1.1.一阶段Loader：LiveRuch.exe

1.1.1.BinaryAI分析结果

分析链接：https://www.binaryai.cn/analysis/9e6bb9f5be0a22e89d16c2a830c0fc97d6a1c839fb1467fbfeddb1d051536e69

1.1.2.行为拆解

样本首先根据SID判断自身是否以管理员身份启动：

如果不是则调用ShellExecuteExA重新请求管理员权限运行并退出：

如果是管理员权限则从93.185.157[.]131/file/runtime_broker.exe 下载第二阶段的server到本地Temp目录，并创建runtime_broker.exe进程：

截止分析时，VT暂无杀毒引擎查杀：

1.2.二阶段Server：runtime_broker.exe

1.2.1.BinaryAI分析结果

1.2.2.行为拆解

样本启动后首先调用Telegram接口，向目标tg账号发送日志：

chat_id：7174999938

使用俄语："Начало выполнения программы" (”程序开始执行“)：

然后会创建一个线程，在该线程中显示伪造的错误消息框，欺骗用户点击：

内容： "Не удалось установить обновление. Код ошибки: 0x80070002"（“无法安装更新。错误代码：0x80070002”）

“Начало процесса архивации“ （”开始归档过程“）

然后以当前时间戳命名在temp目录下创建一个zip文件，将Desktop目录下的所有文件进行压缩打包，处理过程中记录进度并发送日志到Telegram账号（每处理 1000 个文件记录一次日志）zip文件名格式：temp_年月日_时分秒.zip。

Telegram日志：

“Обработано файлов: xx/yy“ （”已处理文件：已处理/总文件“）

如果在打包过程中写入压缩包失败，则会通过taskkill命令结束掉telegram.exe(占用文件的进程)

打包结束后向Telegram账号发送日志：

最后，该server文件会连接C2，将该zip文件上传到远程sftp服务器的指定目录下：/var/www/html/files/。

SFTP用户名和密码被硬编码在后门中：SFTP_HOST = '93.185.157.131'。

并向Telegram账号发送日志：

Архив успешно загружен на сервер!\nСсылка для скачивания: {download_url}

归档已成功上传，下载连接：（sftp路径）

最终向Telegram账号发送日志，并结束进程：

"Задача выполнена успешно, завершение работы" （“任务成功完成，关闭”）

截止分析时，未发现其他安全软件查杀：

诱导用户关闭安全软件：

其中webcheck功能在国内环境比较少见，攻击者通过执行第三方开源工具ffmpeg，启动一个屏幕录制流并将其推送到一个 RTMP 服务器，其他人可以访问该连接进行观看：

• 谨慎使用游戏外挂，辅助，破解等灰色软件。
• 下载腾讯电脑管家（https://guanjia.qq.com/）开启主动防御模块并定时查杀。

C2：

93.185.157.131

telegram bot token:

7484681692:AAHvE1a6KYWG0gAZVcEFfo04OwRLugyuaZg

telegram chat_id：

7174999938

关联样本MD5:

阅读原文或前往官网  https://tix.qq.com/

了解更多腾讯云安全威胁情报中心产品矩阵