thebinaryanalyst73-bit/fake-adobe-installer-stealer-report

# 取证分析报告：隐藏在伪造 Adobe 安装程序中的恶意软件 ## 目录 1. [文件摘要](#1-file-summary) 2. [背景与来源](#2-context-and-origin) 3. [二进制文件的静态分析](#3-static-analysis-of-the-binary) 4. [四层架构——完整的逆向工程](#4-the-4-layer-architecture--complete-reverse-engineering) 5. [攻击链——逐时刻还原事件经过](#5-the-kill-chain--what-happens-moment-by-moment) 6. [动态分析——沙箱行为数据](#6-dynamic-analysis--sandbox-behavioral-data) 7. [命令与控制基础设施](#7-command-and-control-infrastructure) 8. [威胁情报](#8-threat-intelligence) 9. [失陷指标](#9-indicators-of-compromise) 10. [应急响应](#10-incident-response) 11. [结论](#11-conclusion) 12. [参考文献与来源索引](#12-references-and-source-index) ## 本报告存在的原因 在 2026 年 4 月初，化名为 `rocket1337` 的研究员在 VirusTotal 上发布了一份详细的 逆向工程分析，指出在一个声称为 Adobe Illustrator 2026 安装程序的文件中隐藏着 一个活跃的信息窃取器。该恶意软件至少从 2026 年 1 月就开始传播，曾于 2025 年 2 月 被另一位研究员收录进 MWDB 恶意软件数据库，并在 VirusTotal 上积累了长达一年的 提交历史——而在此期间，72 款主流杀毒软件引擎的检测率一直为零。 本报告旨在将有关此威胁的所有已知信息整合为一份完整的参考文档，供可能已 下载并运行该文件的用户，以及需要全面 IOC 和行为数据以进行检测工程的安全 专业人员参考。 ## 1. 文件摘要 本次分析的主要对象： | 字段 | 值 | | -------------------------- | ------------------------------------------------------------------ | | **文件名** | `Set-up.exe` (内部名称: `sourcepart.dat`) | | **SHA256** | `3d20655679c8829a6baad001851905927ef1b826e3eea594b7be3f8331211e39` | | **MD5** | `e9d48daf4748eee45abf308b85e88b71` | | **文件大小** | 7.28 MB (7,638,016 字节) | | **文件类型** | Win32 EXE — PE32 (32 位) | | **编译器** | Visual Studio 2019 v16.2.3 (build 27905) | | **PE 时间戳 (外壳)** | `2020-10-02 04:16:30 UTC` *(见下方注释)* | | **有效载荷 DLL 编译时间** | 2026 年 1 月 3 日 *(已通过 .NET 元数据确认)* | | **数字签名** | 缺失 — 声称具有 Adobe 版权但未签名 | | **首次提交至 VT 时间** | 2025 年 2 月 20 日 | | **静态杀毒软件检测数** | **0 / 72** | | **沙箱检测** | `MALWARE` (Yomi Hunter) | | **C2 服务器状态** | 截至 2026 年 4 月 9 日处于**活跃状态** *(实时测试验证)* | | **恶意软件框架** | .NET 4.7.2 infostealer，通过 WiX SfxCA 交付 | ## 2. 背景与来源 ### 2.1 传播渠道 该文件随一个种子包分发，该种子包被伪装成由广为人知的盗版分发者 m0nkrus 提供的 Adobe Illustrator 2026 (v30.3) 多语言版，并发布在 uztracker.net Tracker 上。该种子包含一个单独的 ISO 文件—— `Adobe.Illustrator.2026.u3.Multilingual.iso` (3.43 GB, MD5: `8e8d18572326bd1e948c1d8b17ec49f7`)——挂载后，会向用户暴露三个文件。 ### 2.2 包内文件 | 文件 | 大小 | 结论 | 备注 | | ---------------- | ----------- | -------------------------- | ---------------------------------------------------------------------------------------- | | `AutoPlay.exe` | 185 KB | ✅ **已确认合法** | 正版 Adobe CS6 AutoPlay 启动器（2008 年）；Kaspersky 记录其超过 10 万次为干净文件 | | **`Set-up.exe`** | **7.28 MB** | 🔴 **已确认恶意** | **信息窃取器——本报告的全部主题** | | `autorun.inf` | 70 B | ✅ **已确认无害** | 纯文本；自 Windows 7 以来 AutoRun 已被禁用；Trellix ENS 报告了一个通用标志 | ### 2.3 跨行动确认 有效载荷 DLL 编译于 **2026 年 1 月 3 日**，并于 **2026 年 1 月 5 日** 首次提交至 VirusTotal，比这个 2026 年 4 月出现的种子早了大约三个月。攻击基础设施在开始分发之前就已经构建并测试完毕。 ### 2.4 我们对威胁行为者的了解 分发方法、预先构建的基础设施、专业的规避工程以及多产品针对性，表明这是一个有组织的行动，而非机会主义的个人行为。除此之外，不主张进行归因，也不应进行推断。THOR APT Scanner 触发了多个匹配 APT28 和 Turla 模式的 YARA 规则，但这些几乎肯定反映了来自常见 .NET 框架库的共享代码模式，而不是直接的归因——这是基于 .NET 二进制文件的 YARA 归因的一个有充分记录的局限性，Nextron Systems 在其关于 VirusTotal 匹配的公开说明中也承认了这一点。 ## 3. 二进制文件的静态分析 ### 3.1 PE 结构与属性 | 属性 | 值 | | ----------------------------- | ------------------------------------------------------------------------- | | **架构** | Win32 EXE PE32 — 32 位，通过 WoW64 在 x64 上执行 | | **编译时间戳** | `2020-10-02 04:16:30 UTC` *(外部外壳；见第 1 节注释)* | | **PE 节区** | `.text` `.rdata` `.data` `.rsrc` `.reloc` | | **熵值 (.reloc 节区)** | 6.66 — 较高，包含混淆的嵌入内容 | | **Imphash** | `337783faf868eb54d41c823f63ce0359` | | **数字签名** | **缺失** | | **声明的版权字符串** | `© 2020-2025 Adobe. All rights reserved.` **(伪造——无有效签名)** | ### 3.2 导入表揭示了什么 在任何代码执行之前，二进制文件导入的 Windows API 函数揭示了其完整的预期功能集。以下组别是通过静态 PE 分析识别出来的——这是一种客观且可由任何检查相同哈希值并拥有 PE 分析工具的分析师复现的方法。 **通过 DPAPI 窃取凭据：** `CryptProtectData` 和 `CryptUnprotectData` 用于解密由 Chrome、Edge 和 Firefox 存储的凭据——这些浏览器使用 Windows 的数据保护 API 来加密保存的密码。`CredReadW`、`CredEnumerateW` 和 `CredWriteW` 提供对 Windows 凭据管理器保管库的完全访问权限。`BCryptEncrypt` 和 `BCryptDecrypt` 在数据外泄之前处理其重新加密。 **反分析和规避：** `IsDebuggerPresent` 检测附加的调试器并相应地改变执行流程。`GetTickCount` 支持基于时间的沙箱检测——沙箱的运行速度通常快于真实硬件，时间测量可以暴露这一点。虚拟机痕迹检测涵盖 VMware、VirtualBox、Parallels、QEMU、Xen、AWS 和 GCP。 **系统枚举和侦察：** `CreateToolhelp32Snapshot`、`Process32FirstW` 和 `Process32NextW` 枚举所有正在运行的进程。`GetUserNameW` 和 `GetComputerNameExW` 收集用户身份和主机名。`WinVerifyTrust` 和 `WTHelperGetProvSignerFromChain` 验证正在运行的进程的数字签名，以选择注入目标。 **持久化和权限提升：** `DuplicateTokenEx` 和 `ImpersonateLoggedOnUser` 实现令牌窃取和模拟。`AdjustTokenPrivileges` 和 `LookupPrivilegeValueW` 处理权限提升。`CreateNamedPipeW` 和 `ConnectNamedPipe` 建立隐蔽的进程间通信通道，这是加载器和远程访问工具的典型特征。 ### 3.3 嵌入资源 `.rsrc` 节区包含 18 个 PNG 图像（安装程序 UI 图形）、21 个字典文件（多语言界面字符串）、6 个 JavaScript 文件、4 个 CSS 文件、4 个 SVG 文件和 2 个 HTML 文件。这些资源的存在是为了使安装程序在随意的视觉检查中显得令人信服。 ## 4. 四层架构——完整的逆向工程 该恶意软件使用嵌套的交付架构，其中活动的有效载荷被深埋四层。研究员 `rocket1337` 使用 ILSpy 恢复了完整的 C# 源代码，并于 2026 年 4 月 9 日在有效载荷 DLL 的 VirusTotal 页面 (`487aca2b...71cd`) 的“社区”选项卡中发布了完整的分析。该分析是公开可见的，可独立验证。以下内容将该公开的分析与 Zenbox、CAPE Sandbox 和 VirusTotal Jujubox 生成的独立沙箱行为数据进行了整合。 ### 4.1 架构概述 ``` Layer 0 — Set-up.exe Delivery wrapper presented as Adobe installer Extracts and launches the MSI below │ ▼ Layer 1 — Installer.msi Cover identity: "Dolby Vision PQ Config Installer" Signed with STOLEN, EXPIRED Dolby Laboratories certificate Custom action "SummonRah" fires at UI sequence 801 (this is BEFORE the user sees any installer screen) │ ▼ Layer 2 — SfxCA DLL (WiX Self-Extracting Custom Action) Extraction container for the payload 79,576-byte overlay at entropy 7.9965/8.0 (near-maximum) Payload is compressed/encrypted — invisible to AV PE scanning │ ▼ Layer 3 — CAB Archive (embedded in the DLL overlay) Microsoft Cabinet format, LZX compression │ ▼ Layer 4 — MSICustomActionDLL.dll THE ACTIVE INFOSTEALER PAYLOAD 16 KB, .NET 4.7.2, compiled January 3, 2026 C# source recovered and published by rocket1337 via ILSpy Executed via: rundll32.exe [...],zzzzInvokeManagedCustomActionOutOfProc ``` ### 4.2 第 1 层——Installer.msi 详解 | 字段 | 值 | | ------------ | ------------------------------------------------------------------ | | **SHA256** | `45415f110b7961eea726dd3b1c07ebed2bbc44d13e8d92d0d8bd1304ba145d73` | | **MD5** | `595eb28f84979f035375a35efe92c259` | | **大小** | 1.32 MB | | **编译时间** | 2025 年 3 月 4 日 | 该 MSI 将自身显示为由 "Dolby" 提供的 "Dolby Vision PQ Config Installer"，使用合法的 WiX Toolset 5.0.2.0 构建。它使用由 DigiCert 颁发的 Dolby Laboratories 证书进行签名。 伪装非常精细：该 MSI 将数十个真实的杜比视界色彩配置文件（`.dv` 扩展名）安装到 `C:\Windows\System32\spool\drivers\color\` 中——这是用于包括 AUO、BOE、LEN、CMN、CSO 和 TMA 在内的显示器制造商的真正硬件校准数据。 **已观察到：** 沙箱文件释放分析中记录了具体的文件名。它们的存在使得安装日志看起来完全正常。 在执行恶意自定义操作之前，该 MSI 会打开 Windows 凭据保管库 (`VaultSvc`) 和剪贴板服务 (`clipsvc`)——目标是存储的凭据。还访问了 DNS 客户端 (`dnsCache`)，这与网络枚举准备一致。 **从沙箱 WMI 数据集分析中确认：** ``` IWbemServices::Connect IWbemServices::CreateInstanceEnum → Win32_ComputerSystemProduct (Hardware UUID) IWbemServices::ExecQuery → SELECT * FROM Win32_ComputerSystem IWbemServices::ExecQuery → SELECT * FROM Win32_VideoController (GPU model) ``` **Zenbox 沙箱中捕获到的已确认执行链：** ``` msiexec.exe /i "Wixinstaller1.6.msi" └─ MsiExec.exe -Embedding [token] └─ MsiExec.exe -Embedding [token] C (WoW64 transition) └─ rundll32.exe "MSIB20D.tmp", zzzzInvokeManagedCustomActionOutOfProc SfxCA_6478875 1 MSICustomActionDLL!MSICustomActionDLL.CustomActions.EntryPointOne ``` 触发了四个严重程度为 MEDIUM 的 Sigma 规则（全部可在 SigmaHQ 存储库中公开获取）： | 规则 | 作者 | | ---------------------------------------------- | ------------------------------------------- | | Rundll32 Internet Connection | Florian Roth (Nextron Systems) | | Unsigned DLL Loaded by Windows Utility | Swachchhanda Shrawan Poudel | | Amsi.DLL Loaded Via LOLBIN Process | Nasreddine Bencherchali (Nextron Systems) | | Rundll32 Execution With Uncommon DLL Extension | Tim Shelton, Florian Roth, Yassine Oukessou | ### 4.3 第 2 层——SfxCA DLL 详解 | 字段 | 值 | | ------------ | ------------------------------------------------------------------ | | **SHA256** | `06875058d4f40be9fb9d065bb4dbc29f67e80339ea261143d123d582c1481171` | | **MD5** | `efaa71c29a914094691c2582c657dc1f` | | **大小** | 254.71 KB | | **编译时间 | 2019 年 9 月 17 日 | WiX 的自解压自定义操作机制是在 MSI 包中交付 .NET 代码的一种合法方式。恶意软件作者将这整个受信任的框架重新用作他们的交付工具——从真正的工具中借用合法性。 **通过 PE 分析确认：** 该 DLL 在标准 PE 内容之后附加了 79,576 字节的 overlay，熵值为 **7.9965（理论最大值为 8.0）**——记录在 VirusTotal“详细信息”选项卡的 PE overlay 部分中。最大熵值表示最大程度的压缩或加密。标准的杀毒软件 PE 节区扫描没有发现任何可疑内容，因为有效载荷根本不存在于 PE 节区中——它只存在于许多引擎会跳过或减少审查的 overlay 中。 **已观察到：** C2 URL `https://i-odsports.com/aycha/saver.php` 在沙箱执行期间作为内存模式字符串出现——记录在“行为”选项卡的“内存模式 URL”部分中。 CAPA 确认了以下行为：针对 Parallels、QEMU、VMware 和 VirtualBox 的反虚拟机字符串检测；通过内存断点进行调试器检测；基于保护页的反调试；HTTP 请求创建、发送和响应处理；命名管道创建和连接；Base64 数据编码；通过 .NET 进行 WMI 数据访问；用户名和主机名检索。 一条 Sigma 规则以 **HIGH** 严重性触发：**Suspicious DotNET CLR Usage Log Artifact**——检测通过 LOLBIN 进程执行的 .NET 程序集。当 .NET 程序集在用户会话中首次在 `rundll32.exe` 内运行时，CLR 会创建一个名为 `rundll32.exe.log` 的日志文件。此伪影正是此攻击模式可靠的取证指标。 ### 4.4 第 4 层——MSICustomActionDLL.dll 详解（活动有效载荷） | 字段 | 值 | | ------------ | ------------------------------------------------------------------ | | **SHA256** | `487aca2bbd630c8013ee1992dabb970058c9a737c2fffce0c0a45801408771cd` | | **MD5** | `732de0a3ddfeb4b5ad29387d3cbf66ee` | | **大小** | 16 KB (16,384 字节) | | **编译时间** | 2026 年 1 月 3 日 | 这个 16 千字节的 .NET 程序集是信息窃取器的核心。以下 .NET 程序集元数据已**确认**——可在 VirusTotal 文件页面的“详细信息”选项卡中进行验证： * **CLR 版本：** `v4.0.30319` * **模块版本 ID：** `a38b459e-6347-4e1e-900a-52153b4a58d5` * **外部依赖：** `Microsoft.Deployment.WindowsInstaller v3.0.0.0`、`System.Management v4.0.0.0`、`System.Windows.Forms v4.0.0.0`、`System.Core v4.0.0.0` .NET 类型定义已从 VirusTotal“详细信息”选项卡程序集列表中**确认**，并直接映射到特定功能： | .NET 类型 | 用途 | | ------------------------------------------------------- | ---------------------------------------- | | `System.Management.ManagementObjectSearcher` | WMI 查询——硬件 UUID | | `System.Net.HttpWebRequest` | HTTP POST 到 C2 端点 | | `System.Windows.Forms.MessageBox` | 在虚拟机中显示伪造的内存错误 | | `System.Security.Cryptography.RNGCryptoServiceProvider` | 加密随机数生成器 (RNG) | | `System.Convert` (Base64) | 在传输前编码窃取的数据 | | `System.Diagnostics.Stopwatch` | 基于时间的沙箱检测 | | `System.Security.Principal.WindowsIdentity` | 当前用户身份 | | `System.Security.Claims.ClaimsIdentity` | 基于声明的身份访问 | | `System.Environment.SpecialFolder` | 特殊文件夹枚举 | **ROT13 混淆——已确认且可通过数学方法验证：** WMI 查询字符串使用 ROT13 编码，以绕过基于字符串的签名检测： ``` Encoded: Jva32_PbzchgreFlffgrzCebqhpg Decoded: Win32_ComputerSystemProduct ← WMI class queried for Hardware UUID Encoded: HHVQ Decoded: UUID ← property name extracted ``` 可使用任何 ROT13 解码器（例如 `https://rot13.com/`）进行验证。这些混淆字符串记录在 rocket1337 发布的 VirusTotal 分析中，并且是可独立复现的。 **表明处于活跃开发状态的 PDB 存在** *(已确认的事实；对其含义的推断)：* 调试符号文件 `MSICustomActionDLL.pdb` 被留在 CAB 存档中——已在“行为”选项卡的“释放文件”部分中确认。它们出现在释放文件列表中是客观事实。其推论——即这表明正在进行活跃开发并持续监控检测率——是合理的，但仍然是一种解释，而不是被证明的事实。 ## 5. 攻击链——逐时刻还原事件经过 每个步骤均标有其证据基础。 | 步骤 | 操作 | 证据基础 | 用户可见性 | | ----- | ---------------------------------------------------------------------- | -------------------------------------- | ------------------------------------------ | | **1** | 自定义操作 `SummonRah` 在 UI 序列 801 处执行 | 已确认——沙箱执行链 | 仅显示 "Preparing to install..." | | **2** | WMI 收集硬件 UUID、GPU、用户名、主机名 | 已确认——沙箱 WMI 数据集 | 无 | | **3** | 使用 `Flow=PS6` / `Action=Login` 进行 HTTPS POST 到 C2 | 已确认——由 rocket1337 进行的实时 C2 测试 | 无 | | **4** | 虚拟机/沙箱检查：VMware, VBox, Parallels, QEMU, Xen, AWS, GCP | 已确认——CAPA + 沙箱规避 | **如果在虚拟机中检测到则显示伪造的错误 → 干净退出** | | **5** | 重命名 `sourcepart.dat` → `Set-Up.exe`；启动真正的 Adobe 安装程序 | 已确认——沙箱文件系统 | 正常的 Adobe 安装 | | **6** | `winget install -h --id 9N411ZGN6M6G` *(应用身份未知)* | 已观察到——沙箱进程列表 | 无 | | **7** | `Planora /INSTALL` *(功能未知)* | 已观察到——沙箱进程列表 | 无 | | **8** | 删除 `%TEMP%\MSIB20D.tmp-\` 及其所有内容 | 已确认——沙箱文件系统 | 无 | **在虚拟机环境中显示的伪造错误信息： ## 6. 动态分析——沙箱行为数据 ### 6.1 七个沙箱的结果 | 沙箱 | 结论 | 主要观察结果 | | ---------------------- | -------------------------- | ------------------------------------------------------------------------------ | | **Yomi Hunter** | 🔴 `MALWARE` | 唯一给出明确恶意软件分类的沙箱 | | CAPE Sandbox | ⚠️ 3 个警报 | 行为检测，无明确分类 | | Zenbox | ⚠️ 5 个警报 / 57 个行为 | 标签: `calls-wmi`、`checks-usb-bus`、`detect-debug-environment`、`long-sleeps` | | Microsoft Sysinternals | ⚠️ 99+ 个行为 | 观察到的最大事件量 | | VirusTotal Jujubox | ⚠️ 50 个警报 | 多种可疑行为 | | C2AE | ✅ 无警报 | 成功规避 | | VirusTotal Observer | ✅ 无警报 | 成功规避 | 沙箱的高规避率是蓄意为之且在预期之中的。`long-sleeps` 标签表明恶意软件使用延长休眠调用，旨在超过大多数自动沙箱的超时窗口。`detect-debug-environment` 标签确认观察到反分析检查被触发。 ### 6.2 进程注入——T1055 **从沙箱进程树确认：** ``` C:\Program Files\Google1084_461961379\bin\updater.exe --update --system ... C:\Program Files\Google1556_2660802\bin\updater.exe --update --system ... C:\Program Files\Google2116_724760920\bin\updater.exe --update --system ... [87+ additional instances following the same pattern] ``` 恶意有效载荷被注入到每个正在运行的实例中。注入后，进程被终止。所有恶意活动都在一个合法的、由 Google 签名的二进制文件中执行。 **从沙箱释放文件和已安装目录确认：** ``` C:\Program Files (x86)\Google\GoogleUpdater\136.0.7079.0\ C:\Program Files (x86)\Google\GoogleUpdater\137.0.7115.0\ C:\Program Files (x86)\Google\GoogleUpdater\137.0.7129.0\ C:\Program Files (x86)\Google\GoogleUpdater\138.0.7156.0\ C:\Program Files (x86)\Google\GoogleUpdater\138.0.7194.0\ C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\ C:\Program Files (x86)\Google\GoogleUpdater\140.0.7273.0\ C:\Program Files (x86)\Google\GoogleUpdater\141.0.7340.0\ C:\Program Files (x86)\Google\GoogleUpdater\141.0.7376.0\ ``` 每次安装都包括一个完整的 Crashpad 崩溃报告目录结构。在对 `C:\Program Files (x86)\Google\` 进行粗略检查时，其结果与合法的 Google Updater 安装无法区分。 ### 6.3 系统二进制文件代理执行——T1218 **从沙箱进程创建日志确认：** ``` rundll32.exe "C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp", zzzzInvokeManagedCustomActionOutOfProc SfxCA_6478875 1 MSICustomActionDLL!MSICustomActionDLL.CustomActions.EntryPointOne ``` 从终端安全工具的角度来看，这就像是一个签名的 Windows 二进制文件在软件安装期间从临时目录加载 DLL——这种活动在成千上万种安装程序中都会合法地发生。 ### 6.4 持久化——T1543 和 T1547 **从沙箱注册表和服务分析确认：** 恶意软件注册了 `GoogleUpdaterInternalService*` 服务，其 `Start=2 (SERVICE_AUTO_START)`，这意味着它们会在每次系统启动时自动启动。这些服务以 LocalSystem 身份运行，这是 Windows 上可用的最高权限级别。 **从沙箱文件系统操作确认：** 一个 DPAPI 密钥被写入 `C:\Windows\System32\Microsoft\Protect\S-1-5-18\User\941a2910-ceaf-4083-a069-04b1d985b6d1`。在 LocalSystem 级别写入 DPAPI 密钥授予恶意软件持久解密系统级加密机密的能力。 ### 6.5 凭据访问——T1056 和 T1179 **从沙箱行为标签和 CAPA 分析中观察到：** 键盘记录 (T1056) 和挂钩 (T1179) 被记录为已确认的功能，来自对 SfxCA DLL 和有效载荷的 CAPA 分析。具体的实现——轮询进行键盘记录、具体的挂钩位置——在 rocket1337 基于恢复的 C# 源代码发布的分析中进行了描述。沙箱行为标签确认了功能类别；具体的机制则记录自源代码分析。 ### 6.6 网络侦察 **从沙箱网络流量日志确认：** 在整个沙箱执行过程中，观察到向 `192.168.0.x` 范围内的地址发送了 NetBIOS UDP 数据包（端口 137）——记录在“行为”选项卡的“IP 流量”部分。这映射了本地网段上的每台设备。 **从沙箱行为数据确认：** 访问了 Windows 安全中心服务 (`wscsvc`)——记录在“行为”选项卡的“已打开服务”部分中。 ### 6.7 第二阶段有效载荷 **从沙箱进程树中观察到——哈希值仅来自沙箱，未在 VirusTotal 上单独验证：** ``` Set-up.exe (PID 736) └─ 5614ba3c7415e4ee3cb1bdbff08cc643.exe (PID 3032) └─ cde09bcdf5fde1e2eac52c0f93362b79.exe (PID 1416) ``` 在完整执行期间总共释放了 11 个文件。 ### 6.8 反取证 **从沙箱文件系统操作确认：** ``` C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp-\CustomAction.config C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp-\MSICustomActionDLL.dll C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp-\MSICustomActionDLL.pdb C:\Users\[USER]\AppData\Local\Temp\MSIB20D.tmp-\Microsoft.Deployment.WindowsInstaller.dll ``` ## 7. 命令与控制基础设施 ### 7.1 活跃的 C2 服务器 **已确认——实时测试记录于 rocket1337 于 2026 年 4 月 9 日的 VirusTotal 分析中：** | 字段 | 值 | | ---------------------- | ------------------------------------------------------------------ | | **端点** | `POST https://i-odsports.com/aycha/saver.php` | | **主 IP** | `104.21.5.5` (Cloudflare CDN) | | **辅助 IP** | `172.67.132.177` (Cloudflare CDN) | | **已确认的响应** | `{"status":"success","message":"Log received and stored."}` | | **GET 伪装** | GET 请求重定向至 `avast.com` | | **TLS** | v1, 证书序列号 `00ac661f8828b2b2220e5ed8e1d6e2913f` | | **JA3** | `cbcd1d81f242de31fd683d5acbc70dca` | | **JA3S** | `d202ce1ad7e4f3d5b39fb831970e4b49f8cb7426ea09faef21c6ff723a632f2d` | | **JA4** | `t10d120500_d94e65cdb899_559829c2a830` | | **TLS 证书颁发者** | Google Trust Services (CN=WE1) | 通过 Cloudflare 的 CDN路由隐藏了实际托管服务器的 IP 地址，使得拆除基础设施比单纯屏蔽直接的 IP 地址要复杂得多。 ### 7.2 域名情报——蓄意为之的仿冒域名 C2 域名 `i-odsports.com` **不是** `odsports.com`。它们是完全独立的已注册域名。合法的 `odsports.com` 是一个中国体育投注平台 (OD体育)，自 2014 年注册以来，与本次恶意软件活动没有任何联系。 **以下所有字段均已通过 lookup.icann.org 的公开 WHOIS/RDAP 查询以及两个域名的 VirusTotal 域名详情选项卡确认：** | 字段 | `i-odsports.com` (C2) | `odsports.com` (合法) | | ----------------- | ---------------------------- | ------------------------------ | | **注册时间** | **2025

标签：Adobe伪装, Ask搜索, ATT&CK映射, C2基础设施, CIDR输入, DAST, DNS 反向解析, HTTP工具, IOCs, IP 地址批量处理, meg, MWDB, VirusTotal, 云安全监控, 云资产清单, 信息安全, 信息窃取器, 后门, 多层架构, 威胁情报, 开发者工具, 恶意软件分析, 搜索语句（dork）, 攻击指标, 数字取证, 无线安全, 杀伤链, 沙箱分析报告, 沙箱行为分析, 沙箱逃逸, 盗版软件, 网络信息收集, 网络安全审计, 网络犯罪, 自动化脚本, 逆向工程, 速率限制处理, 防御性安全, 零检测恶意软件, 静态分析