1 概览
" 游蛇 " 黑产自 2022 年下半年开始活跃至今,针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期,安天 CERT 监测到 " 游蛇 " 黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类:可执行程序、CHM 文件、商业远控软件 " 第三只眼 ",伪造的文件名称大多与财税、资料、函件等相关。
由于商业远控软件 " 第三只眼 " 提供多方面的远程监控及控制功能,并且将数据回传至厂商提供的子域名服务器、根据 qyid 值识别控制端用户,攻击者无需自己搭建 C2 服务器,因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。
" 游蛇 " 黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新,每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天 CERT 建议用户接收文件时保持警惕,避免点击安全性未知的可执行程序、脚本等文件,以免遭受 " 游蛇 " 攻击,造成不必要的损失。建议未购买使用 " 第三只眼 " 远控软件的用户,使用流量监测设备检查网络中是否存在与 "dszysoft.com" 及其子域名相关的连接记录,若存在则表明可能被恶意植入了相关远控,用户也可以考虑对相关域名进行封禁。
经验证,安天智甲终端防御系统(简称 IEP)可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。
2 技术梳理
近期,安天 CERT 监测到攻击者投放的初始恶意文件主要有三类,伪造的文件名称大多与财税、资料、函件等相关。
表 2 ‑ 1 近期部分样本伪装名称
伪装的程序名称
企业补贴名单 .exe
企业纳税新系统 .exe
企业税务稽查名单 .exe
2024 年企业税收减免新政策 .exe
律 - 师 - 函 102803912.exe
律师函 .exe
资料 .exe
0328.CHM
公司全套资料 .CHM
20240325.CHM
2.1 可执行程序
此类可执行程序通常是下载器,执行后在内存中执行 Shellcode,从攻击者事先准备的服务器中获取下一阶段的载荷文件,并使用 " 白加黑 "、" 内存执行 Shellcode"、" 内存解密 Payload" 等手段最终加载执行 Gh0st 等远控木马。
2.2 CHM 文件
此类 CHM 文件执行后会弹出 " 内容已损坏,无法继续浏览,请关闭 " 字样。实际上,其内部脚本中的代码此时已经执行,通过远程加载 xsl 文件的方式,获取下一阶段的载荷文件,并使用 " 白加黑 " 等手段最终加载执行 Gh0st 等远控木马。
图 2 ‑ 1 CHM 文件执行后弹出的内容
2.3 商业远控软件 " 第三只眼 "
攻击者有时也会直接将经过伪装的 " 第三只眼 " 安装包发送给目标用户,并诱导执行。攻击者传播的安装包通常以静默方式进行安装,过程中无界面显示。此外,也存在攻击者通过已经植入的远控木马进行远程安装的情况。
由于该款商业远控软件能够提供多方面的远程监控及控制功能,并且通过将数据发送至厂商提供的子域名服务器、根据 qyid 值识别控制端用户的方式回传数据,因此黑产团伙已多年恶意利用该远控软件进行攻击活动,近期依然呈现活跃趋势。该远控软件某一版本的控制端界面如下图所示。
图 2 ‑ 2 控制端界面
3 样本分析
3.1 可执行程序
由于攻击者投放的恶意可执行程序较多,此处以一例出现频率较高的可执行程序为例。
表 3 ‑ 1 样本标签
恶意代码名称 | Trojan/Win64.SwimSnake [ Downloader ] |
原始文件名 | 资料全套 .exe |
MD5 | A3A423DD691197920B64EA8E569A0CDE |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 163 KB ( 167168 字节 ) |
文件格式 | BinExecute/Microsoft.EXE [ :X64 ] |
时间戳 | 2013-03-29 01:46:13(伪造) |
数字签名 | 无效的数字签名 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C/C++ |
PDB 路径 | |
VT 首次上传时间 | |
VT 检测结果 |
该程序执行后申请一段内存空间,写入 Shellcode 并执行。
图 3 ‑ 1 执行 Shellcode
3.1.1 Shellcode
该 Shellcode 判断当前系统中是否存在 C:xxxx.ini 文件,若已经存在则结束进程,攻击者可能通过这种方式来判断系统是否曾被感染;然后检测当前系统中是否运行有安全产品相关进程,若不存在则对硬编码的字符串进行解密得到 URL,从中获取 b.dat 文件并进行解密,从而得到两组 URL 及下载后用于重命名的文件名称。该 Shellcode 默认使用其中的第一组。
图 3 ‑ 2 获取文件并解密得到 URL 及文件名称
该 Shellcode 在 C:UsersPublicVideos 中根据随机生成的名称创建文件夹 , 根据第一组 URL 下载 4 个文件,使用自定义的解密算法对其进行解密,写入创建的文件路径中,最后执行其中的可执行程序。
图 3 ‑ 3 解密后的攻击载荷文件
3.1.2 " 白加黑 " 利用
攻击者利用 " 白加黑 " 手段,通过白程序加载其构造的恶意 DLL 文件,在内存中执行 Shellcode 读取 ffff.pol 文件内容、解密得到一个 DLL 文件,再由该 DLL 文件创建计划任务、读取 ffff.lop 文件进行解密,最终执行 Gh0st 远控木马。
图 3 ‑ 4 由 ffff.lop 文件解密得到 Gh0st 远控木马
3.2 CHM 文件
表 3 ‑ 2 样本标签
Trojan/Win32.SwimSnake [ Downloader ] | |
45.204.11.10 ( 2 ) .CHM | |
FB114FFE7FC1454C011BAA502C00A358 | |
9.39 KB ( 9625 字节 ) | |
Microsoft Compiled HTML Help | |
攻击者投放的 CHM 文件执行后,从指定 URL 处获取 xsl 文件,并进行远程加载。
图 3 ‑ 5 加载远程 xsl 文件
3.2.1 load.xsl
该文件含有两段经过 Base64 编码处理的字符串,对其进行解码后在内存中加载 .NET 程序集。
图 3 ‑ 6 load.xsl 文件关键内容
3.2.2 .NET 程序
被加载的 .NET 程序从指定 URL 处获取 config 文件,读取 config 文件中的每一行内容,根据其下载文件并执行。
图 3 ‑ 7 .NET 程序关键代码
3.2.3 config.txt
config.txt 文件中包含多个托管载荷文件的 URL。
图 3 ‑ 8 config.txt 文件
3.2.4" 白加黑 " 利用
攻击者此次利用的白程序是赛车竞速游戏 " 极限竞速:地平线 5" 相关程序,并针对该白程序构造了恶意的 "PartyXboxLive.dll" 文件。该 DLL 文件被加载后,对 boom.png 文件内容进行解密,创建 msiexec.exe 进程,并将解密得到的 Gh0st 远控木马注入至 msiexec.exe 的内存空间中。
图 3 ‑ 9 攻击者利用 " 极限竞速:地平线 5" 相关程序进行攻击
3.3 商业远控软件 " 第三只眼 "
攻击者投放的 " 第三只眼 " 安装包程序通常以静默方式安装,以避免用户察觉。
表 3 ‑ 3 样本标签
HackTool/Win32.DSZY [ Spy ] | |
7B8C787345DED235BAC78AB78EC0FAEA860B3B8B | |
38.7 MB ( 40622763 字节 ) | |
BinExecute/Microsoft.EXE [ :X86 ] | |
2021-11-22 17:54:59 | |
2023-12-05 16:02:42 | |
24/72 |
3.3.1 配置信息
该软件安装目录中存在 3 个 .conf 配置文件,属于 SQLite3 数据库文件,其中含有配置信息。
图 3 ‑ 10 配置信息文件
comnctt.xdt.conf 与 syslogin.xdt.conf 文件的内容相似,包含关于网络回连及程序等配置信息。其中,main/host 表示服务器域名,config/qyid 表示控制端用户名所对应的 id。该远控软件会将运行过程中监控的数据回传至厂商提供的子域名服务器中,并根据 qyid 识别控制端对应的用户名。
图 3 ‑ 11 回连域名及 qyid
expiorer.xdt.conf 文件中含有与监控相关的配置信息。其中,main/event_config 及 main/event_rule 中含有经过 Base64 编码的字符串,解码后是 JSON 格式的配置信息,包括监控目标类别、关键字、规则等。
图 3 ‑ 12 main/event_config 解码后的部分内容
3.3.2 数据记录
该软件的安装目录有多个 .dat 文件,属于 SQLite3 数据库文件,其中记录着运行过程中收集的数据,包括屏幕截图、硬件信息、进程相关信息、键盘记录以及根据配置信息中的关键词、规则收集的数据。
屏幕截图:该软件会根据配置信息中的时间间隔持续地对屏幕进行截图。
图 3 ‑ 13 根据配置信息中的时间间隔持续进行截图
进程相关信息:该软件会对启动的进程相关信息进行记录,包括启动时间、进程名称、窗口标题等。
图 3 ‑ 14 记录进程相关信息
根据配置信息中的关键词、规则收集的数据:该软件会根据配置信息中定义的目标类别、关键词及规则收集数据,并将数据记录在相应的数据表中,包括键盘记录、文件监控、剪贴板监控、邮件信息等。
图 3 ‑ 15 相关数据表
4 防护建议
4.1 增强业务人员的安全意识
增强业务人员的安全意识,降低组织被攻击的可能性。财务、客服、销售等人员使用微信、企业微信等电脑端登录的即时通讯应用时,避免因工作性质、利益原因,被诱导下载和运行不明来源的各类文件。组织可通过选择安全意识培训服务,巩固 " 第一道安全防线 "。
4.2 使用安天安全威胁排查工具排查游蛇威胁
发现或怀疑遭受 " 游蛇 " 黑产攻击:针对 " 游蛇 " 黑产在攻击活动中投放的远控木马,在安天垂直响应平台下载安天安全威胁排查工具(https://vs2.antiy.cn," 游蛇 " 专项排查工具),面对突发性安全事件、特殊场景时快速检测排查此类威胁。由于 " 游蛇 " 黑产使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,建议客户在使用专项排查工具检出威胁后,联系安天应急响应团队(CERT@antiy.cn)处置威胁。
图 4 ‑ 1" 游蛇 " 专项排查工具检出 " 游蛇 " 威胁
4.3 加强终端文件接收和执行防护
部署企业级终端防御系统,实时检测防护即时通讯软件接收的不明文件。安天智甲终端防御系统采用安天下一代威胁检测引擎检测不明来源文件,通过内核级主动防御能力阻止其落地和运行。
图 4 ‑ 2 安天智甲终端防御系统阻止恶意文件落地
5 IoCs
IoCs
5D8D6F2D27A0BB95A9E4E1C44685F99C
6F4743D3C1C475BC6D2698CC4FC4373F
DB823462C21D62E19634AD1772F80C58
68A86812EED8C560BD0708F237338BC5
9DC1C5D895721C079DD68B6CD82FB1BB
148B5D68A05D480D60A58F73980363A2
hxxps://lldwt-oss.oss-cn-beijing.aliyuncs.com
hxxps://ced-oss.oss-cn-shanghai.aliyuncs.com
hxxps://augenstern-1324625829.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl
hxxps://elephant-1323738307.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl
hxxps://petrichor-1323738307.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl
45.195.57 [ . ] 10:8800
45.204.11 [ . ] 10:8888
登录后才可以发布评论哦
打开小程序可以发布评论哦