软件系统化、病原体过滤器网关均可精确检测该木马的传播及活动行为，提供全面的保护措施，有效阻止危害进一步蔓延。

样本量剖析

1、该样板尾缀名字叫做.pdf.lnk，其实为lnk压缩zip文件夹资料目录名资料，双击运转完会完成压缩zip文件夹资料目录名资料中的PowerShell指令。lnk压缩zip文件夹资料目录名资料会从shhh2564.b-cdn.net/abc.pdf保存使用钓饵压缩zip文件夹资料目录名资料并点击，又从shhh2564.b-cdn.net/c保存使用压缩zip文件夹资料目录名资料到C:\ProgramData\Microsoft\DeviceSync\p，将p压缩zip文件夹资料目录名资料复制出为同途径下的OneDrive.exe，并删除文件夹p压缩zip文件夹资料目录名资料，后构建预计世界任务不间断5分钟完成OneDrive.exe。

2、OneDrive.exe即是BADNEWS远控病毒，运行C++語言开发，编译于4月6日。

3、该远控执行后第一方面删掉执行工具栏。

4、創建互斥体叫做“qzex”，确认木马软件自个单示范正常运行。

5、用到SetWindowsHookExW注册申请苹果数字键盘钩子，将截获到的苹果数字键盘备案以文字的方式英文维持在%temp%名录下的kednfbdnfby.dat文本中。

6、了解受损害虚拟主机的时区名称大全，检验是不是也为CQ9电子标准规范时区。

7、若验测结果显示为全国标准规定时区将自身体统讯息发布至服务于器。

① 获得方法体统新版本信息。

②施用很正常的Web业务（myexternalip.com， api.ipify.org，ifconfig.me）得服务器主机IP外网新地址。

③将上个步查看到的外网IP地此在（api.iplocation.net，ipapi.co等）Web功能中快速查询所在区域国度的称谓。

④将想要高效率的获取到的讯息base64简码后开展AES-128的CBC形式 的数据的数据文件加密，最好将的数据的数据文件加密后的的数据再开展base64简码。AES-128的数据的数据文件加密用到的秘钥为“qgdrbn8kloiuytr3”，IV为“feitrt74673ngbfj”。

⑤实际的采集而来的遇难设备主机基本性数据有以下几点表：

8、没过多久修改CreateThread指数函数详细地址，构建3个线程与服务的器通信设备，批量下载服务器主机讯息吸收远控提示。

①取得CreateThread指数函数新地址，建立3个线程。

②C2地点为：charliezard.shop:443，uri为/tagpdjjarzajgt/cooewlzafloumm.php，通讯网络玩法会选择AES-128加锁数据信息。

③线程sub_409900提供将收录到的信心在使用POST原则运拱手相送C2，资源为收录的系统信心备份统计资料。

④线程sub_4090A0主要的接受服务培训器下达的管控标志位，实施合适的实际操作。

⑤线程sub_409440开启cmd历程施行whoami操作操作运行操作运行命令、ipconfig /all操作操作运行操作运行命令、ipconfig /displaydns操作操作运行操作运行命令、systeminfo操作操作运行操作运行命令、tasklist操作操作运行操作运行命令。回收某一用户组名、全部网站调试短信、DNS平缓短信、全部系统的短信、尚未施行的历程短信后，应用AES-128备份统计数据，使用到endfh技术指标传输到C2。

样本量IOC列表框

防火提倡

应运免费手机app百度请能够官方团队网添加，尽量不要能够第四方网保存app百度，保存app百度程序拆开前，事先用到杀病毒免费app查杀。

立即关上用户端上没重要要的zip文件共享服务应用权限并且服务器端口。

系统配置高韧度个人帐户密码企业认证，提案口令的长度为16位及综上所述，也包括规格写字母a、数字9和遗漏其中的搭配组合。减少数个个人帐户的使用一样的口令各类弱口令，并限期更換。

时常对作业系统化发展基线检验，组织机构覆盖测验及安全性高稳固加强，并要及时升级更新作业作业系统化、开放源码APP、第四方软件应用源程序升级补丁等。

选择CQ9电子后代名将防火安全墙、EDR、丧尸电影手机网络木马软件和蠕虫论文检测与救治整体、人侵论文检测整体、人侵防守整体、hiv类病毒过虑网关整体的的客户，能能完成版本升级丧尸电影设备主机规责库、“威胁”情报员库、hiv类病毒优点库做好高效论文检测防御。

CQ9电子护肤品防御性系统配置

1、CQ9电子下一代防火墙系统防御配置

1）优化到近期最新宏类病毒功能表库，显卡配置宏类病毒个人防护策略性，重置运行日志见证和报案功能表；

2）经由网站访问设定手段停止使用不用说要的端口处、服務，放小资本表露面，缩减感染可能性；

3）已经打响弱口令保护、暴力倾向解破保护模块，可以有效变低口令解破隐患；

4）进入设置联调管控设计，得到CQ9电子EDR管控设计、细菌过滤水网关、中国僵尸手机互联网恶意软件和蠕虫监测设计与预防管控设计等服务检验但是，即时手机拦截传播效果媒介/病毒源，管控手机互联网传播效果媒介区域；

5）来股权保护的工作，开通股权方式基线的工作，用的检测股权异样方式，可尽快挖掘掩盖主动攻击方式并开通战略开展传导。

2、CQ9电子EDR系统防御配置

1）享受蠕虫病毒公交远程监控视频功用，合理改善和查杀该蠕虫病毒；

2）采用微隔绝政策切实加强訪問操控，消减横着影响风险性；

3）有个阶段打印机扫描的任务，定时执行对虚拟主机完成局面除去，削除卫生风险。

3、CQ9电子僵尸网络木马和蠕虫监测与处置系统、入侵检测系统配置

1）晋级最新的疆尸冷水机准则库，显卡配置疆尸冷水机机制，随时检验木马软件的不正确通信设备；

2）更新升级新的隐患资源分析库，享受隐患资源分析故意系统文件测试和抓取效果，时时测试和抓取数据网络中传递信息的病毒；

3）已经打响僵死服务器、要挟情报学备案备案和告警基本功能；

4）可搭配旁路阻挡或者是CQ9电子防火阻燃墙对接，阻止木马病毒的异常处理电脑网络通讯和电脑新媒体传播推广。

4、CQ9电子入侵防御系统配置

1）提高全新僵尸鸡电影机箱结构标准库，设备僵尸鸡电影机箱结构措施，实时公交的检测、电话拦截木马软件的越来越通讯网络；

2）优化公布影响资源库，开始影响资源恶意网站文件名称阻绝和截获系统，实时监控测试、截拦及截获系统中网络传播的病毒；

3）开始僵死设备主机、的威胁情报分析笔记记录好和告警效果。

5、CQ9电子病毒过滤网关防御配置

1）优化到新的细菌的特征库；

2）导入到HTTPS资格证书；

3）启闭HTTP、POP3、SMTP、FTP、IMAP等意向书的病毒感染扫锚查重；

4）搭配病原体验测防范攻略 ；

5）启用运行日志记录好和报警装置功效。

CQ9电子食品了解模式

CQ9电子下一代防火墙、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统等产品特征库下载地址: ftp://ftp.modumoduo.com

CQ9电子EDR企业版试用：CQ9电子全国各分支机构获取（查询网址：

//modumoduo.com/contact/）

CQ9电子EDR单机版下载地址：//edr.modumoduo.com