官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
antiylab- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
1 概览
近期,安天CERT监测到“游蛇”黑产团伙发起的新一轮钓鱼攻击活动。在本轮攻击中,该团伙将恶意程序伪装成图片文件,利用电商平台、社交软件等途径发送给目标用户,诱导用户执行。该恶意程序下载多个载荷文件,在受害主机中实现持久化,并最终投递Gh0st远控木马变种进行远程控制。
安天CERT曾在《“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析》[1]中,对该黑产团伙利用以“发票”为主题的钓鱼邮件发起的大规模攻击活动进行了详细介绍。该黑产团伙不断更新攻击载荷,使用多种方式传播恶意程序,持续进行钓鱼攻击活动。
通过对本轮攻击活动进行关联分析,安天CERT发现“游蛇”黑产团伙使用的基础设施和友商发布的“谷堕”、“银狐”团伙存在关联,在与攻击者服务器存在通信的样本中发现相似的PDB路径特征,并在相关攻击载荷中发现同源特征,因此认为是同一黑产团伙。
表 1‑1 攻击活动概览
经验证,安天智甲终端防御系统(简称IEP)、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对该恶意软件的有效查杀。
2 防护建议
为有效防御此类攻击,提升安全防护水平,安天建议个人及企业采取如下防护措施:
2.1 个人防护
1.提升网络安全意识:保持良好的上网习惯,积极学习网络安全相关知识;
2.避免点击来历不明的文件:检查后缀名及文件类型,警惕伪装成图片、文档的可执行程序及各种脚本文件。
2.2 企业防护
1.网络安全培训与安全演练:定期开展网络安全培训与安全演练,提高员工网络安全意识;
2.安装终端防护软件:安装反病毒软件,建议安装安天智甲终端防御系统;
3.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
4.安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对该恶意软件的有效查杀。
图 2‑1安天智甲实现对用户系统的有效防护
3 技术梳理
在此次攻击活动中,该团伙投放的恶意程序利用图标伪装成图片文件,运行后使用WMI查询CPU温度以检测当前环境是否为虚拟机,检测通过后从C2服务器中获取多个载荷文件。该恶意程序利用其中的Videos.jpg掩饰其恶意行为,让用户误认为自己打开的确实是一个图片文件。
表 3‑1下载文件列表
36.exe将自身程序中名为“TXT”的资源写入C:\1.txt文件中,并将该内容转换为Shellcode;该Shellcode解码并执行一个可执行程序,最终为Videos.exe创建计划任务。Videos.exe下载执行WinService.exe,WinService.exe读取service.log文件的内容,将其转换为Shellcode,并最终执行Gh0st远控木马变种。本轮攻击活动的整体流程图如下图所示。
图 3‑1攻击流程图
4 样本分析
4.1 恶意文件下载器(清单文件.exe)
清单文件.exe利用图标伪装成图片文件。
图 4‑1伪装成图片文件
该程序运行后,使用WMI查询CPU当前温度,从而检测当前环境是否为虚拟机,若不能够成功查询则结束当前进程。检测通过后在C:\ProgramData中创建install.inf文件作为感染标识。
图 4‑2查询CPU温度
创建install.inf文件后,该程序从C2服务器中获取载荷文件并进行指定的操作,最终删除36.exe。
图 4‑3获取载荷文件
4.2 36.exe
36.exe中含有名为“TXT”的资源,其中包含经过混淆处理的Shellcode。
图 4‑4“TXT”资源
该程序将“TXT”资源内容写入C:\1.txt文件中,读取并转换为Shellcode写入内存中执行。
图 4‑5执行Shellcode
该Shellcode解码并执行一个可执行程序,该程序遍历当前系统中运行的进程,检查是否存在360Tray.exe进程,随后尝试更改权限并最终为C:\ProgramData\Videos.exe创建计划任务。
图 4‑6创建计划任务
4.3 Videos.exe
Videos.exe从C2服务器中获取载荷文件并执行。
图 4‑7获取载荷文件并执行
4.4 WinService.exe
WinServices.exe读取C:\ProgramData\service.log文件的内容,将其转换为Shellcode并写入内存中执行。
图 4‑8执行Shellcode
该Shellcode中含有最终的DLL文件,调用该DLL文件的导出函数对其进行加载。
图 4‑9调用导出函数
4.5 最终载荷(Gh0st远控木马变种)
最终执行的DLL是Gh0st远控木马变种,使用创建服务、添加至开机启动文件夹两种方式实现持久化,创建的服务名称为“Rsccea qocyaugm”。
图 4‑10 实现持久化
运行时,按照“IP:端口:服务名称”的格式创建互斥量,随后与C2服务器进行通信,并使用指定的XOR算法对接收的消息进行解密。
图 4‑11解密接收的消息
该DLL具有下载执行其他文件、监控剪贴板、指定路径文件窃密、键盘记录、远程控制等多种功能。
图 4‑12其他功能
5 事件对应的ATT&CK映射图谱
针对攻击者投递远控木马的完整过程,安天梳理本轮攻击事件对应的ATT&CK映射图谱如下图所示:
图 5‑1技术特点对应ATT&CK的映射
攻击者使用的技术点如下表所示:
表 5‑1事件对应的ATT&CK技术行为描述表
6 IoCs
参考资料
[1]“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析
https://www.antiy.cn/research/notice&report/research_report/20230518.html
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 692 文章数
- 107 关注者