01概述

“游蛇”黑产团伙又称“银狐”、“谷堕”，该黑产团伙主要通过社交软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意程序。近期，安天CERT监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。在本轮攻击中攻击者通过微信投递Gh0st远控木马加载器，利用FTP服务器下载文件，使用侧加载、内存解密等技术加载Gh0st远控木马，从而获得受害者主机的远程控制权限，进行窃密、传播恶意代码等操作。

通过分析溯源，安天CERT发现了“游蛇”黑产团伙通过微信投放远控木马的运营模式，黑产团伙通过“代理人”招收大量成员帮助他们完成恶意程序的大规模传播，获取对受害者主机的远程控制权后，针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

针对该远控木马的防护建议详见本文第四章节。

02黑产团伙运营模式

“游蛇”黑产团伙通过“代理人”在境外社交软件中创建多个群组，招收大量成员，并教授其各类诱导话术，通过网推、网聊、地推等方式对多种行业的目标用户分发恶意程序，诱导目标用户执行恶意程序，从而获得受害者主机的远程控制权限，以此针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

安天CERT根据发现的线索整理出“通过微信投放远控木马”的黑产运营模式如下图所示。

图 2‑1 “游蛇”黑产团伙通过微信投放远控木马的运营模式

黑产团伙中的技术人员开发出恶意程序，对其进行混淆及免杀处理，利用杀毒软件测试其免杀效果后交给多个“代理人”。

“代理人”负责招收投递恶意程序人员、恶意程序下发以及运营结算。“代理人”每天将一批新的恶意程序上传至创建的群组中，并发布任务要求群组成员投放恶意程序，根据受害者类型进行结算，普通微信用户的结算价格为100-150元/个，企业微信用户的结算价格为300-400元/个。每隔一段时间其目标会有所不同。

图 2‑2 “代理人”下发的任务

群组中的成员根据每日任务中的要求寻找目标，在多种APP甚至街边广告中获取商家或客服的微信号，添加为好友后通过相关话术诱导目标执行恶意程序，或者前往线下门店投递恶意程序。

图 2‑3 诱导目标用户执行恶意程序的常见套路

由于企业微信的单价更高，有些“代理人”及其群组成员会着重针对企业微信用户进行钓鱼攻击。

图 2‑4 部分代理人某日收益图（结算金额单位为元）

群组成员确认目标中招后，“代理人”根据其后台中的受控端信息对攻击结果进行验证，如受控端屏幕内容、目标地理位置、目标行业等，以此进行金额结算。

图 2‑5 代理人通过后台获取受控端信息

获取对受害者主机的远程控制权后，黑产团伙会针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

图 2‑6 黑产团伙后续的一些钓鱼攻击操作

发现恶意程序的免杀失效后，“代理人”会要求暂停恶意活动，并在几小时内或第二天上传新的免杀程序。此外，在某个群组的数千份恶意文件中，安天CERT发现了此前由安天及其他友商披露的多种不同类型的恶意程序。

03通过微信传播恶意代码活动

攻击者通过微信传播加载器A并诱导用户点击下载执行，加载器A运行后拷贝自身至指定位置，随后访问攻击者搭建的FTP服务器，下载并解密Gh0st木马A到受害主机内存中加载执行。Gh0st木马A除了具备Gh0st木马的远控功能外，还会下载另一组采用白加黑技术的恶意代码，并创建注册表启动项，该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。

图 3‑1 攻击者通过微信传播恶意代码活动流程

3.1加载器A

加载器A运行后首先判断当前启动参数中是否包含“/tmp”，若不包含则将自身拷贝至系统D盘根目录并重新命名为“vm.exe”，以指定参数“/tmp”运行该文件。

图 3‑2 Gh0st远控变种加载器A判断启动参数

启动参数验证通过后，该加载器会访问攻击者FTP服务器获取加密的Gh0st木马A文件。

图 3‑3 获取攻击者FTP服务器上加密的Gh0st木马A文件

将获取到的加密的Gh0st木马A文件加载到内存中进行解密、修复PE数据，随后在内存中执行Gh0st木马A。

图 3‑4 将获取到的加密的Gh0st木马A文件加载到内存中

该加载器使用异或算法对加密Gh0st木马A进行解密。

图 3‑5 加载器A使用的解密算法

3.2 Gh0st木马A

Gh0st木马A为Gh0st远控木马的变种，具备查看注册表、服务管理、键盘记录、文件管理、系统管理、远程终端等功能。其还会下载另一组采用白加黑技术的恶意代码，并创建注册表启动项。该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。该木马访问攻击者FTP服务器下载“NetEase.exe”、“vmwarebase.dll”、“win.dat”至“D:\NetEase”目录，并将“NetEase.exe”程序添加至注册表启动项实现开机自启动，完成持久化。其中NetEase.exe程序为带有效数字签名的正常程序。

图 3‑6 将NetEase.exe添加到注册表启动项中

表 3‑1 “白加黑”文件说明

3.3 加载器B

“NetEase.exe”程序为带有效数字签名的正常程序，该程序运行后会加载同目录下的“vmwarebase.dll”文件。该DLL为加载器B，其主要功能为加载最终载荷Gh0st木马B。

“NetEase.exe”为正常程序且携带有效数字签名，该程序运行后会加载同目录下的“vmwarebase.dll”文件。

图 3‑7 NetEase程序数字签名

加载器B运行后首先判断当前调用的进程是否为NetEase.exe，调用NetEase程序的参数是否为“auto”,若不为“auto”则退出程序。

图 3‑8 加载器B判断启动参数

随后判断当前程序是否管理员权限运行，若不是则进行提权操作。

图 3‑9 加载器B提权操作

当前程序若为管理员权限运行则加载win.dat，win.dat文件为加密的Gh0st木马B。

图 3‑10 加载加密的Gh0st木马B文件

加载器B与上述加载器A采用相同的解密算法对加密Gh0st木马B进行解密。

图 3‑11 加载器B所使用的解密算法

3.4Gh0st木马B

最终载荷Gh0st木马B使用混淆技术对抗分析，相比传统Gh0st木马，该变种还新增了浏览器数据窃取、按键监控、杀毒软件检测等功能。

图 3‑12 Gh0st木马B检测杀毒软件

根据代码结构等信息可确认该木马为Gh0st远控木马变种，详细的远控指令及功能释义如下。

表 3‑2 详细的远控指令

3.5 攻击者FTP服务器关联分析

在对恶意样本进行溯源的过程中发现攻击者至少搭建了3台FTP服务器，发现攻击者在FTP服务器上部署了多个不同C2的Gh0st木马。安天CERT通过分析发现该批Gh0st木马功能基本一致，只是C2不同。

图 3‑13 攻击者在某FTP服务器上部署的其他C2的Gh0st木马

04安全建议：持续增强网内监测和终端防护

“游蛇”黑产团伙攻击持续升级，利用微信、企业微信等即时聊天工具的电脑端登录的沟通模式，诱导执行恶意程序，进一步在群组中传播，这种即有广撒网又有针对性的攻击给安全防护工作带来更多难题，对此，安天建议：

强化业务人员安全意识

强化业务人员安全意识，降低组织被攻击可能性。客服、销售等使用微信、企业微信等电脑端登录的即时通讯应用时，避免因工作性质、利益原因，被诱导下载和运行不明来源的各类文件。组织通过选择安全意识培训服务，巩固“第一道安全防线”。

加强终端文件接收和执行防护

部署企业级终端防御系统，实时检测防护即时通讯软件接收的不明文件

提升网内流量的监测与响应

部署网络流量威胁检测设备可以结合“游蛇”黑产团伙的相关信标进行告警，及时定位被感染的终端

遭受攻击及时应急处置

发现或怀疑遭受“游蛇”黑产团伙攻击：针对“游蛇”黑产团伙在攻击活动中投放的Gh0st远控木马，在安天垂直响应平台下载安天安全威胁排查工具（下载链接：https://vs2.antiy.cn/），面对突发性安全事件、特殊场景时快速检测排查此类威胁。由于“游蛇”黑产团伙使用的攻击载荷迭代较快，且持续更新免杀技术。

05 IoCs