网络第5域

银狐猎影:深度揭示银狐团伙技战法

字号+作者: 来源:安全内参 2023-11-13 00:00 评论(创建话题) 收藏成功收藏本文

东南亚区域的中文黑灰产圈通过微信QQ等即时通信工具、邮件以及伪造工具网站的方式大肆对境内金融、教育、电商、货运、设计等各行各业进行钓鱼攻击,其'...

东南亚区域的中文黑灰产圈通过微信QQ等即时通信工具、邮件以及伪造工具网站的方式大肆对境内金融、教育、电商、货运、设计等各行各业进行钓鱼攻击,其主要目的为攻击相关公司的财务或信息人员,进行诈骗活动窃取目标资金或获取其他信息数据。

15i品论天涯网

背景15i品论天涯网

在2023年初至今,深信服深瞻情报实验室监测到东南亚区域的中文黑灰产圈通过微信QQ等即时通信工具、邮件以及伪造工具网站的方式大肆对境内金融、教育、电商、货运、设计等各行各业进行钓鱼攻击,其主要目的为攻击相关公司的财务或信息人员,进行诈骗活动窃取目标资金或获取其他信息数据。15i品论天涯网

在初始的时候,友商根据某些活动将该行动的背后团伙称为“银狐”、“谷堕”组织等。但随着深入跟踪发现,发现该类型的网络攻击诈骗行动囊括了大量的黑产团伙,且该类黑产团伙攻击频率相当之快,其中的大部分团伙使用“winos”这款由ghost远控修改而来的变种作为控制软件,攻击技战术也基本相同,使用“银狐”、“谷堕”作为组织名称已经造成安全圈一定的分析、归因混乱。所以我们将该类型的网络攻击诈骗行动背后的黑产团伙合并为“银狐”集合体,针对其中的每个团伙分类追踪。15i品论天涯网

15i品论天涯网

攻击方式15i品论天涯网

以微信/QQ等聊天软件传播为主要途径。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

邮件/SEO广告伪造虚假网站钓鱼投递恶意文件:15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

根据多个团伙的分析结果,整理出该类型攻击的整体攻击链,相关信息如下图。15i品论天涯网

15i品论天涯网

15i品论天涯网

攻击载荷15i品论天涯网

黑产团伙将恶意文件伪装成办公软件(钉钉、微信、wps)、PS、PDF转换器安装包,诱导目标执行该恶意文件。15i品论天涯网

15i品论天涯网

钉钉Setup.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-2815i品论天涯网

f3531d29c2f7795b3f1e944d2c9a29deae6b337464e83715ee3ea6e71f3ef28215i品论天涯网

office一键安装.exe.virus15i品论天涯网

EXEx8615i品论天涯网

2023-08-2815i品论天涯网

f38fbb46b2b155ec6e08137a13198c2770fde850be29c8112f69b7d96875d26515i品论天涯网

抖店_Setup.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2015i品论天涯网

23e5e1f53b513bcac59b99e15a5ba857463c944206d3ba5b2e338219ae02d35115i品论天涯网

ps一键安装.exe115i品论天涯网

EXEx8615i品论天涯网

2023-08-2815i品论天涯网

f680397af4eca1f91c9d48c003764e00259093ed20ce86a8255f7e47553abd0415i品论天涯网

wps一键安装.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-2815i品论天涯网

1dadcd97a6b45813972c3c7529b2908b56eb00855a730ed01ef7df24e980977815i品论天涯网

office (6).zip15i品论天涯网

Zip15i品论天涯网

2023-09-0115i品论天涯网

2c0f6066e18e63eb8d8aa892a02727a3549ad244c220d6c5e0dcc5e6627ecae215i品论天涯网

一键安装1.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-2315i品论天涯网

c7dcf8372894b9de4b8c88176be83c25dfb509cf3ca7ba40a9b36acc96b1ac8a15i品论天涯网

wps安装@3164.exe15i品论天涯网

EXEx6415i品论天涯网

2023-07-1015i品论天涯网

996e309926b02a16abd278caa3490e3d61345fdf20767a46257d155aa107c34915i品论天涯网

ps安装助手.zip15i品论天涯网

Zip15i品论天涯网

2023-06-2915i品论天涯网

8153e59bdeec198a2342004acb0a94d30e12af132e206b967eed8894bbfca54d15i品论天涯网

rar压缩工具_zip_1_9_5 for win7_10_11_1142.exe15i品论天涯网

EXEx6415i品论天涯网

2023-10-1315i品论天涯网

aa20f4a70314934cf30ad3547ede9853712cc78cd0c823a7ec3d0b65e861b1f615i品论天涯网

PDF转换器@2990.exe15i品论天涯网

EXEx6415i品论天涯网

2023-06-0215i品论天涯网

c1bbda86c1f5caa1ec4f53a9bb16f0f745c371fa59c17246ea77fa47fa76144515i品论天涯网

pdf安装助手@8234.exe15i品论天涯网

EXEx6415i品论天涯网

2023-06-2115i品论天涯网

e534cb7f668c86fb6bd158f57819d6471ff5ba6c4a4b5423c7e2692f7838acea15i品论天涯网

PDF for windows @1142.exe15i品论天涯网

EXEx6415i品论天涯网

2023-06-2515i品论天涯网

eb3fbdc4119ad9f1710295f4697070ba49db587e93bb14b67174550a1d6809d415i品论天涯网

WinRaR解压软件免费1143.exe15i品论天涯网

EXEx6415i品论天涯网

2023-10-1215i品论天涯网

5fbfcaf5c55e18c83c494d76c4f53da1382a7963d7f35401950d76c71b4aeab415i品论天涯网

Microsoft Office 免费版.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1215i品论天涯网

579789180fee3866d448a42fe1b219288378b826f0caebc03b92257bca69067615i品论天涯网

百度云盘8591.exe15i品论天涯网

EXEx6415i品论天涯网

2023-08-1415i品论天涯网

c168bb87db01627d04f15d9f559879ea4aa47b393ee3a8dfbdabbf0661de5a4615i品论天涯网

黑产团伙将恶意文件伪装发票、税收、财务、保险、证券压缩包。15i品论天涯网

15i品论天涯网

9.15公布涉税企业名单.rar15i品论天涯网

RAR15i品论天涯网

2023-09-1515i品论天涯网

92deefd3cb87bd4e78f0dd7a63453d038b023f3636f97ee1cd41c4fd1e5c816115i品论天涯网

9-11公布偷税漏税名单.rar15i品论天涯网

RAR15i品论天涯网

2023-09-1115i品论天涯网

20d6782a4ac32450a444aae7d0ebb5da194375a56d838bbf57803a5776cf727615i品论天涯网

本市2023年度企业税收稽查名单公布.rar15i品论天涯网

RAR15i品论天涯网

2023-09-1115i品论天涯网

e99ff0fbae707f344ba337943a3da56d238a9bb14e3f55c672f051b921e71a8d15i品论天涯网

涉嫌偷税漏税企业名单.rar15i品论天涯网

RAR15i品论天涯网

2023-09-0515i品论天涯网

a41985b26d15d437f9c82ad390ffd4e73e7e638c26bbdaa374b1ed7078ab648f15i品论天涯网

国家税务同企业补贴政策通知.zip15i品论天涯网

Zip15i品论天涯网

2023-09-0415i品论天涯网

fed21183a5a0ed94ead68110be380b6e094a5042c5295a71018818384546052115i品论天涯网

记账报税资料(1).zip15i品论天涯网

Zip15i品论天涯网

2023-07-1115i品论天涯网

4a725864d44fc3c6aca027dfabc67b1d4bd4ff03daf442730cb2a17feac19aaa15i品论天涯网

7月纳税人税调整4854.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-1115i品论天涯网

16666075be895ff3160f0661665abd1622b104da6f6d6cf3ddcdc0cbd946740c15i品论天涯网

高级会计大全@4854.exe15i品论天涯网

EXEx8615i品论天涯网

2023-09-2215i品论天涯网

bd585a4ec25b11ef03736ebf7988d96e6a8346ba3b2de1b689860769aac6b7d715i品论天涯网

税务稽查自查系统@9115.exe15i品论天涯网

EXEx6415i品论天涯网

2023-07-0515i品论天涯网

9e511cc3a1663f0118035d861529f91b91b42c6a39ab997e07210db316b415ac15i品论天涯网

發票.zip15i品论天涯网

Zip15i品论天涯网

2023-06-0815i品论天涯网

64b3f8ccf617b78b6964fc43993183d538cfba0ec8f575e589bb27c886020b3615i品论天涯网

关于税务文书通知@2698.exe15i品论天涯网

EXEx6415i品论天涯网

2023-07-2115i品论天涯网

acef7db1aea0e0f400c812b65714e3228337bbc2bfe29c308f5ab15760a73ed515i品论天涯网

保险资料.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1415i品论天涯网

2af7ae5e7e360cefcb9391d85561504270d920773b23dad1c8182465300f832715i品论天涯网

中高会计大全(1).zip15i品论天涯网

Zip15i品论天涯网

2023-08-1515i品论天涯网

ddf3202d0f493275f758010630f26a0f83252c958dfc6a04a7234e1fcd27eea415i品论天涯网

电子票.zip15i品论天涯网

Zip15i品论天涯网

2023-07-1915i品论天涯网

74bad4518bae9a6b1e2180864cabfd97bc213820ee5d4109998b4d8586107b0815i品论天涯网

票据单.zip15i品论天涯网

Zip15i品论天涯网

2023-07-2615i品论天涯网

42a7c0fbb5c15295b02b28c9ec0946a6b9f6da621eac8171d883aa0b05c3054d15i品论天涯网

用料清单.zip15i品论天涯网

Zip15i品论天涯网

2023-07-2215i品论天涯网

d93821e133d821082f532230f9556d9e4241a35b239a15201f97404dadee634c15i品论天涯网

社保.zip15i品论天涯网

Zip15i品论天涯网

2023-07-2115i品论天涯网

864e3335292fe62fe7a34fe47d8b72d850d8eb7d4d394ec91e34d2692e43a4fb15i品论天涯网

购车配置单.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2515i品论天涯网

ff17d32940664f610085ad6321cfea36b5c4196c5c41f1aab45c844c5391204b15i品论天涯网

出纳人员必备软件1051.exe15i品论天涯网

EXEx6415i品论天涯网

2023-08-2415i品论天涯网

f839618112b2c2beaa617567cf8487e3c6155541b12a8fb31dc364bc2596249615i品论天涯网

8月税--务--告示4854.exe15i品论天涯网

EXEx6415i品论天涯网

2023-09-0615i品论天涯网

80d07b9437897db2bd2bb2c1ccf059fe373122fe6a079a865457a3bcd1c4cf7d15i品论天涯网

國家稅務總局下達了關於2023稅務抽查行業通告6229.exe.yzjdownload15i品论天涯网

EXEx6415i品论天涯网

2023-08-1515i品论天涯网

866385240549de5698de48c89414db00263a3aa98373d98d1b163c5249b40dfd15i品论天涯网

电子税务局退税助手1051.zip15i品论天涯网

Zip15i品论天涯网

2023-08-0515i品论天涯网

840230e4d90b04e2a8230babce34d3fbf33f0f4aa9b06a8a53ba12fac1d1461915i品论天涯网

国泰君安证券公司内部会议视频流出-已上传网络安全中心.msi15i品论天涯网

msi15i品论天涯网

2023-10-1215i品论天涯网

160ac866b22f6ffc7b5ee6067dd0ee514ca989c24d92d04778024875053c6d2215i品论天涯网

北京洛可可科技对采购云服务器存储等调研补充.exe15i品论天涯网

EXEx6415i品论天涯网

2023-10-1215i品论天涯网

3145ddf650bab784a803af100248230fd9d0760894296eda185e4ef47b1a0a3515i品论天涯网

EV录屏-付款闪退录制.com15i品论天涯网

EXEx6415i品论天涯网

2023-10-1215i品论天涯网

e3076d118051f4cfc4f10df1d18f2036457835c9025a64b622524acdd9dd837f15i品论天涯网

黑产团伙将恶意文件伪装成各种图片类型的文件。15i品论天涯网

15i品论天涯网

U-719图片--.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-3015i品论天涯网

5d9a99f21c03488be8557f570c7750bd887fb6e13b29e609334866901b1a676815i品论天涯网

户型图 2.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2815i品论天涯网

7dc8add5e648c50cd9457f072c6ce427873340ae4232114c932667a9a45ebd4315i品论天涯网

照片.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1815i品论天涯网

9939702cf43accc49011f0609d5d741b5a1a9e91892154fbaedd1648e574a0fd15i品论天涯网

公司员工证件照.exe15i品论天涯网

EXEx8615i品论天涯网

2023-09-0715i品论天涯网

90c26c5cbb88dc32fca1b8165078d195cf2ee9ffadf2988d69b9bc4b19e5512715i品论天涯网

备用(7.5).exe15i品论天涯网

EXEx6415i品论天涯网

2023-09-1915i品论天涯网

a95e0fe8c5c078b81d9599cfeb622a7c8e1c5d984ca943104904f6f2650c25a215i品论天涯网

打包图49.exe15i品论天涯网

EXEx8615i品论天涯网

2023-04-2015i品论天涯网

c023d1cbcc46cd8a22fcc270c8d9a0c815359f10f980e3a49fff7f4477bec2bc15i品论天涯网

效果图.zip15i品论天涯网

Zip15i品论天涯网

2023-07-1915i品论天涯网

ba68ea82b19b4b68848b454b441a42d989cc541e5fe6838a5ce271bb9185a04b15i品论天涯网

爱尔眼科资料.zip15i品论天涯网

Zip15i品论天涯网

2023-09-0115i品论天涯网

bd8c4d8010a69419dfbad3330f7c48316fea532b01e3f54cf220c7736e1dc83915i品论天涯网

邀请函2698.exe15i品论天涯网

EXEx6415i品论天涯网

2023-09-1115i品论天涯网

7b6585e9e151410ea5d36dc9874c879e8f617af233072e1ae7bf72123d209c4715i品论天涯网

MR检查报告 (7).zip15i品论天涯网

Zip15i品论天涯网

2023-09-0115i品论天涯网

2653c4065bbed694b2d58272c49b18694b74bed6f1b09a7f6cd9e9afee4860cd15i品论天涯网

婚礼1216.rar15i品论天涯网

RAR15i品论天涯网

2023-08-1615i品论天涯网

4e3ec549f192d2d48d057ebbe9f23227a8da093530bb48f05195ff5ad90ad9c715i品论天涯网

贵司邀请函2698.exe15i品论天涯网

EXEx6415i品论天涯网

2023-08-1915i品论天涯网

c92d964fe46ac9d1be4b4ea8257b78ff7b9c85c3d6945e40cb8b9f0e4df72f8015i品论天涯网

个人资料.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1015i品论天涯网

b2f62661fd0bf559945dd1724313a2a5aaa11a87d7353b784330268d834c34b215i品论天涯网

黑产团伙将恶意文件伪装成方案、设计类型。15i品论天涯网

文件1.zip(5).zip15i品论天涯网

Zip15i品论天涯网

2023-08-2415i品论天涯网

fd5d5dfd1fb33a75d4910c85cdd59879fd507c94dc48019a5f0717777fbc4fa115i品论天涯网

计划方案1.zip.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2415i品论天涯网

6bbd71d9d78e42e0c456567442f5aa8c8917f35db73272f6421b581a302cc9aa15i品论天涯网

方案3.zip.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2415i品论天涯网

b3679e717d32952b3a77a429407736fc3dbb746013ae192195ff748967b8e65b15i品论天涯网

方案1.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2415i品论天涯网

c7635ec03940bc93df5e2d95ed783e712b41c6bd0c5b1e5e64c0b03aaafe20ef15i品论天涯网

方案setup.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-2915i品论天涯网

aad2d8e021ebfe8837e8037710cc857cd35d39cc93badb622a083cfb1ae8f1f215i品论天涯网

方案D.exe15i品论天涯网

EXEx8615i品论天涯网

2023-08-2815i品论天涯网

be60372a41152aa7913b595b509c8f41a7c829a9bb0599c86d48c2e24dfae70115i品论天涯网

设计.exe15i品论天涯网

EXEx6415i品论天涯网

2023-09-1815i品论天涯网

0bd18b1dd1786554fee71ab886a348c40e8f951e715613fd64198957e9b474c315i品论天涯网

广告模版.zip15i品论天涯网

Zip15i品论天涯网

2023-07-0315i品论天涯网

995a8ad6b51979a0d086f8004743256f900bc220d19a3af018f607e0b699398c15i品论天涯网

雕刻图纸.zip15i品论天涯网

Zip15i品论天涯网

2023-08-0215i品论天涯网

b8818ff82692647405ae7248231b7c8c851ea56defe6207832ee55fe24fc6e3c15i品论天涯网

家具定制设计 (8).zip15i品论天涯网

Zip15i品论天涯网

2023-07-1415i品论天涯网

c77053a080b36894dbbdf57db2086e26ab0d0afb9c7336b6a1fd3b7f782df10915i品论天涯网

图纸.rar15i品论天涯网

RAR15i品论天涯网

2023-09-0915i品论天涯网

41f79ba5db120e08ca25e747ae8e3adcb38d45dd2fc51c84bbd38d3d1b91668a15i品论天涯网

卧室精装.zip15i品论天涯网

Zip15i品论天涯网

2023-08-2815i品论天涯网

a95dfd2678ce4c3cf45714290ff54321c4517d8638f88925fba07550faf09d5e15i品论天涯网

定制要求.zip15i品论天涯网

Zip15i品论天涯网

2023-07-2715i品论天涯网

b6fefd72f51e21f37adad067f0f21b368470a4a72774e87bbcc056b6dd80c4ec15i品论天涯网

医美方案.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1115i品论天涯网

e0d7a171365cf0c7638f0b55c5a0147af2bbebedda318dd1634e6d1f3174f74515i品论天涯网

全屋定制.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1115i品论天涯网

a5daaad3d3f275085008eaa3bc290c50589af0a91d987a6e147b2f1e4ee0200215i品论天涯网

全屋东西效果设计图.zip15i品论天涯网

Zip15i品论天涯网

2023-08-1415i品论天涯网

4e6a674158494cc67cdc57173332a353ae080636a61cac4718992a848d5b0ca615i品论天涯网

银狐集合体15i品论天涯网

为了对该集合体有更清晰的认知与了解,我们详细分析了该集合体中的四个团伙的背景、传播方式、技战术、恶意组件等信息。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

银狐集合体-团伙一15i品论天涯网

团伙背景:15i品论天涯网

该团伙主要使用虚假下载站、即时通信工具(微信、QQ)等向目标投递或扩散恶意exe文件,其投递的部分恶意exe文件会窃取相关证书并进行伪造(签名无效,校验不通过),将第二阶段载荷数据存放于其资源数据,解密资源数据释放第二阶段载荷,第二阶段载荷并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本),下表为相关恶意文件信息。15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

45e819017b4dbc9a7d0103bcff8abc5315i品论天涯网

wps电脑版安装.exe15i品论天涯网

1、 通过窃取360证书并应用到恶意软件以便绕过杀软(只是单纯的窃取证书并签署到自身,数字签名无效)15i品论天涯网

2、 解密(取反)资源数据释放载荷15i品论天涯网

3、 检测到杀毒软件(360)会弹出提示框诱导用户退出杀软15i品论天涯网

4、 并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)15i品论天涯网

注:最终阶段为edge.xml解密执行edgexx.jpg载荷,该载荷为gh0st远控变种15i品论天涯网

wtkblq.com:707015i品论天涯网

http[:]//38.55.184.74/ip.txt15i品论天涯网

15i品论天涯网

80983409282414181744ec370ed5090315i品论天涯网

驱动一键安装.exe15i品论天涯网

wtkblq.com:707015i品论天涯网

38.6.160.10:700015i品论天涯网

977605a5d2b787f006f4e11a7e68886115i品论天涯网

方案setup.exe15i品论天涯网

wtkblq.com:707015i品论天涯网

164.88.140.82:700015i品论天涯网

e7e2c5fe935a929e8834562babe4f7f015i品论天涯网

方案D.exe15i品论天涯网

wtkblq.com:707015i品论天涯网

143.92.57.121:700015i品论天涯网

c517dec025402d55e24ac00dbd04db4c15i品论天涯网

钉钉一键安装.exe15i品论天涯网

wtkblq.com:707015i品论天涯网

164.88.140.82:700015i品论天涯网

d9f98bf2ecbff5a876971616a2e3b81815i品论天涯网

本市2023年度企业税收稽查名单公布.rar15i品论天涯网

1、 攻击者使用Setup Factory打包恶意程序,该程序异或解密内嵌数据,释放第二阶段解包载荷,第二阶段解包载荷创建命令从该打包文件提取出第三阶段载荷。15i品论天涯网

2、 第三阶段载荷解压加密压缩包释放第四阶段载荷15i品论天涯网

3、 第四阶段载荷未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)15i品论天涯网

注:最终阶段为edge.xml解密执行edgexx.jpg载荷,该载荷为gh0st远控变种15i品论天涯网

15i品论天涯网

fufeeti.net:770015i品论天涯网

202.79.173.12:770015i品论天涯网

122cadfbae683357ab76d39a3581681a15i品论天涯网

公司员工证件照.exe15i品论天涯网

fufeeti.net:770015i品论天涯网

164.155.255.38:770015i品论天涯网

d3014107fa8d84e6d95182f692994a1915i品论天涯网

国家税务同企业补贴政策通知.zip15i品论天涯网

fufeeti.net:770015i品论天涯网

45.195.53.247:770015i品论天涯网

攻击技战术:15i品论天涯网

15i品论天涯网

Tatic(战术)15i品论天涯网

Techniques(技术)15i品论天涯网

Procedures(过程)15i品论天涯网

Description(描述)15i品论天涯网

Reconnaissance(侦查)15i品论天涯网

T1589-Gather Victim Identity Information(获取受害者信息)15i品论天涯网

T1589.002-Email Addresses(邮箱地址)15i品论天涯网

这个团伙似乎没有15i品论天涯网

Resource Development(资源开发)15i品论天涯网

T1583 -Acquire Infrastructure(获取基础设施)15i品论天涯网

T1583.003-Virtual Private Server(虚拟主机)15i品论天涯网

攻击者购买虚拟主机作为C2控制节点15i品论天涯网

T1583.007-Serverless(无服务器)15i品论天涯网

攻击者购买云存储服务(OSS)用于下发载荷15i品论天涯网

T1583.008-Malvertising(恶意广告)15i品论天涯网

攻击者购买搜索引擎广告服务,投递恶意文件15i品论天涯网

T1586-Compromise Accounts(泄露账户)15i品论天涯网

T1586.001-Social Media Accounts(社交账户)15i品论天涯网

攻击者购买黑市中的QQ、微信等社交账号15i品论天涯网

Initial Access(初始访问)15i品论天涯网

T1189-Drive By Compromise(路过式感染)15i品论天涯网

15i品论天涯网

攻击者购买广告服务用于投递恶意文件15i品论天涯网

T1566-Phishing(网络钓鱼)15i品论天涯网

15i品论天涯网

攻击者通过邮件或社交账号向目标投递恶意文件15i品论天涯网

Execution(执行)15i品论天涯网

T1059-Command and Scripting Interpreter(命令与脚本解释器)15i品论天涯网

T1059.007-JavaScript15i品论天涯网

攻击者投递的恶意载荷中使用chm中的javascript代码加载后续载荷15i品论天涯网

T1204-User Execution(用户执行)15i品论天涯网

T1204.002-Malicious File(恶意文件)15i品论天涯网

攻击者投递恶意文件并诱导目标执行15i品论天涯网

Persistence(驻留)15i品论天涯网

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)15i品论天涯网

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)15i品论天涯网

攻击者修改启动配置实现自启动15i品论天涯网

Defense Evasion(对抗防御)15i品论天涯网

T1574-Hijack Execution Flow(劫持执行流程)15i品论天涯网

T1574.002-DLL Side-Loading(DLL侧加载)15i品论天涯网

攻击者利用DLL侧加载技术加载载荷15i品论天涯网

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)15i品论天涯网

攻击者将自身的载荷修改命名为svchost.exe15i品论天涯网

T1055-Process Injection(进程注入)15i品论天涯网

T1055.002-Portable Execution Injection(便携式可执行注入)15i品论天涯网

攻击组件解密PE文件并注入执行15i品论天涯网

T1055.003-Thread Execution Hijacking(线程执行劫持)15i品论天涯网

攻击组件解密shellcode并创建线程执行15i品论天涯网

T1027-Obfuscated Files or Information(混淆的文件或信息)15i品论天涯网

15i品论天涯网

攻击者对多阶段载荷进行加密15i品论天涯网

Credential Access(凭证访问)15i品论天涯网

T1555-Credentials from Password Stores(来自密码存储的凭证)15i品论天涯网

T1555.003-Credentials from Web Browsers(浏览器凭据)15i品论天涯网

攻击者会窃取目标的浏览器凭据15i品论天涯网

Lateral Movement(横向运动)15i品论天涯网

T1534-Internal Spearphishing(内部鱼叉攻击)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散15i品论天涯网

Collection(收集)15i品论天涯网

T1056-Input Capture(输入捕捉)15i品论天涯网

T1056.001-Keylogging(键盘记录)15i品论天涯网

攻击者会使用攻击组件记录键盘数据15i品论天涯网

T1056.002-GUI Input Capture(图形界面输入捕捉)15i品论天涯网

攻击者远程屏幕操作目标主机15i品论天涯网

T1115-Clipboard Data(窃取或替换剪切板数据)15i品论天涯网

15i品论天涯网

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址。15i品论天涯网

T1113-Screen Capture(屏幕监控)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作。15i品论天涯网

Command and Control(命令与控制)15i品论天涯网

T1095-Non-Application Layer Protocol(非应用层协议)15i品论天涯网

15i品论天涯网

攻击者恶意组件使用自有协议进行通信15i品论天涯网

T1571-Non-Standard Port(非标准端口)15i品论天涯网

15i品论天涯网

攻击者部署C2通信使用非标准端口(大部分使用大端口)15i品论天涯网

Exfiltration(渗出)15i品论天涯网

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)15i品论天涯网

15i品论天涯网

通过C2通道实现数据渗出15i品论天涯网

Impact(影响)15i品论天涯网

T1491-Defacement(污损)15i品论天涯网

T1491.001-Internal Defacement(内部污损)15i品论天涯网

攻击者窃取组织内部资金,散布虚假不良消息15i品论天涯网

T1491.001-Internal Defacement(外部污损)15i品论天涯网

恶意文件外部扩散,散布虚假不良消息15i品论天涯网

15i品论天涯网

案例样本分析:15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

45e819017b4dbc9a7d0103bcff8abc5315i品论天涯网

wps电脑版安装.exe15i品论天涯网

1、 通过窃取360证书并应用到恶意软件以便绕过杀软(只是单纯的窃取证书并签署到自身,数字签名无效)15i品论天涯网

2、 解密(取反)资源数据释放载荷15i品论天涯网

3、 检测到杀毒软件(360)会弹出提示框诱导用户退出杀软15i品论天涯网

并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)15i品论天涯网

wtkblq.com:707015i品论天涯网

http[:]//38.55.184.74/ip.txt15i品论天涯网

15i品论天涯网

其投递的第一阶段载荷通过伪造合法证书签名信息的方式以规避杀软。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

该组件将其第二阶段载荷存放于资源数据中,并检测系统是否存在杀软,如存在则弹框提示用户退出杀毒软件。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

对资源数据取反解密并写入目录“C:\Users\Public\Downloads”下的随机文件夹中。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

释放的文件信息如下15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

释放的文件信息说明如下表。15i品论天涯网

15i品论天涯网

名称15i品论天涯网

文件说明15i品论天涯网

xxxxx.exe(SnpzpPgo.exe)15i品论天涯网

白文件,会加载目录下同文件的dat文件,并使用内置密码“99B2328D3FDF4E9E98559B4414F7ACB9”解压该文件,执行其中的恶意lua脚本“_TUProj.dat”15i品论天涯网

xxxxx.dat(SnpzpPgo.dat)15i品论天涯网

伪装的dat更新包,其中包含恶意lua脚本文件“_TUProj.dat”,lua脚本用于修补edge.xml 文件头部并加载edge.xml15i品论天涯网

edge.xml15i品论天涯网

故意修改了PE头部的文件,用于解密加载edge.jpg最终载荷,并创建任务计划15i品论天涯网

edge.jpg15i品论天涯网

最终的执行载荷,为ghost远控变种15i品论天涯网

xxxxx.exe加载执行同目录下的同名dat文件中的恶意lua脚本,lua脚本内容如下,加载其中硬编码的shellcode。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

该硬编码shellcode会读取edge.xml文件,并修补其头部5个字节(异或0x30 + 0x30),并在内存中加载修补后的edge.xml文件15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

修补后的edge.xml文件会创建任务计划用于执行上述的白文件实现主机驻留。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

接着解密最终载荷edge.jpg文件并加载执行,图片的数据构造为正常图片数据 + 加密数据 + 四字节加密数据偏移 + 一字节初始异或密钥(每轮异或解密后,密钥值加一)。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

解密出的载荷为gh0st远控变种,拥有键盘记录、远程命令执行、文件浏览、浏览器信息窃取等功能,其C2地址为“wtkblq.com:7070”,并尝试从“http[:]//38.55.184.74/ip.txt”获取新的C2地址。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

网络基础设施:15i品论天涯网

15i品论天涯网

类型15i品论天涯网

详细信息15i品论天涯网

domain:port15i品论天涯网

wtkblq.com:707015i品论天涯网

domain:port15i品论天涯网

fufeeti.net::770015i品论天涯网

url15i品论天涯网

http[:]//38.55.184.74/ip.txt15i品论天涯网

ip:port15i品论天涯网

38.6.160.10:700015i品论天涯网

ip:port15i品论天涯网

164.88.140.82:700015i品论天涯网

ip:port15i品论天涯网

143.92.57.121:700015i品论天涯网

ip:port15i品论天涯网

202.79.173.12:770015i品论天涯网

ip:port15i品论天涯网

164.155.255.38:770015i品论天涯网

ip:port15i品论天涯网

45.195.53.247:770015i品论天涯网

网空测绘特征:15i品论天涯网

15i品论天涯网

引擎15i品论天涯网

说明15i品论天涯网

语句15i品论天涯网

all15i品论天涯网

针对该攻击团伙的多个Ghost C2分析,其常使用端口7070和7000(但是目前多个网空引擎并不会扫描到该端口)15i品论天涯网

port=7070 and port=700015i品论天涯网

15i品论天涯网

检测Yara规则:15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker01_exeloader115i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

hash = "6a6e73e36576e8bd36f10f707c2fb3a4b9533e72c269cebc807b408d142a6576"15i品论天涯网

strings:15i品论天涯网

$exeloader_data0001 = {00 25 74 65 6D 70 25 65 72 72 6F 72 2E 6C 6F 67 00}15i品论天涯网

$exeloader_data0002 = {00 48 65 6C 6C 6F 00 [1-20] 30 31 32 33 34 35 36 37 38 39 61}15i品论天涯网

condition:15i品论天涯网

1 of ($exeloader_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker01_exeloader215i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

hash = "fed21183a5a0ed94ead68110be380b6e094a5042c5295a710188183845460521"15i品论天涯网

note = "maybe wrong"15i品论天涯网

strings:15i品论天涯网

$exeloader_data0001 = "%s\\irsetup.exe"15i品论天涯网

$exeloader_data0002 = {00 6C 75 61 35 2E 31 2E 64 6C 6C 00 [1-10] 69 72 73 65 74 75 70 2E 65 78 65 00}15i品论天涯网

condition:15i品论天涯网

1 of ($exeloader_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker01_fakexml15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

hash = "6a6e73e36576e8bd36f10f707c2fb3a4b9533e72c269cebc807b408d142a6576"15i品论天涯网

strings:15i品论天涯网

$fakexml_data0001 = {2D 1A 50 00 03 00 00 00 04}15i品论天涯网

condition:15i品论天涯网

$fakexml_data0001 at 015i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker01_gh0st_godeye15i品论天涯网

{15i品论天涯网

strings:15i品论天涯网

$gh0st_enc_data0001 = {41 42 43 44 A0 0A 00 00 45}15i品论天涯网

$gh0st_data0001 = "Groupfenzhu"15i品论天涯网

$gh0st_data0002 = "Remarkbeizhu"15i品论天涯网

$gh0st_data0003 = "Godeye4.a"15i品论天涯网

$gh0st_data0004 = "taskkill /im rundll322.exe /f & exit"15i品论天涯网

$gh0st_data0005 = "rundll3222.exe"15i品论天涯网

$gh0st_data0006 = "http://%s/%d.dll"15i品论天涯网

$gh0st_data0007 = "C:\\ProgramData\\xxx" nocase15i品论天涯网

$gh0st_data0008 = "C:\\xx.exe" nocase15i品论天涯网

$gh0st_data0009 = "cmd /c echo.>c:\\xxxx.ini"15i品论天涯网

condition:15i品论天涯网

($gh0st_enc_data0001 at (filesize - 9)) or15i品论天涯网

1 of ($gh0st_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker01_shellcode15i品论天涯网

{15i品论天涯网

strings:15i品论天涯网

$shellcode_data0010 = {E9 ?? ?? 00 00 CC CC CC CC [2-8] CC CC CC CC 64 A1 30 00 00 00}15i品论天涯网

condition:15i品论天涯网

1 of ($shellcode_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

银狐合体-团伙二15i品论天涯网

团伙背景:15i品论天涯网

该团伙通过在通信工具(微信、QQ)投递税务相关标题的诱饵,诱饵中包含pyinstaller打包恶意文件,具有较好的静态免杀效果。采用多种加密算法加密shellcode,来对抗流量设备的检测。目前收集到该团伙使用的远控组件有普通gh0st及其变种银狐winos,在远控组件的选择上该团伙比较灵活多变。15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

52e89cc2b3d8592336a50230293cf13615i品论天涯网

9月份税务企业抽查罚款名单 .zip15i品论天涯网

1、 使用pyinstaller打包文件,无其他类型的落地文件15i品论天涯网

2、 chacha20解密数据15i品论天涯网

内存加载两种类型的gh0st:普通gh0st变种及winos变种(谷堕)。15i品论天涯网

43.129.206.5515i品论天涯网

www.loaplqwq.com15i品论天涯网

43.129.72.3515i品论天涯网

43.132.208.23615i品论天涯网

124.156.181.7615i品论天涯网

43.128.9.11915i品论天涯网

96.43.110.25015i品论天涯网

4b160382fda9cfc19bc7598003fecfbf15i品论天涯网

2023税务稽查.名单.zip15i品论天涯网

1、 使用pyinstaller打包文件,无其他类型的落地文件15i品论天涯网

2、aes+rc4+xor解密数据15i品论天涯网

www.tyotya.com15i品论天涯网

43.129.244.22515i品论天涯网

15i品论天涯网

15i品论天涯网

攻击技战术:15i品论天涯网

15i品论天涯网

Tatic(战术)15i品论天涯网

Techniques(技术)15i品论天涯网

Procedures(过程)15i品论天涯网

Description(描述)15i品论天涯网

Reconnaissance(侦查)15i品论天涯网

T1589-Gather Victim Identity Information(获取受害者信息)15i品论天涯网

T1589.002-Email Addresses(邮箱地址)15i品论天涯网

这个团伙似乎没有15i品论天涯网

Resource Development(资源开发)15i品论天涯网

T1583 -Acquire Infrastructure(获取基础设施)15i品论天涯网

T1583.003-Virtual Private Server(虚拟主机)15i品论天涯网

攻击者购买虚拟主机作为C2控制节点15i品论天涯网

15i品论天涯网

T1586-Compromise Accounts(泄露账户)15i品论天涯网

T1586.001-Social Media Accounts(社交账户)15i品论天涯网

攻击者购买黑市中的QQ、微信等社交账号15i品论天涯网

Initial Access(初始访问)15i品论天涯网

T1566-Phishing(网络钓鱼)15i品论天涯网

15i品论天涯网

攻击者通过邮件或社交账号向目标投递恶意文件15i品论天涯网

Execution(执行)15i品论天涯网

T1059-Command and Scripting Interpreter(命令与脚本解释器)15i品论天涯网

T1059.003-Python15i品论天涯网

攻击者投递的恶意载荷是使用pyinstaller打包python脚本生成的可执行文件15i品论天涯网

T1204-User Execution(用户执行)15i品论天涯网

T1204.002-Malicious File(恶意文件)15i品论天涯网

攻击者投递恶意文件并诱导目标执行15i品论天涯网

Persistence(驻留)15i品论天涯网

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)15i品论天涯网

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)15i品论天涯网

攻击者修改启动配置实现自启动15i品论天涯网

Defense Evasion(对抗防御)15i品论天涯网

T1055-Process Injection(进程注入)15i品论天涯网

T1055.002-Portable Execution Injection(便携式可执行注入)15i品论天涯网

攻击组件解密PE文件并注入执行15i品论天涯网

T1055.003-Thread Execution Hijacking(线程执行劫持)15i品论天涯网

攻击组件解密shellcode并创建线程执行15i品论天涯网

T1027-Obfuscated Files or Information(混淆的文件或信息)15i品论天涯网

15i品论天涯网

攻击者对多阶段载荷进行加密15i品论天涯网

Credential Access(凭证访问)15i品论天涯网

T1555-Credentials from Password Stores(来自密码存储的凭证)15i品论天涯网

T1555.003-Credentials from Web Browsers(浏览器凭据)15i品论天涯网

攻击者会窃取目标的浏览器凭据15i品论天涯网

Lateral Movement(横向运动)15i品论天涯网

T1534-Internal Spearphishing(内部鱼叉攻击)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散15i品论天涯网

Collection(收集)15i品论天涯网

T1056-Input Capture(输入捕捉)15i品论天涯网

T1056.001-Keylogging(键盘记录)15i品论天涯网

攻击者会使用攻击组件记录键盘数据15i品论天涯网

T1056.002-GUI Input Capture(图形界面输入捕捉)15i品论天涯网

攻击者远程屏幕操作目标主机15i品论天涯网

T1115-Clipboard Data(窃取或替换剪切板数据)15i品论天涯网

15i品论天涯网

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址15i品论天涯网

T1113-Screen Capture(屏幕监控)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作15i品论天涯网

Command and Control(命令与控制)15i品论天涯网

T1095-Non-Application Layer Protocol(非应用层协议)15i品论天涯网

15i品论天涯网

攻击者恶意组件使用自有协议进行通信15i品论天涯网

T1571-Non-Standard Port(非标准端口)15i品论天涯网

15i品论天涯网

攻击者部署C2通信使用非标准端口(大部分使用大端口)15i品论天涯网

Exfiltration(渗出)15i品论天涯网

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)15i品论天涯网

15i品论天涯网

通过C2通道实现数据渗出15i品论天涯网

Impact(影响)15i品论天涯网

T1491-Defacement(污损)15i品论天涯网

T1491.001-Internal Defacement(内部污损)15i品论天涯网

攻击者窃取组织内部资金,散布虚假不良消息15i品论天涯网

T1491.001-Internal Defacement(外部污损)15i品论天涯网

恶意文件外部扩散,散布虚假不良消息15i品论天涯网

15i品论天涯网

案例样本分析:15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

52e89cc2b3d8592336a50230293cf13615i品论天涯网

9月份税务企业抽查罚款名单 .zip15i品论天涯网

1、 使用pyinstaller打包文件,无其他类型的落地文件15i品论天涯网

2、 chacha20解密数据15i品论天涯网

内存加载两种类型的gh0st:普通gh0st变种及winos变种(谷堕)。15i品论天涯网

43.129.206.5515i品论天涯网

www.loaplqwq.com15i品论天涯网

43.129.72.3515i品论天涯网

96.43.110.25015i品论天涯网

钓鱼压缩包解压后是一个伪装成word文档的exe可执行文件,由pyinstaller打包。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

解包后,可以看到,样本使用ftp从攻击者C2下载了两个文件:KuGou.exe、76_ChaCha20_Emoji.exe。KuGou.exe为白文件无恶意行为,76_ChaCha20_Emoji.exe会在内存加载shellcode,在内存在加载Gh0st远控。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

在该ftp服务器上,我们下载到了以下第二阶段载荷,文件名的第一个数字为外联IP的最后一位。15i品论天涯网

15i品论天涯网

名称15i品论天涯网

文件说明15i品论天涯网

35_ChaCha20_Emoji.exe15i品论天涯网

在内存中加载winos变种(谷堕),外联C2:43.129.72.35:6524015i品论天涯网

76_ChaCha20_Emoji.exe15i品论天涯网

在内存中加载winos变种(谷堕),外联C2:124.156.181.76:5310415i品论天涯网

119_ChaCha20_Emoji.exe15i品论天涯网

在内存中加载winos变种(谷堕),外联C2:43.128.9.119:5813215i品论天涯网

236_ChaCha20_Emoji.exe15i品论天涯网

在内存中加载winos变种(谷堕),外联C2:43.132.208.236:6195015i品论天涯网

250_ChaCha20_Emoji.exe15i品论天涯网

在内存中加载普通gh0st变种,外联C2:96.43.110.250:6359115i品论天涯网

这些载荷也都是使用pyinstaller,解包后,分析代码可知,样本从攻击者C2下载一段加密数据,每个字符减去128512后再转成字符,接着解base64,最后用chacha20解密数据,再解base64得到最终的shellcode,申请内存后,创建线程执行。而且每个文件都有对应的下载链接和解密的key。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

执行的shellcode会在内存中加载一个DLL可执行文件,为gh0st远控程序。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

250_ChaCha20_Emoji.exe加载的是普通gh0st变种。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

另外4个文件加载的是winos变种(谷堕)。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

我们还在该ftp服务器上找到一个与kugou.exe相似,但其功能会破坏系统安全的程序360Safe_boxed.exe。15i品论天涯网

15i品论天涯网

15i品论天涯网

该程序会遍历进程,向360tray.exe和360safe.exe这两个360安全防护进程的所有线程发送WM_QUIT消息,使线程结束,从而关闭360安全防护。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

网络基础设施:15i品论天涯网

15i品论天涯网

类型15i品论天涯网

详细信息15i品论天涯网

domain15i品论天涯网

www.loaplqwq.com15i品论天涯网

domain15i品论天涯网

www.tyotya.com15i品论天涯网

ip15i品论天涯网

43.129.206.5515i品论天涯网

ip:port15i品论天涯网

43.129.72.35:6524015i品论天涯网

ip:port15i品论天涯网

43.132.208.236:6195015i品论天涯网

ip:port15i品论天涯网

124.156.181.76:5310415i品论天涯网

ip:port15i品论天涯网

43.128.9.119:5813215i品论天涯网

ip:port15i品论天涯网

96.43.110.250:6359115i品论天涯网

ip15i品论天涯网

43.129.244.22515i品论天涯网

网空测绘特征:15i品论天涯网

该组织并没有很明显的网空特征,从文件名上能找到一些数据的关联,但并不能做为特征。第二阶段的载荷名称构造为[远控IP最后一位]_[主体加密算法名称]_[未知含义字符串].exe。文件也是托管在ftp服务器上,ftp用户名之间没有联系,密码也是随机生成的,远控组件连接的端口也没有规律,缺少深入挖掘的线索。15i品论天涯网

检测Yara规则:15i品论天涯网

15i品论天涯网

15i品论天涯网

rule attacker02_downloader{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "pyinstaller pack the downloader use this rule to scan memory"15i品论天涯网

date = "2023-10-19"15i品论天涯网

strings:15i品论天涯网

$code1 = "execute_files"15i品论天涯网

$code2 = "download_files_from_ftp"15i品论天涯网

$code3 = "__main__"15i品论天涯网

$code4 = "get_local_path"15i品论天涯网

15i品论天涯网

condition:15i品论天涯网

all of ($code*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule attacker02_downloader02{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "the second payload"15i品论天涯网

date = "2023-10-19"15i品论天涯网

strings:15i品论天涯网

$code1 = "chacha20_decrypt"15i品论天涯网

$code2 = "remote_load_encrypted_text"15i品论天涯网

$code3 = "https://"15i品论天涯网

$code4 = "RtlMoveMemory"15i品论天涯网

$code5 = "CreateThread"15i品论天涯网

$code6 = "__main__"15i品论天涯网

condition:15i品论天涯网

all of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule attacker02_disable360{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "the tool use to disable 360"15i品论天涯网

date = "2023-10-19"15i品论天涯网

strings:15i品论天涯网

$string1 = "explorer.exe"15i品论天涯网

$string2 = "360tray.exe"15i品论天涯网

$string3 = "360safe.exe"15i品论天涯网

$string4 = "PostThreadMessageA"15i品论天涯网

$string5 = "DuplicateHandle"15i品论天涯网

$string6 = "virtualbox"15i品论天涯网

condition:15i品论天涯网

all of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

15i品论天涯网

银狐合体-团伙三15i品论天涯网

15i品论天涯网

团伙背景:15i品论天涯网

该团伙常用使用虚假下载站托管虚假安装包去诱骗用户执行恶意文件,在后续中也用到各种在微信/QQ等聊天软件中钓鱼的压缩包,压缩包中包含一个可执行文件,执行时本体只下载执行shellcode,shellcode中反射加载的dll,负责部署白+黑侧加载攻击组件,以及下载最后阶段的shellcode落地为jpg文件或者保存到注册表,最后由白进程加载恶意dll读取执行shellcode,在内存中加载winos远控程序。15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

3ef9ade5627c9d668a55d10d73bde84315i品论天涯网

meitu2192.exe15i品论天涯网

1、 伪装成美图秀秀安装包,且使用NVIDIA的签名。15i品论天涯网

2、 伪装的美图秀秀程序是简单的shellcode下载器和加载器,直接使用winos生成的shellcode,将shellcode落地为图片文件。15i品论天涯网

4-6.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

shimo-oss1.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

70ee45fb3b3c02a5ea8b097f822df0d815i品论天涯网

hackbrian2192bai.jpg15i品论天涯网

1、 会从C2下载文件和释放可执行文件,为攻击者的winos注册持久化操作。15i品论天涯网

hackbrian-1317534006.cos.ap-chengdu.myqcloud.com15i品论天涯网

4-6.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

042d490594105c84db16f188a17cb01f15i品论天涯网

保险资料.zip15i品论天涯网

1、 钓鱼文件的命名方式涉及安装包、财务发票、设计图纸等。15i品论天涯网

2、 下载DLL侧加载技术组件和shellcode,shellcode保存在注册表中。15i品论天涯网

3、 通过DLL侧加载技术加载注册表中的shellcode,通过该shellcode再去下载远控程序的shellcode最终上线。15i品论天涯网

2023818.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

a626fd6919aec19630b3fee0235f416515i品论天涯网

购车配置单.zip15i品论天涯网

44c8882c1047c4e80396c35af697578c15i品论天涯网

婚礼1216.rar15i品论天涯网

1ae290f7d6daec96849b0d12ce92582515i品论天涯网

方案效果图.zip15i品论天涯网

茶桌样式.zip15i品论天涯网

51baaac20d870d263eb8b679d3cee2ed15i品论天涯网

WinRaR解压软件免费1143.exe15i品论天涯网

15i品论天涯网

攻击技战术:15i品论天涯网

15i品论天涯网

Tatic(战术)15i品论天涯网

Techniques(技术)15i品论天涯网

Procedures(过程)15i品论天涯网

Description(描述)15i品论天涯网

Reconnaissance(侦查)15i品论天涯网

T1589-Gather Victim Identity Information(获取受害者信息)15i品论天涯网

T1589.002-Email Addresses(邮箱地址)15i品论天涯网

这个团伙似乎没有15i品论天涯网

Resource Development(资源开发)15i品论天涯网

T1583 -Acquire Infrastructure(获取基础设施)15i品论天涯网

T1583.003-Virtual Private Server(虚拟主机)15i品论天涯网

攻击者购买虚拟主机作为C2控制节点15i品论天涯网

T1583.007-Serverless(无服务器)15i品论天涯网

攻击者购买云存储服务(OSS)用于下发载荷15i品论天涯网

T1583.008-Malvertising(恶意广告)15i品论天涯网

攻击者购买搜索引擎广告服务,投递恶意文件15i品论天涯网

T1586-Compromise Accounts(泄露账户)15i品论天涯网

T1586.001-Social Media Accounts(社交账户)15i品论天涯网

攻击者购买黑市中的QQ、微信等社交账号15i品论天涯网

Initial Access(初始访问)15i品论天涯网

T1189-Drive By Compromise(路过式感染)15i品论天涯网

15i品论天涯网

攻击者购买广告服务用于投递恶意文件15i品论天涯网

T1566-Phishing(网络钓鱼)15i品论天涯网

15i品论天涯网

攻击者通过邮件或社交账号向目标投递恶意文件15i品论天涯网

Execution(执行)15i品论天涯网

T1204-User Execution(用户执行)15i品论天涯网

T1204.002-Malicious File(恶意文件)15i品论天涯网

攻击者投递恶意文件并诱导目标执行15i品论天涯网

Persistence(驻留)15i品论天涯网

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)15i品论天涯网

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)15i品论天涯网

攻击者修改启动配置实现自启动15i品论天涯网

Defense Evasion(对抗防御)15i品论天涯网

T1574-Hijack Execution Flow(劫持执行流程)15i品论天涯网

T1574.002-DLL Side-Loading(DLL侧加载)15i品论天涯网

攻击者利用DLL侧加载技术加载载荷15i品论天涯网

T1036-Masquerading(伪装)15i品论天涯网

T1036.001-Invalid Code Signature(无效的代码签名)15i品论天涯网

攻击者使用伪造的NVIDIA签名虚假安装包文件15i品论天涯网

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)15i品论天涯网

攻击者将自身的载荷修改命名为windows.exe和window.exe15i品论天涯网

T1036.008-Masquerade File Type(伪装文件类型)15i品论天涯网

攻击者将加密载荷伪装成jpg图片15i品论天涯网

T1055-Process Injection(进程注入)15i品论天涯网

T1055.002-Portable Execution Injection(便携式可执行注入)15i品论天涯网

攻击组件解密PE文件并注入执行15i品论天涯网

T1055.003-Thread Execution Hijacking(线程执行劫持)15i品论天涯网

攻击组件解密shellcode并创建线程执行15i品论天涯网

T1027-Obfuscated Files or Information(混淆的文件或信息)15i品论天涯网

15i品论天涯网

攻击者对多阶段载荷进行加密15i品论天涯网

Credential Access(凭证访问)15i品论天涯网

T1555-Credentials from Password Stores(来自密码存储的凭证)15i品论天涯网

T1555.003-Credentials from Web Browsers(浏览器凭据)15i品论天涯网

攻击者会窃取目标的浏览器凭据15i品论天涯网

Lateral Movement(横向运动)15i品论天涯网

T1534-Internal Spearphishing(内部鱼叉攻击)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散15i品论天涯网

Collection(收集)15i品论天涯网

T1056-Input Capture(输入捕捉)15i品论天涯网

T1056.001-Keylogging(键盘记录)15i品论天涯网

攻击者会使用攻击组件记录键盘数据15i品论天涯网

T1056.002-GUI Input Capture(图形界面输入捕捉)15i品论天涯网

攻击者远程屏幕操作目标主机15i品论天涯网

T1115-Clipboard Data(窃取或替换剪切板数据)15i品论天涯网

15i品论天涯网

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址15i品论天涯网

T1113-Screen Capture(屏幕监控)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作15i品论天涯网

Command and Control(命令与控制)15i品论天涯网

T1095-Non-Application Layer Protocol(非应用层协议)15i品论天涯网

15i品论天涯网

攻击者恶意组件使用自有协议进行通信15i品论天涯网

T1571-Non-Standard Port(非标准端口)15i品论天涯网

15i品论天涯网

攻击者部署C2通信使用非标准端口(大部分使用大端口)15i品论天涯网

Exfiltration(渗出)15i品论天涯网

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)15i品论天涯网

15i品论天涯网

通过C2通道实现数据渗出15i品论天涯网

Impact(影响)15i品论天涯网

T1491-Defacement(污损)15i品论天涯网

T1491.001-Internal Defacement(内部污损)15i品论天涯网

攻击者窃取组织内部资金,散布虚假不良消息15i品论天涯网

T1491.001-Internal Defacement(外部污损)15i品论天涯网

恶意文件外部扩散,散布虚假不良消息15i品论天涯网

案例样本分析:15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

3ef9ade5627c9d668a55d10d73bde84315i品论天涯网

meitu2192.exe15i品论天涯网

1、 伪装成美图秀秀安装包,且使用NVIDIA的签名。15i品论天涯网

2、 伪装的美图秀秀程序是简单的shellcode下载器和加载器,直接使用winos生成的shellcode,将shellcode落地为图片文件。15i品论天涯网

4-6.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

shimo-oss1.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

70ee45fb3b3c02a5ea8b097f822df0d815i品论天涯网

hackbrian2192bai.jpg15i品论天涯网

1、 会从C2下载文件和释放可执行文件,为攻击者的winos注册持久化操作。15i品论天涯网

hackbrian-1317534006.cos.ap-chengdu.myqcloud.com15i品论天涯网

4-6.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

下载正版的美图秀秀安装包,并执行迷惑用户。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

使用硬编码的url下载winos生成的shellcode文件hackbrian2192bai.jpg,并写入到文件C:/Users/Public/Documents/hackbrian2192bai.jpg(样本的C2目前仍然存活,记录时间2023-10-10)。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll,该dll先从攻击者C2下载文件到C:\\Users\\Public\\Music\\windows.exe并执行,释放4个文件到C:\\Users\\Public\\Documents\\。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll,该dll先从攻击者C2下载文件到C:\\Users\\Public\\Music\\windows.exe并执行,释放4个文件到C:\\Users\\Public\\Documents\\。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

释放的文件功能如下。15i品论天涯网

15i品论天涯网

MD515i品论天涯网

名称15i品论天涯网

功能15i品论天涯网

0C5F70480886D30BE33A5B4EC901BB0015i品论天涯网

windows.exe15i品论天涯网

下载器兼shellcode加载器,在内存中加载winos远控,C2:yunbochuanmei.com15i品论天涯网

FD83F4DB3553B2E3B94687630CD0C07615i品论天涯网

window.exe15i品论天涯网

下载器兼shellcode加载器,在内存中加载winos远控,C2:1.youbi.co15i品论天涯网

CBBDEF6C4D82EB4FF01ED43F1E64190715i品论天涯网

config.exe15i品论天涯网

类似rundll32.exe15i品论天涯网

08FD580441AEC2D5F7E9388D1722720E15i品论天涯网

AudioEngine.dll15i品论天涯网

启动windows.exe15i品论天涯网

3A9D8E4EA1B8B81C8883966418C6B95715i品论天涯网

CCMini.exe15i品论天涯网

永劫无间游戏语音,用于加载AudioEngine.dll15i品论天涯网

B303F134A54D86473CA62CE5721681AE15i品论天涯网

CCMini.lnk15i品论天涯网

快捷方式指向CCMini.exe15i品论天涯网

随后使用com接口创建文件快捷方式文件111.lnk,使用config.exe加载shell32.dll去修改注册表项,将注册表中的开机启动菜单目录修改为C:\\Users\\Public\\Documents\\DlkKkLmFGU。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

将CCMini.lnk复制到C:\\Users\\Public\\Documents\\DlkKkLmFGU中重命名为“微软虚拟服务”,做为开机启动项,去启动CCMini.exe。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

最后执行“运行”,通过消息窗口传递C:\\Users\\Public\\Documents\\hh\\111.lnk,来执行111.lnk实现持久化。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

前面的操作都是为了服务于windows.exe,该程序会下载gdagew2192ufaeqfga.jpg并在内存中加载winos远控程序,外联C2:yunbochuanmei.com。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

8月份之后的样本略有不同,使用更加广泛的诱饵内容进行钓鱼,压缩包中包含一个[4个数字].exe的可执行文件。15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

042d490594105c84db16f188a17cb01f15i品论天涯网

保险资料.zip15i品论天涯网

1、 钓鱼文件的命名方式涉及安装包、财务发票、设计图纸等。15i品论天涯网

2、 下载DLL侧加载技术组件和shellcode,shellcode保存在注册表中。15i品论天涯网

3、 通过DLL侧加载技术加载注册表中的shellcode,通过该shellcode再去下载远控程序的shellcode最终上线。15i品论天涯网

2023818.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

042d490594105c84db16f188a17cb01f15i品论天涯网

保险资料.zip15i品论天涯网

a626fd6919aec19630b3fee0235f416515i品论天涯网

购车配置单.zip15i品论天涯网

44c8882c1047c4e80396c35af697578c15i品论天涯网

婚礼1216.rar15i品论天涯网

1ae290f7d6daec96849b0d12ce92582515i品论天涯网

方案效果图.zip15i品论天涯网

茶桌样式.zip15i品论天涯网

51baaac20d870d263eb8b679d3cee2ed15i品论天涯网

WinRaR解压软件免费1143.exe15i品论天涯网

文件执行后会将文件复制到Public目录,重新执行后从攻击者C2下载shellcode并执行。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

shellcode会在内存中反射加载一个恶意dll,该dll从攻击者C2下载3个文件UnityPlayer.dll,ttd.exe,389.CHM,存放在C:\\Users\\Public\\Documents\\目录下。15i品论天涯网

15i品论天涯网

c4e0bc6f1d57954d0e26458a67f495b515i品论天涯网

UnityPlayer.dll15i品论天涯网

读取注册表HKEY_CURRENT_USER\Console的zdmxd360nzmj,做为shellcode执行15i品论天涯网

dd12729cb9aa55eb4a036a6aa0cec3b915i品论天涯网

ttd.exe15i品论天涯网

白文件用于加载UnityPlayer.dll15i品论天涯网

fbb2bf38067cca4ba0f7a2dc3edfcdc815i品论天涯网

389.CHM15i品论天涯网

提供持久化,将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup修改为恶意文件所在路径15i品论天涯网

419a7b4513caac1acb5343599c3f891015i品论天涯网

hrsgdsb4647wknzms.jpg15i品论天涯网

存储在注册表的shellcode,用于下载执行下阶段shellcode15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

以及下载shellcode存放在HKEY_CURRENT_USER\Console的zdmxd360nzmj和njsgsb360dsb值中,两个值保存的数据是相同的。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

随后创建HKEY_CURRENT_USER\Console的Console_b的值存放运行时间,弹出错误提示窗口。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

最后读取注册表njsgsb360dsb的值,执行shellcode。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

389.CHM中带有高度混淆的vbs脚本(由jsjiami.com加密处理后的代码),通过调试发现该样本会修改注册表中的开机启动目录的路径,该路径放置着ttd.exe和UnityPlayer.dll,由此实现持久化。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

有意思的是389.CHM中会检测时间戳来决定是否修改注册表,硬编码时间戳1693363320000为2023-08-30 10:42:00,超过这个时间则不修改注册表。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

hrsgdsb4647wknzms.jpg会解析文件尾部的配置信息(|p1:112.124.64.7|o1:4647|t1:1|p2:112.124.64.7|o2:4647|t2:1|p3:112.124.64.7|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2023. 5.23|jp:0|bh:0|ll:0|dl:0|sh:0|kl:0|bd:0)是winos特有的配置信息结构,该shellcode类似于cobaltstrike生成的stage。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

网络基础设施:15i品论天涯网

15i品论天涯网

15i品论天涯网

类型15i品论天涯网

详细信息15i品论天涯网

domain15i品论天涯网

6-8.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

6-2.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

6-5.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

7-1.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

7-9.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

8-2.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

8-4.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

8-5.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-5.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-7.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-2.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-3.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-8.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-6.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

9-4.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023818.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023814.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

202383.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023811.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023816.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023815.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023817.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

202386.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

202389.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023810.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023812.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023817.oss-cn-shanghai.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023813.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

domain15i品论天涯网

2023802.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

15i品论天涯网

网空测绘特征:15i品论天涯网

域名构造方式:[月份]-[日期].oss-cn-hangzhou.aliyuncs.com,虽然域名中的日期到9-8,但域名的使用时间在7月份,在此之前都是使用这种命名方式。15i品论天涯网

6-8.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

而在8月份之后使用的是2023[月份][日期].oss-cn-hangzhou.aliyuncs.com。15i品论天涯网

2023818.oss-cn-hangzhou.aliyuncs.com15i品论天涯网

根据上面的分析可以在VirusTotal上搜索相似格式的域名。15i品论天涯网

引擎15i品论天涯网

说明15i品论天涯网

语句15i品论天涯网

VirusTotal15i品论天涯网

由于该攻击团伙常使用云存储服务的域名会使用日期,通过检索类似的格式来收集相关的云存储服务的域名。15i品论天涯网

entity:domain domain:"2023*.oss-cn-hangzhou.aliyuncs.com"15i品论天涯网

entity:domain domain:"*-*.oss-cn-hangzhou.aliyuncs.com"15i品论天涯网

下载的内容内嵌一个可执行文件(winos远控),没有任何加密,在文件偏移0xB00+可以找到PE文件数据,落地文件集中在C:\Programdata\和C:\Users\Public\等目录。url构造[4个数字].jpg、[数字].bin、[数字].txt,诱饵为安装包诱饵和[4个数字].exe。15i品论天涯网

https://9-5.oss-cn-hangzhou.aliyuncs.com/6969.jpg15i品论天涯网

https://9-5.oss-cn-hangzhou.aliyuncs.com/8160.jpg15i品论天涯网

https://2023818.oss-cn-hangzhou.aliyuncs.com/hrsgdsb8574wknzms.jpg15i品论天涯网

检测Yara规则:15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker02_shellcode{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "shellcode in memory"15i品论天涯网

date = "2023-09-27"15i品论天涯网

strings:15i品论天涯网

code1 = {E8 00 00 00 00 58 55 89 E5 89 C2 05 FF 0B 00 00 81 C2 ?? ?? ?? ?? 68 05 00 00 00 68 04 00 00 00 52}15i品论天涯网

code2 = {E8 00 00 00 00 58 55 89 E5 89 C2 68 05 00 00 00 50 81 C2 ?? ?? ?? ?? 68 04 00 00 00 52 68 ?? ?? ?? ?? 05 D2 0B 00 00}15i品论天涯网

condition:15i品论天涯网

1 of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker03_downloader{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "yinhu downloader and execute shellcode"15i品论天涯网

date = "2023-10-12"15i品论天涯网

strings:15i品论天涯网

$api1 = "InternetOpenA"15i品论天涯网

$api2 = "InternetOpenUrlA"15i品论天涯网

$api3 = "InternetReadFile"15i品论天涯网

$location = "C:\\Users\\Public\\" wide ascii nocase15i品论天涯网

$http = "http" wide ascii nocase15i品论天涯网

condition:15i品论天涯网

all of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker03_downloader_1{15i品论天涯网

meta:15i品论天涯网

author = "ranwu"15i品论天涯网

description = "use run window to execute file"15i品论天涯网

date = "2023-10-17"15i品论天涯网

strings:15i品论天涯网

$shell = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"15i品论天涯网

$id = "#32770"15i品论天涯网

$open = "open"15i品论天涯网

$button = "ComboBox"15i品论天涯网

$http = "http"15i品论天涯网

condition:15i品论天涯网

all of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

15i品论天涯网

银狐合体-团伙四15i品论天涯网

团伙背景:15i品论天涯网

攻击者主要使用虚假下载站、即时通信工具(微信、QQ)等向目标投递或扩散恶意exe文件或发送chm文件作为第一阶段载荷,其会通过chm文件中包含的恶意脚本从云存储服务(OSS)下载第二阶段载荷,第二阶段载荷通过多轮加载以及解密,最终执行Ghost远控变种TinaMa。在对该团伙的相关基础设施进行分析的过程中,发现该团伙疑似同时与境外赌博存在一定的关联,下表为相关恶意文件信息。15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

06ed2c30954614fe1e8e9e8bd461951015i品论天涯网

1.chm15i品论天涯网

使用chm文件格式执行恶意脚本,该恶意脚本根据执行环境解码内置的3段stage载荷并执行(base64编码),最终加载Ghost变种Tianma15i品论天涯网

15i品论天涯网

muchengoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

4c64018586b08237f90cad9836523d1715i品论天涯网

ok.chm15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

dee452a07f0a1ba8c5a771924620a2de15i品论天涯网

TianMa.chm15i品论天涯网

baiduwenshen.oss-cn-hongkong.aliyuncs.com15i品论天涯网

7f15a99730981fc234552cfc12913dc615i品论天涯网

发-票.chm15i品论天涯网

osstesto.oss-cn-hongkong.aliyuncs.com15i品论天涯网

7346b99468ff49b73429b1d23eb0153415i品论天涯网

15i品论天涯网

osstesto.oss-cn-hongkong.aliyuncs.com15i品论天涯网

8dd20f3f2f25bb297c9b64895530f92015i品论天涯网

hh.chm15i品论天涯网

baiduwenshen.oss-cn-hongkong.aliyuncs.com15i品论天涯网

69159bfb287f750a8d607f1e189cbdcf15i品论天涯网

15i品论天涯网

释放诱饵图片及chm载荷文件并执行15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

87e1ce6db9a4c9d60747c851f6473c1115i品论天涯网

15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

9d043eedbf6f7ef3b35696bd8c2c3dae15i品论天涯网

15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

0499bd9744ca9f2dbfff7120c0ce83cf15i品论天涯网

15i品论天涯网

15i品论天涯网

b8c58ce4104af2805c50770bc7d4ae4b15i品论天涯网

15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

15i品论天涯网

攻击技战术:15i品论天涯网

15i品论天涯网

Tatic(战术)15i品论天涯网

Techniques(技术)15i品论天涯网

Procedures(过程)15i品论天涯网

Description(描述)15i品论天涯网

Reconnaissance(侦查)15i品论天涯网

T1589-Gather Victim Identity Information(获取受害者信息)15i品论天涯网

T1589.002-Email Addresses(邮箱地址)15i品论天涯网

这个团伙似乎没有15i品论天涯网

Resource Development(资源开发)15i品论天涯网

T1583 -Acquire Infrastructure(获取基础设施)15i品论天涯网

T1583.003-Virtual Private Server(虚拟主机)15i品论天涯网

攻击者购买虚拟主机作为C2控制节点15i品论天涯网

T1583.007-Serverless(无服务器)15i品论天涯网

攻击者购买云存储服务(OSS)用于下发载荷15i品论天涯网

T1583.008-Malvertising(恶意广告)15i品论天涯网

攻击者购买搜索引擎广告服务,投递恶意文件15i品论天涯网

T1586-Compromise Accounts(泄露账户)15i品论天涯网

T1586.001-Social Media Accounts(社交账户)15i品论天涯网

攻击者购买黑市中的QQ、微信等社交账号15i品论天涯网

Initial Access(初始访问)15i品论天涯网

T1189-Drive By Compromise(路过式感染)15i品论天涯网

15i品论天涯网

攻击者购买广告服务用于投递恶意文件15i品论天涯网

T1566-Phishing(网络钓鱼)15i品论天涯网

15i品论天涯网

攻击者通过邮件或社交账号向目标投递恶意文件15i品论天涯网

Execution(执行)15i品论天涯网

T1059-Command and Scripting Interpreter(命令与脚本解释器)15i品论天涯网

T1059.007-JavaScript15i品论天涯网

攻击者投递的恶意载荷中使用chm中的javascript代码加载后续载荷15i品论天涯网

T1204-User Execution(用户执行)15i品论天涯网

T1204.002-Malicious File(恶意文件)15i品论天涯网

攻击者投递恶意文件并诱导目标执行15i品论天涯网

Persistence(驻留)15i品论天涯网

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)15i品论天涯网

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)15i品论天涯网

攻击者修改启动配置实现自启动15i品论天涯网

Defense Evasion(对抗防御)15i品论天涯网

T1574-Hijack Execution Flow(劫持执行流程)15i品论天涯网

T1574.002-DLL Side-Loading(DLL侧加载)15i品论天涯网

攻击者利用DLL侧加载技术加载载荷15i品论天涯网

T1036-Masquerading(伪装)15i品论天涯网

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)15i品论天涯网

攻击者将自身的载荷修改命名为svchost.exe15i品论天涯网

T1036.008-Masquerade File Type(伪装文件类型)15i品论天涯网

攻击者将加密载荷伪装成png图片15i品论天涯网

T1055-Process Injection(进程注入)15i品论天涯网

T1055.002-Portable Execution Injection(便携式可执行注入)15i品论天涯网

攻击组件解密PE文件并注入执行15i品论天涯网

T1055.003-Thread Execution Hijacking(线程执行劫持)15i品论天涯网

攻击组件解密shellcode并创建线程执行15i品论天涯网

T1027-Obfuscated Files or Information(混淆的文件或信息)15i品论天涯网

15i品论天涯网

攻击者对多阶段载荷进行加密15i品论天涯网

Credential Access(凭证访问)15i品论天涯网

T1555-Credentials from Password Stores(来自密码存储的凭证)15i品论天涯网

T1555.003-Credentials from Web Browsers(浏览器凭据)15i品论天涯网

攻击者会窃取目标的浏览器凭据15i品论天涯网

Lateral Movement(横向运动)15i品论天涯网

T1534-Internal Spearphishing(内部鱼叉攻击)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散15i品论天涯网

Collection(收集)15i品论天涯网

T1056-Input Capture(输入捕捉)15i品论天涯网

T1056.001-Keylogging(键盘记录)15i品论天涯网

攻击者会使用攻击组件记录键盘数据15i品论天涯网

T1056.002-GUI Input Capture(图形界面输入捕捉)15i品论天涯网

攻击者远程屏幕操作目标主机15i品论天涯网

T1115-Clipboard Data(窃取或替换剪切板数据)15i品论天涯网

15i品论天涯网

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址。15i品论天涯网

T1113-Screen Capture(屏幕监控)15i品论天涯网

15i品论天涯网

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作。15i品论天涯网

Command and Control(命令与控制)15i品论天涯网

T1095-Non-Application Layer Protocol(非应用层协议)15i品论天涯网

15i品论天涯网

攻击者恶意组件使用自有协议进行通信15i品论天涯网

T1571-Non-Standard Port(非标准端口)15i品论天涯网

15i品论天涯网

攻击者部署C2通信使用非标准端口(大部分使用大端口)15i品论天涯网

Exfiltration(渗出)15i品论天涯网

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)15i品论天涯网

15i品论天涯网

通过C2通道实现数据渗出15i品论天涯网

Impact(影响)15i品论天涯网

T1491-Defacement(污损)15i品论天涯网

T1491.001-Internal Defacement(内部污损)15i品论天涯网

攻击者窃取组织内部资金,散布虚假不良消息15i品论天涯网

T1491.001-Internal Defacement(外部污损)15i品论天涯网

恶意文件外部扩散,散布虚假不良消息15i品论天涯网

15i品论天涯网

案例样本分析:15i品论天涯网

15i品论天涯网

hash15i品论天涯网

name15i品论天涯网

特征说明15i品论天涯网

c215i品论天涯网

06ed2c30954614fe1e8e9e8bd461951015i品论天涯网

1.chm15i品论天涯网

使用chm文件格式执行恶意脚本,该恶意脚本根据执行环境解码内置的3段stage载荷并执行(base64编码)15i品论天涯网

muchengoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

其投递的第一阶段载荷为chm,该脚本根据执行环境解码内置的3段stage载荷并执行(base64编码)。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

第一段载荷stage1用于关闭“DisableActivitySurrogateSelectorTypeCheck”类型检查以绕过高版本框架对ActivitySurrogateSelector类的滥用。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

stage2与stage3实际为同一功能的载荷,用于下载第三阶段载荷以及执行内嵌的x86或x64平台shellcode。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

该部分对stage2进行分析,可以看到其存在PDB路径“E:\\2023-TianMa~\\TMAir_Ghost10.0_dev_vs2022标记v4.2.0\\CHM\\KH\\TestAssembly\\obj\\Release\\TestAssembly.pdb”,表明其该攻击者使用的后续载荷为Ghost10.0版本修改的变种,且名称为TianMa。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

其会将要下载的url路径与文件名称写入用户%temp%目录下以当前进程PID形成的文件中,用于后续的文件下载。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

接着其会根据执行环境执行内嵌的x86或x64 shellcode代码。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

执行的shellcode是一个下载器,其会在%temp%目录下创建随机目录,并将上述相关文件下载到对应目录。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

共下载了5个文件,相关文件信息如下表15i品论天涯网

15i品论天涯网

名称15i品论天涯网

功能15i品论天涯网

cache.dat15i品论天涯网

加密的的7z压缩包15i品论天涯网

decod.exe15i品论天涯网

7zip压缩工具15i品论天涯网

libcef.dll15i品论天涯网

aplib压缩数据,stage2或stage3会进行解压缩15i品论天涯网

libcef.png15i品论天涯网

加密载荷,需要解压缩后的libcef.dll解密并调用,加密的Tianma远控(基于Ghost改造)15i品论天涯网

libcef.exe/svchost.exe15i品论天涯网

公开可信libcef工具,会加载lbcef.dll加载文件15i品论天涯网

15i品论天涯网

在下载文件后,其会使用ap压缩算法对libcef.dll进行解压缩,解压出一个巨大的libcef.dll文件,该文件使用DLL侧加载技术被libcef.exe文件所加载,将所有被调用的函数导向该恶意函数,其会解密libcef.png文件并调用其导出函数“fuckyou”,解密所需要的信息在PNG文件头部。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

加密的png文件头部信息如下15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

通过分析解密的libcef.png文件为上述提到的TianMa远控,该远控拥有Ghost远控所拥有的的功能,包括但不限于键盘记录、文件浏览、命令执行、浏览器信息窃取等功能,其连接C2地址为“103.210.237.33”。15i品论天涯网

15i品论天涯网

该远控通过命令调用decod.exe文件解压cache.dat 7z加密压缩包。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

cache.dat压缩包解压后的文件如下,该文件疑似为上海迈微软件科技有限公司的逍遥模拟器组件,攻击者利用该模拟器组件执行相关恶意功能。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

网络基础设施:15i品论天涯网

15i品论天涯网

类型15i品论天涯网

详细信息15i品论天涯网

domain15i品论天涯网

muchengoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

bucketossbj.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

baiduwenshen.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

osstesto.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

jubaopengosssi.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

shunfengoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

kefubahaohonsheng.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

aliyunlianjieoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

jpbdoss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

domain15i品论天涯网

wangzheguilaioss.oss-cn-hongkong.aliyuncs.com15i品论天涯网

ip:port15i品论天涯网

103.210.237.33:6542215i品论天涯网

ip:port15i品论天涯网

206.238.220.147:888815i品论天涯网

ip:port15i品论天涯网

202.189.9.187:6542215i品论天涯网

ip:port15i品论天涯网

125.64.108.3:6542215i品论天涯网

ip:port15i品论天涯网

42.51.40.73:6542215i品论天涯网

15i品论天涯网

网空测绘特征:15i品论天涯网

15i品论天涯网

引擎15i品论天涯网

说明15i品论天涯网

语句15i品论天涯网

VirusTotal15i品论天涯网

由于该攻击团伙常使用云存储服务下载多个固定名称的载荷,通过正则查询拥有该类型特征的URL可获取到疑似该团伙的最新云存储服务下载地址15i品论天涯网

entity:url (url:"*oss-*/libcef.png" or url:"*oss-*/libcef.exe" or url:"*oss-*/libcef.dll" or url:"*oss-*/decod.exe" or url:"*oss-*/cache.dat")15i品论天涯网

all15i品论天涯网

针对该攻击团伙的多个Ghost C2分析,其常使用端口65422(但是目前多个网空引擎并不会扫描到该端口)15i品论天涯网

port=6542215i品论天涯网

15i品论天涯网

检测Yara规则:15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker04_chm15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

strings:15i品论天涯网

$chm_data0001 = {00 74 65 73 74 2E 68 74 6D 6C 00 06 00 05 00 74 65 73 74 00}15i品论天涯网

$chm_data0002 = "Base64ToStream(stage_1, stage_1_size)"15i品论天涯网

$chm_data0003 = "stage_1 = stage_3;"15i品论天涯网

$chm_data0004 = "Base64ToStream(stage_2, stage_2_size);"15i品论天涯网

condition:15i品论天涯网

filesize < 5MB and 1 of ($chm_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_configdata15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

strings:15i品论天涯网

$config_data0001 = "/libcef.exe="15i品论天涯网

$config_data0002 = "/libcef.dll="15i品论天涯网

$config_data0003 = "/libcef.png="15i品论天涯网

$config_data0004 = "/decod.exe="15i品论天涯网

$config_data0005 = "/cache.dat="15i品论天涯网

condition:15i品论天涯网

1 of them15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker04_png15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

strings:15i品论天涯网

$png_data = {89 50 4E 47 00 00 00 00 00 00 00 00 00 00 00 00}15i品论天涯网

condition:15i品论天涯网

$png_data at 015i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker04_dotnetloader15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

strings:15i品论天涯网

$dotnetloader_data0001 = {00 73 74 61 67 65 5F 32 5F 73 68 63 5F 78 36 34 00}15i品论天涯网

$dotnetloader_data0002 = {00 73 74 61 67 65 5F 32 5F 73 68 63 5F 78 38 36 00}15i品论天涯网

$dotnetloader_data0003 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}_b" wide15i品论天涯网

condition:15i品论天涯网

1 of ($dotnetloader_data*)15i品论天涯网

}15i品论天涯网

15i品论天涯网

rule sus_silverfox_attacker04_Tianma15i品论天涯网

{15i品论天涯网

meta:15i品论天涯网

author = "binlmmhc"15i品论天涯网

strings:15i品论天涯网

$tianma_data0001 = "2023-TianMa"15i品论天涯网

$tianma_data0002 = "\\TMAir_"15i品论天涯网

$tianma_data0003 = "_Ghost10.0_dev_vs2022"15i品论天涯网

condition:15i品论天涯网

1 of them15i品论天涯网

}15i品论天涯网

攻击武器15i品论天涯网

15i品论天涯网

15i品论天涯网

winos15i品论天涯网

winos是”银狐“集合体中使用频率极高的远控,源码在免杀QQ群,黑产交流群都能以极小的金钱买入,编译好的winos工具更是在各处可见。通过对我们收集到的大量样本进行分析后,共发现32种pdb路径信息(不排除还有其他路径),其中都包含有“Winos”,”上线模块“等关键字眼,而且数据显示有73%的样本使用的是“谷堕”这份源码,其余占比较小的疑似为源码泄露后被多个个体用于攻击行动。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

在winos的源码中可以看到该远控程序的多种模块,在上文分析中所说的上线模块也在其中,该模块做为基础模块,攻击者选择开启某个功能时,会传输相应的插件dll在上线模块中加载。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

目前编译好且流传较广泛的版本为:”HackBrain VIP会员版”,“winos 4.0”,winos的控制界面如下,通过该控制端来展示winos的基础功能。(winos的客户端生成非常简单,为了保持连接的稳定,采用双域名循环访问以及一个备用域名,以此来保证连接的稳定。演示的winos只提供两个额为功能,这部分可以进行二次开发进行添加。通信方式为TCP和UDP且可以自定义通信密码,保证通信内容不被轻易识别)。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

winos功能详细说明如下表。15i品论天涯网

15i品论天涯网

功能15i品论天涯网

描述15i品论天涯网

权限管理15i品论天涯网

两种常驻方式:写启动目录和写注册表。15i品论天涯网

提供以管理员身份启动自身,以及token提权。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

资料管理15i品论天涯网

文件上传下载和文件检索。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

屏幕监控15i品论天涯网

提供多种高清高帧率屏幕监控的方式,该功能无法操作屏幕。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

外设管理15i品论天涯网

接收目标扬声器的声音和将控制端扬声器的声音同步到目标的扬声器。15i品论天涯网

接收目标麦克风的声音进行窃听。15i品论天涯网

打开目标的摄像头。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

主机管理15i品论天涯网

远程终端:客户端可以执行任意cmd命令15i品论天涯网

代理映射:将目标机器做为中间代理转发流量15i品论天涯网

远程交谈:一个简易的聊天工具,和目标进行文字对话15i品论天涯网

解密数据:窃取chrome,Edge,360安全浏览器,QQ浏览器中保存的账户密码,以及chrome中的cookies15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

客户管理15i品论天涯网

文件下载和文件上传执行15i品论天涯网

痕迹清除,卸载等15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

清除记录15i品论天涯网

清空各个浏览器的记录15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

注入管理15i品论天涯网

将远控模块注入到其他进程。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

插件执行15i品论天涯网

自定义插件执行15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

TianMa15i品论天涯网

在对银狐这个黑产集合体追踪中,我们发现了其中某团伙使用Ghost10.0远控改造而成的变种TianMa,该变种的功能与其他ghost变种并没有多大变化,包括但不限于命令执行、文件管理等。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

第三只眼15i品论天涯网

15i品论天涯网

在某些事件中,我们还观察到某些团伙使用了商业的网络监控软件作为控制端,“第三只眼”被黑产团伙用于控制目标机器。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

Ghost15i品论天涯网

15i品论天涯网

ghost远控木马从被公开至今一直为中文黑灰产圈所钟爱,并衍生出了各种各样的变种,本类型攻击活动中大部分控制软件也由其衍生而来。15i品论天涯网

15i品论天涯网

危害/变现15i品论天涯网

1. 在控制目标机器后,攻击者会控制目标办公交流账户(微信、钉钉)等对财务进行诈骗活动。15i品论天涯网

15i品论天涯网

15i品论天涯网

15i品论天涯网

2. 远程操控微信/QQ等聊天软件使用被入侵机器登陆的账户进行诈骗或者使用被控账号进行恶意文件扩散。15i品论天涯网

15i品论天涯网

15i品论天涯网

3. 攻击者在无法获取到经济利益后,可能会利用已控目标社交账号向其工作或生活圈子发布色情、政治或其他虚假内容以报复目标,造成目标社会性死亡。15i品论天涯网

15i品论天涯网

4. 将被入侵机器作为肉鸡售卖给其他黑产团伙获利而不直接参与经济诈骗。15i品论天涯网

15i品论天涯网

分析总结15i品论天涯网

攻击者正大肆通过聊天软件、钓鱼等方式对境内全行业进行攻击,其将投递的恶意文件伪装成办公软件(钉钉、微信、wps)、工具安装包、发票、税收、财务、保险、证券、方案、设计等相关行业文件,诱导目标执行恶意文件导致被控制。在恶意文件执行的过程中,我们观察到攻击者使用各种云服务(主要是云存储服务OSS)作为第二阶段载荷的投递介质,通过加解密、DLL侧加载、BypassUAC、第三方合法软件恶意利用等方式以规避杀毒软件检测,巩固其控制质量。15i品论天涯网

攻击者在控制目标主机后对目标信息进行分析筛选,筛选出高价值目标(公司高管、老板、财务等人员),通过身份伪装或语言诱导的方式对相关人员实施金融诈骗活动。在我们观察到的案例中,当诈骗人员诈骗行动失败后,其可能会控制目标社交账号发送色情、虚假政治等方面信息,造成目标社会性死亡。15i品论天涯网

该类型攻击活动在2023年呈现高频率、持久性长的特点,希望相关人员警惕。15i品论天涯网

15i品论天涯网

防御建议15i品论天涯网

1、 不从陌生、奇怪网站下载办公之类的软件,推荐搜索官网并下载。15i品论天涯网

2、 针对他人发来的文件,通过语音或视频方式进行沟通了解后打开,不打开莫名其妙的文件。15i品论天涯网

3、 相关单位对高价值人员实施专项培训,降低该类型攻击的成功率。15i品论天涯网

4、 安装安全防护软件。15i品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]