吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9023|回复: 53
收起左侧

[PC样本分析] 黑客发起钓鱼攻击可远控电脑,针对金融行业

   关闭 [复制链接]
火绒安全实验室 发表于 2023-10-24 11:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-10-24 11:12 编辑

近期,火绒威胁情报系统监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后,其会下载多个文件进行互相关联,随后黑客可以远程控制受害者电脑。不仅如此,该病毒还使用包括 "白加黑",'"加壳","代码混淆"在内的多种方式对抗杀软查杀。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

Image-0.png
火绒查杀图


该病毒样本格式为CHM,被运行后会释放恶意js代码,用于从内部加载.NET程序集,随后执行Download程序,使黑客可以远程控制受害者电脑。该病毒的执行流程,如下图所示:

Image-1.png
病毒传播流程图


该黑客团伙投递的病毒文件名均为行业关键词,通过微信或邮件等方式投递给目标用户,诱导用户下载,对用户造成严重威胁。目前,火绒收集到的相关文件名列表如下图所示:

Image-2.png
伪装文件名


根据火绒威胁情报系统记录,该类攻击至少从9月份开始,并且其中包含Gh0st远控木马的变种,能执行包括屏幕截图,远程上线等恶意操作。火绒工程师提醒用户,收到陌生人发送的文件后,先使用安全软件扫描再使用。一、样本分析:引导程序目前只有 chm 文件执行和直接 exe 执行两种方式,其都为第一阶段下载器,逻辑基本无异:

Image-3.png
对比分析

以 chm 文件为例,在打开时会调用 IE 及其引擎来进行解析和渲染,对文件进行解压缩后能发现一个 test.html,其内部包含恶意的 js 代码。经对比,发现其为开源工具 DotNetToJScript的修改版本,用于从内存加载 .NET 程序集。 Image-4.png 起始程序
内嵌的程序集为不同版本下的加密代码,在解密和反序列化的过程中会执行引导程序,加载内嵌的 DLL 。分析 DLL 时可以发现,所有逻辑调用都封装在 Program 类的构造函数中:

Image-5.png
构造函数代码

在构造函数内,会进行一系列路径拼接和域名拼接,把结果作为配置写入到以进程号创建的文件名中,用于指定要下载的后续阶段程序以及其存放的位置等信息:

Image-6.png
域名拼接

随后样本根据系统版本内存加载 32 位/64 位 的shellcode ,由此进入下一阶段的执行调用:
Image-7.png
Shellcode 加载

stage_2中的程序为常规的 EXE 类型,其实际上为下载器本体,代码逻辑进行混淆。其会根据根据进程 ID 计算上一阶段产生的配置文件名进行读取,随后删除以销毁痕迹:

Image-8.png
配置读取

对于从配置文件中读取到的每一个 url 链接,程序都会开辟专门的线程去下载和调用执行:

Image-9.png
专用线程执行

在下载的文件中,libcef.exe(重命名为svchost.exe)、libcef.dll(加载器)、libcef.png(加密后的 Gh0st 变种) 为主要的执行模块。

Image-10.png
主要执行模块

其中 libcef.exe(svchost.exe)是一个有合法的签名白文件,通过白加黑的方式加载libcef.dll :

Image-11.png
白文件引导程序



libcef.dll 中被加载的导出函数都指向用一个解密函数,其会读取libcef.png 内的数据并进行解密处理,随后执行其导出函数 "fuckyou":

Image-12.png
解密并加载 DLL



解密过程中,前面的数据作为解密密钥并保留,通过自定义的解密算法,获取最终的核心文件:

Image-13.png
解密过程

解密后的核心 DLL 实际上是 Gh0st 远控木马的变种,能执行包括屏幕截图,密码窃取、杀软检测、键盘记录,远程上线等操作。由于Gh0st 木马早已开源,该变种在总体逻辑与功能上并没有太多修改,在此不再重复分析。

Image-14.png
远程控制

Image-15.png
密码窃取

Image-16.png
键盘记录

最后,以Gh0st 远控作为最终载荷,通过层层加载和解密的方式进行交付和执行,包括极具辨识度的导出函数名(fuckyou),整个攻击事件的 TTP(Tactics、Techniques、Procedures)都与 “银狐” 关联组织吻合,可以确定这又是一起利用“银狐”( 去中心化的黑产工具)的攻击行为。


二、附录:
HASH
Image-17.png


C&C
Image-18.png

免费评分

参与人数 14吾爱币 +13 热心值 +14 收起 理由
小小学生 + 1 + 1 用心讨论,共获提升!
rickycoder + 1 + 1 我很赞同!
wendanxiao66 + 1 + 1 我很赞同!
JerryWu1220 + 1 我很赞同!
yjh-2272 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
秽土转生 + 1 + 1 我很赞同!
LonelyCrow + 1 + 1 谢谢@Thanks!
adolphin + 1 + 1 我很赞同!
Diamondzl + 1 + 1 谢谢@Thanks!
那些年打的飞机 + 1 + 1 谢谢@Thanks!
西州zZ + 1 + 1 谢谢@Thanks!
moogmoog + 1 + 1 谢谢@Thanks!
a948423110 + 1 + 1 我很赞同!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

熊猫panda 发表于 2023-10-26 10:51
202.189.9.187  这个IP地址IDC机房 在中云在线IDC机房 难道不可以通过叫警察蜀黍或者IDC合作把这个人抓获吗?
akabobo 发表于 2023-11-3 15:30
之前重保的时候,突然在态势感知上面发现了攻击,封锁后去排查,发现是内部员工点了钓鱼邮件才导致的,还好发现及时。只能说,买再多的安全设备,员工的信息安全素养还是要提升,最坚固的堡垒往往是在内部被攻破的
maomaochong 发表于 2023-10-24 11:13
老哥厉害!老哥是火绒的官方工程师?用火绒好几年了!除了清理垃圾不够彻底,其他都很优秀!
青-山胡椒 发表于 2023-10-24 11:14
火绒大牛
偶来啦 发表于 2023-10-24 11:17
厉害了 火绒
骑狗的猴子 发表于 2023-10-24 11:47
有没有什么环境能自己知道 一个软件在系统上都做了什么操作吗
taya163 发表于 2023-10-24 12:03
火绒太强了,简直YYDS啊
chenmintian 发表于 2023-10-24 12:26
支持!越做越好
任重而道远 发表于 2023-10-24 13:16
这个厉害了啊
非常猥锁 发表于 2023-10-24 14:07
就喜欢火线简洁的界面
lucky. 发表于 2023-10-24 14:18
喜欢火线简洁的界面
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表