近期，深盾实验室在运营工作中发现一个名为“Adobe Photoshop.exe”的恶意样本，该样本通过文件名和文件图标进行伪装，使其看起来像知名软件从而诱导用户点击安装，进一步导致主机各项信息泄露，初步判断该样本通过免费下载软件网站或钓鱼网站进行传播。经分析，该样本属于远控工具Pysilon生成的恶意负载。

远控工具Pysilon在Github平台开源，主要利用DisCord平台进行各项信息的收发，具有操作简单、功能强大、端侧危害性强等特质，正逐渐成为威胁行为者所关注的焦点。

自2023年7月PySilon家族样本在VirusTotal被首次捕获后，至今VirusTotal上已报告300多个由Pysilon生成的恶意样本，并且随着时间的推移呈现出上升趋势。

Pysilon由Python构建而成，该远控工具具有UAC绕过、反虚拟化、进程/文件系统管理、浏览器敏感信息提取、键盘记录捕获、摄像头控制、触发主机蓝屏死机等危险性功能，使用者可在GUI界面选择功能，进而生成携带特定功能的负载样本。下图为工具启动后的GUI界面。

UAC绕过

在该功能中，首先对指定的注册表进行修改，随后将“ms-settings”的默认打开命令修改为当前文件的路径，并调用指定命令查看Windows Defender相关的事件日志，若前后日志告警数量未发生变化，则判断为UAC绕过成功。

反虚拟化

在该功能中，Pysilon使用黑名单的方式遍历当前系统中的文件与进程，若在检测时命中了黑名单中的元素，则立刻终止恶意进程的运行，以完成反虚拟化。

敏感信息窃取

攻击者对Discord机器人发送指定命令，在受害者主机上获取各类敏感信息，包括但不限于密码、浏览器历史记录、浏览器cookie、WiFi密码、Discord账户相关数据等。在信息收集完毕后会直接推送至Discord机器人供攻击者查看。

如在grab_cookies函数中，攻击者定义了一个包含各浏览器信息的类，包括各浏览器进程信息、用户数据路径等。在运行该功能时，将终止列表中对应的浏览器，并尝试从指定的用户数据路径下检索用户存储的密码以及Cookie加密秘钥等敏感信息，并将其写入指定得“cookie.txt”文件中。

键盘记录器

攻击者利用Discord机器人，在处理键盘记录活动时可实时将结果回传至机器人客户端处供攻击者查看，在该功能中导入了键盘监控以及屏幕截图的库，以实现特定的功能。

首先启动监听器，在on_press方法实现键盘记录捕获的功能。攻击者将用户的按键信息以字符串映射的方式进行记录，当按下Enter键时，则将累积的文本发送至Discord机器人；当按下打印屏幕键时，则会将捕获到的当前屏幕截图发送至Discord端。

剪切板内容监控与替换

攻击者利用一系列正则表达式持续监控目标主机中剪切板内容中的加密货币钱包地址，并尝试用内置的钱包地址去替换它们。与上述功能一致的是，在该功能成功运行后，将对指定的Discord发送一条提示信息，以展示当前的监听状态。当使用“.stop-clipper”则会终止该功能的监控。

摄像头控制

攻击者通过下发特定的Discord命令，以达到对目标主机控制摄像头的目的。当下发“.webcam”命令时，删除原始消息；当下发“.webcom photo”命令时，则调用第三方库PyGame，初始化摄像头并从摄像头获取图像，随后停止摄像头控制，最后将图片发送至Discord端。

257719C0FB80EF287143FA5B76F9C21F

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；