freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

黃雀行動:針對東南亞菠菜行業的新一輪釣魚攻擊
2020-09-18 17:22:10

概述

從今年6月底開始,毒霸安全團隊通過“捕風”系統陸續捕獲一批針對東南亞地區從事博 彩、狗推相關華人的遠控木馬病毒。受害者IP主要聚集在老撾、柬埔寨、菲律賓等博 彩黑產活動泛濫的地區,黑客團伙采用的誘餌大多偽裝為文檔文件,文件名主要為"公司規章制度"、"風控事項"、"VIP用戶資料"等博 彩行業緊密相關的誘導詞語,從我們的監控數據看,這一批樣本主要通過釣魚郵件、telegram黑產群等渠道進行定向傳播,通過植入遠控木馬針對目標博 彩公司進行持續監控滲透,收集內部用戶數據或實現資金竊取。在技術特點上,主要表現為組合“DLL側加載(白加黑)”技術和定制化gh0st遠控木馬,從整個攻擊鏈路熟練程度來看,該團伙已經逐漸展現出一定的專業技術成熟度。
越暴利的地下黑產行業越缺乏秩序約束,惡性競爭越激烈,其催生出的"黑吃黑"套路越花樣百出。近些年來,隨著國家對賭博黑產的持續打擊,越來越多的不法分子開始轉戰東南亞,企圖通過開設境外線上 賭 場逃避國內法律制裁,不曾想黑手的背后還有多雙黑手,正所謂“螳螂捕蟬,黃雀在后”,我們將此次發現針對東南亞博 彩從業人員的攻擊行動命名為"黃雀行動"。

溯源分析

在針對該團伙的溯源過程中,我們發現其攻擊目標、技術手法上和安全友商披露的"金眼狗"、"金指狗"等針對博 彩行業的黑客團伙存在較高的重合度,但在C&C和代碼復用等強關聯特征上暫未發現直接關聯。

關聯特征

誘餌名稱如下圖所示:
時間誘餌名稱
2020/9/3商戶開戶資料txt56025.exe
2020/9/2管理制度.exe
2020/9/1公司薪資調整方案.exe
2020/8/27公司 新規章制度.com
2020/8/27最新支付風控提示注意事項.com
2020/8/22違規會員列表.exe
2020/8/15V I P 會員表l.com
2020/8/12維護通知請注意下發.bat
2020/8/8x項.com
2020/8/49. VIP 資料表..com
2020/7/291. 【出賬目錄】.com
2020/7/25最新風控事項BO-2020-07-14.com
此木馬多次進行模塊嵌套加載,并同時在用戶名為“hytl”的“永碩云盤”上下載相關偽裝的JPG文件。一些誘餌文件還會釋放迷惑性極強的相關文件,以掩蓋其已經在后臺植入惡意遠控的事實。釋放的相關文件如下圖所示:
此類樣本涉及多個公司的白文件以及側加載的dll如下圖所示:
公司名稱
Shandong Anzai Information Technology CO.,Ltd.Nsec.exeNFPCore.dll
廈門多帆網絡科技有限公司DingDebug.exewke.dll
上?;秒娦畔⒖萍加邢薰?/td>DingDebug.exebililive.dll
木馬病毒所使用的pdb信息總結如下:
pdb信息
C:\collector\Release\collector.pdb
F:\YK\KK\KB\FJC\6-17\DDMC\21-內存加載下載TT\Release\下載.pdb
F:\YK\KK\KB\FJC\6-17\DDMC\21-內存加載下載\x64\Release\下載.pdb
D:\Administrator\Desktop\網易CC\collector\Release\collector.pdb
D:\Document And Settings2\Administrator\collector\x64\Release\collector.pdb

正文

目前該木馬活躍,從七月底直到現在,其存在“永碩云盤”的偽裝JPG文件仍舊頻繁更新,以躲避殺軟查殺;同時每幾天便會有新的母體病毒出現,而且其反查殺能力也在進化中,釋放的一些文件也增加了壓縮功能,增加了安全人員分析的難度。下面以“公司薪資調整方案.exe”為例,分析該病毒的主要執行過程。主要執行流程分為三部分:母體程序執行過程、dll側加載過程、C&C遠控模塊運行過程。
執行流程如下:

一、母體程序執行流程

母體主要通過從數據段釋放dll,加載到內存之后,緊接著聯網下載“永碩云盤”的偽裝JPG。

之后將此偽裝JPG文件解壓到C:\Users\Public\Documents\"隨機字符串"\文件夾中,解壓密碼為“zxs8866”,此密碼明文出現。母體釋放出NSec.exe(白)、NFPCore.dll(黑)、zr.exe(7zip),同時再次釋放KK.txt到此文件夾中,KK.txt在以后程序的運行中是遠控模塊的載體。
最后創建一連串link,這些link通過屬性值相關聯。

這些文件的主要功能為:首先啟動Nsec.exe;緊接著通過運行run.ps1(一連串url關聯,最終使用zr.exe進行壓縮)將原本路徑C:\Users\Public\Documents\"隨機字符串"\Microsoft\Windows\Start Menu\Programs\Startup\NSec.link壓縮為111.zip,并保存在C:\ProgramData\Microsoft\文件中,以便之后通過遠控交互進行修改文件,從而使木馬持久化;最后刪除掉H3F11文件夾,“消滅罪證”,使病毒更加隱蔽。至此,母體程序運行結束。

二、dll側加載過程

NSec.exe側加載NFPCore.dll文件,通過對母體釋放的kk.txt進行解密、解壓縮,并加載到內存。

三、C&C遠控模塊執行

遠控模塊首先將進程優先級設置為最高,接著與服務器vip.bzsstw.cn連接并解析指令。在早期的一些病毒樣本中,母體釋放了kk.log,而不是kk.txt,其在初始化中創建批處理程序保證當前木馬程序一直處于運行當中。

無論是使用kk.txt或者是kk.log,該木馬其對命令解析的核心部分一模一樣,均是遠控軟件gh0st的定制版。下圖為解析命令函數:
其中,當解析命令為某種特定命令時,需要首先將kk.txt中數據段中的特定數據(插件)通過解密加載到內存中,同時在本地保存為plugin32.log。釋放插件之后,對一些特定指令進行解析。指令解析如下:
接收指令使用插件中的函數操作
0x1DllFile獲取各個磁盤容量
0x4 || 0xa2修改使用的插件
0x8更改窗口管理器以能夠控制窗口
0x9提權以管理員模式運行此程序
0xA關閉exporer.exe進程
0xB刪除用戶chrome usrdata數據
0xCfnproxy使用代理
0x15Dllscreen截取屏幕
0x24監控鍵盤輸入
0x2ADllSyste獲取進程以及模塊信息
0x36DllMsgBox彈窗報錯
0x37修改分組
0x38DllShell創建遠程控制cmd
0x39關閉指定窗口
0x3A刪除相關文件
0x3B清除日志
0x3C獲取主機信息
0x3e從網絡上下載可執行文件,并執行
0x3f運行云控下發數據
0x40運行云控下發數據,同上
0x41更新插件
0x42DllOpenUrlHide隱藏打開IE瀏覽器
0x43DllOpenUrlShow顯式打開IE瀏覽器
0x44修改域名
0x45等待事件運行結束退出,否則強制退出
0x46DllSerst獲取服務器信息
0xA1ConnSocks連接服務器

在上圖中,在“使用插件中的函數”一列中,展示了某些指令在插件中調用的函數接口。此木馬已經實現插件化,并實現多種遠控功能。組合使用危害更大,比如刪除用戶瀏覽器數據信息(cookies等),使得用戶在下次登陸時必須再次輸入用戶名和密碼,并通過監控鍵盤輸入和截屏操作,對受害者的個人隱私進行獲取。

總結:

盡量不要點擊來源不明的郵件和可執行文件;

不要從事博 彩等違法行為;

提高個人安全意識;

電腦上及時安裝金山等殺毒軟件,對預警的病毒及時清理。

附錄

06092437577f00d538a38574ecf456bb

02ff3f0c9af5bc29476856f8c61f4335

9a3d89b6e0927a457ac01fb23505ab6f

fb8052a34dbfba14687ce7be8854edd2

65e768553b2c566b2dec6a9cdde95aec

23412dfbedf25ce434ea02bbfb9ae960

b9811e8adbb334693ecd8553443d3b91

2ca5e1effc55b48e4fa19b4d119da4e6

c5fabe2eba9bab8c23598ee2f4a0ecad

c3b2e91531bee2f8f796fe61af01ea14

50bec172eb2e6b2890d08da33110098b

340ecfc644f72bb33d980d2413909010

d0e86e44ba3beb1d4420d3b4ac4c54c8

f041ce7c84973b978a7f1f2f4de50553

本文作者:, 轉載請注明來自FreeBuf.COM

# 資訊 # 惡意軟件 # 數據安全 # 灰產圈
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按時間排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
777766香港开奖结果 小说 浙江福利彩票双色球 辽宁11选5走势图9月30 黑龙江十一选五预测一定牛 贵州十一选五真准网 集中盈配资 云南11选5计划 配资平台还选尚牛在线 广东11选5技巧总结大全 江苏排列七开奖号码 上海11选5中奖结果