“游蛇”黑产团伙利用微信传播恶意代码的活动分析
时间 : 2023年08月22日 来源: 安天CERT
1.概述
“游蛇”黑产团伙又称“银狐”、“谷堕”,该黑产团伙主要通过社交软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意程序。近期,安天CERT监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。在本轮攻击中攻击者通过微信投递Gh0st远控木马加载器,利用FTP服务器下载文件,使用侧加载、内存解密等技术加载Gh0st远控木马,从而获得受害者主机的远程控制权限,进行窃密、传播恶意代码等操作。
通过分析溯源,安天CERT发现了“游蛇”黑产团伙通过微信投放远控木马的运营模式,黑产团伙通过“代理人”招收大量成员帮助他们完成恶意程序的大规模传播,获取对受害者主机的远程控制权后,针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。
经验证,安天智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。
针对该远控木马的防护建议详见本文第四章节。
2.黑产团伙运营模式
“游蛇”黑产团伙通过“代理人”在境外社交软件中创建多个群组,招收大量成员,并教授其各类诱导话术,通过网推、网聊、地推等方式对多种行业的目标用户分发恶意程序,诱导目标用户执行恶意程序,从而获得受害者主机的远程控制权限,以此针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。
安天CERT根据发现的线索整理出“通过微信投放远控木马”的黑产运营模式如下图所示。
图 2‑1 “游蛇”黑产团伙通过微信投放远控木马的运营模式
1. 黑产团伙中的技术人员开发出恶意程序,对其进行混淆及免杀处理,利用杀毒软件测试其免杀效果后交给多个“代理人”。
2. “代理人”负责招收投递恶意程序人员、恶意程序下发以及运营结算。“代理人”每天将一批新的恶意程序上传至创建的群组中,并发布任务要求群组成员投放恶意程序,根据受害者类型进行结算,普通微信用户的结算价格为100-150元/个,企业微信用户的结算价格为300-400元/个。每隔一段时间其目标会有所不同。
图2‑2 “代理人”下发的任务
3. 群组中的成员根据每日任务中的要求寻找目标,在多种APP甚至街边广告中获取商家或客服的微信号,添加为好友后通过相关话术诱导目标执行恶意程序,或者前往线下门店投递恶意程序。
图2‑3 诱导目标用户执行恶意程序的常见套路
由于企业微信的单价更高,有些“代理人”及其群组成员会着重针对企业微信用户进行钓鱼攻击。
图2‑4 部分代理人某日收益图(结算金额单位为元)
4. 群组成员确认目标中招后,“代理人”根据其后台中的受控端信息对攻击结果进行验证,如受控端屏幕内容、目标地理位置、目标行业等,以此进行金额结算。
图2‑5 代理人通过后台获取受控端信息
获取对受害者主机的远程控制权后,黑产团伙会针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。
图2‑6 黑产团伙后续的一些钓鱼攻击操作
发现恶意程序的免杀失效后,“代理人”会要求暂停恶意活动,并在几小时内或第二天上传新的免杀程序。此外,在某个群组的数千份恶意文件中,安天CERT发现了此前由安天及其他友商披露的多种不同类型的恶意程序。
3.通过微信传播恶意代码活动
攻击者通过微信传播加载器A并诱导用户点击下载执行,加载器A运行后拷贝自身至指定位置,随后访问攻击者搭建的FTP服务器,下载并解密Gh0st木马A到受害主机内存中加载执行。Gh0st木马A除了具备Gh0st木马的远控功能外,还会下载另一组采用白加黑技术的恶意代码,并创建注册表启动项,该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。
图 3‑1 攻击者通过微信传播恶意代码活动流程
3.1 加载器A
加载器A运行后首先判断当前启动参数中是否包含“/tmp”,若不包含则将自身拷贝至系统D盘根目录并重新命名为“vm.exe”,以指定参数“/tmp”运行该文件。
图3‑2 Gh0st远控变种加载器A判断启动参数
启动参数验证通过后,该加载器会访问攻击者FTP服务器获取加密的Gh0st木马A文件。
图3‑3 获取攻击者FTP服务器上加密的Gh0st木马A文件
将获取到的加密的Gh0st木马A文件加载到内存中进行解密、修复PE数据,随后在内存中执行Gh0st木马A。
图3‑4 将获取到的加密的Gh0st木马A文件加载到内存中
该加载器使用异或算法对加密Gh0st木马A进行解密。
图3‑5 加载器A使用的解密算法
3.2 Gh0st木马A
Gh0st木马A为Gh0st远控木马的变种,具备查看注册表、服务管理、键盘记录、文件管理、系统管理、远程终端等功能。其还会下载另一组采用白加黑技术的恶意代码,并创建注册表启动项。该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。该木马访问攻击者FTP服务器下载“NetEase.exe”、“vmwarebase.dll”、“win.dat”至“D:\NetEase”目录,并将“NetEase.exe”程序添加至注册表启动项实现开机自启动,完成持久化。其中NetEase.exe程序为带有效数字签名的正常程序。
图3‑6 将NetEase.exe添加到注册表启动项中
表3‑1 “白加黑”文件说明
文件名 |
Hash |
说明 |
NetEase.exe |
AE12EFEDD7D85C8E8F89D1B953BC43C8 |
“白加黑”中正常程序且携带有效数字签名。 |
vmwarebase.dll |
081D1C5CC34AB7E8FAE0077E7AD3EC10 |
加载器B |
Win.dat |
7514614b78988647EDEB9211842B08DB |
被加密的Gh0st木马B文件 |
3.3 加载器B
“NetEase.exe”程序为带有效数字签名的正常程序,该程序运行后会加载同目录下的“vmwarebase.dll”文件。该DLL为加载器B,其主要功能为加载最终载荷Gh0st木马B。
“NetEase.exe”为正常程序且携带有效数字签名,该程序运行后会加载同目录下的“vmwarebase.dll”文件。
图3‑7 NetEase程序数字签名
加载器B运行后首先判断当前调用的进程是否为NetEase.exe,调用NetEase程序的参数是否为“auto”,若不为“auto”则退出程序。
图3‑8 加载器B判断启动参数
随后判断当前程序是否管理员权限运行,若不是则进行提权操作。
图3‑9 加载器B提权操作
当前程序若为管理员权限运行则加载win.dat,win.dat文件为加密的Gh0st木马B。
图3‑10 加载加密的Gh0st木马B文件
加载器B与上述加载器A采用相同的解密算法对加密Gh0st木马B进行解密。
图3‑11 加载器B所使用的解密算法
3.4 Gh0st木马B
最终载荷Gh0st木马B使用混淆技术对抗分析,相比传统Gh0st木马,该变种还新增了浏览器数据窃取、按键监控、杀毒软件检测等功能。
图3-12 Gh0st木马B检测杀毒软件
根据代码结构等信息可确认该木马为Gh0st远控木马变种,详细的远控指令及功能释义如下。
表3‑2 详细的远控指令
指令 |
功能 |
0x1 |
获取磁盘信息 |
0x4 |
创建文件 |
0x5 |
创建文件并写入数据 |
0x13 |
获取屏幕 |
0x21 |
事件记录 |
0x22 |
键盘记录 |
0x27 |
进程镜像 |
0x2C |
匿名管道 |
0x2D |
关机、注销、重启 |
0x2E |
删除自身 |
0x2F |
下载并运行指定URL的文件 |
0x30 |
下载并运行指定URL的文件,并在重启后删除指定文件 |
0x31 |
清除System、Security和Application日志 |
0x35 |
在桌面0运行指定程序 |
0x36 |
在桌面1运行指定程序 |
0x37 |
设置服务Remark注册表项 |
0x39 |
设置服务Group注册表项 |
0x3A |
弹框 |
0x3B |
建立新的远控连接 |
0x3C |
获取系统信息如系统版本、CUP、当前时间、用户名、磁盘类型、磁盘空余空间、服务、系统目录等 |
0x3D |
加载资源节 |
0x3E |
添加用户 |
0x3F |
设置guest密码,并添加到管理员组 |
0x40 |
查看防火墙和网络服务状态 |
0x41 |
设置远程登陆连接方式 |
0x43 |
通过注册表项设置远程登陆开关 |
0x44 |
设置文件属性为隐藏 |
0x45 |
设置文件属性为隐藏 |
0x48 |
设置Active Directory 帐户 |
0x49 |
删除用户帐户 |
0x4A |
检索特定用户帐户的信息 |
0x4B |
回传进程列表 |
0x4C |
注销指定的远程桌面服务会话 |
0x4D |
断开登录用户与指定远程桌面服务会话的连接,而不关闭会话 |
0x4E |
回传系统用户列表信息 |
0x4F |
回传系统用户列表信息 |
0x50 |
建立新的远控连接 |
0x56 |
获取系统版本信息 |
0x57 |
上传数据 |
0x58 |
查看某个进程是否存在 |
0x59 |
看某个窗口(指定标题)是否存在 |
0x98 |
判断是否存在杀软,若不存在则建立新的远控连接 |
0xC8 |
更新“NetEase.exe”、“vmwarebase.dll”、“win.dat”文件 |
0xCA |
遍历进程查找杀软 |
0xCC |
修改Windows 防火墙设置 |
0xD0 |
连接网络,接收和发送数据 |
0xD4 |
设置NetEase.exe文件属性为隐藏 |
0xD6 |
查找chrome.exe进程 |
0xD8 |
清理IE浏览记录 |
0xD9 |
结束Chrome进程,删除C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default |
0xDA |
结束firefox进程,删除%appdata%\Mozilla\Firefox\Profiles*.db |
0xDB |
结束QQBrowser进程,删除C:\Users\xxx\AppData\Local\Tencent\QQBrowser\User Data\Default |
0xDC |
结束SogouExplorer进程,删除C:\Users\xxx\AppData\Roaming\SogouExplorer |
0xDD |
结束360se进程,删除C:\Users\xxx\AppData\Roaming\360se6\User Data\Default |
0xDE |
结束Skype进程,删除C:\Users\xxx\AppData\Roaming\Microsoft\Skype for Desktop |
0xDF |
断开连接 |
3.5 攻击者FTP服务器关联分析
在对恶意样本进行溯源的过程中发现攻击者至少搭建了3台FTP服务器,发现攻击者在FTP服务器上部署了多个不同C2的Gh0st木马。安天CERT通过分析发现该批Gh0st木马功能基本一致,只是C2不同。
图3-13 攻击者在某FTP服务器上部署的其他C2的Gh0st木马
4.安全建议:持续增强网内监测和终端防护
“游蛇”黑产团伙攻击持续升级,利用微信、企业微信等即时聊天工具的电脑端登录的沟通模式,诱导执行恶意程序,进一步在群组中传播,这种即有广撒网又有针对性的攻击给安全防护工作带来更多难题,对此,安天建议:
1. 强化业务人员安全意识
强化业务人员安全意识,降低组织被攻击可能性。客服、销售等使用微信、企业微信等电脑端登录的即时通讯应用时,避免因工作性质、利益原因,被诱导下载和运行不明来源的各类文件。组织通过选择安全意识培训服务,巩固“第一道安全防线”。
2. 加强终端文件接收和执行防护
部署企业级终端防御系统,实时检测防护即时通讯软件接收的不明文件。安天智甲终端防御系统采用安天下一代威胁检测引擎检测不明来源文件,通过内核级主动防御能力阻止其落地和运行。
安天智甲终端防御系统有效防护“游蛇”黑产团伙攻击
3. 提升网内流量的监测与响应
部署网络流量威胁检测设备可以结合“游蛇”黑产团伙的相关信标进行告警,及时定位被感染的终端。安天探海威胁检测系统集成了恶意代码检测引擎、网络行为检测引擎、命令与控制通道检测引擎、威胁检测模型、自定义场景检测引擎等,可有效检测攻击初始阶段“加载器A”访问FTP服务器行为、下载“加载器B”过程行为和使用的远程控制指令,帮助安全分析人员锁定内网受害主机和远控源头。
4. 遭受攻击及时应急处置
发现或怀疑遭受“游蛇”黑产团伙攻击:针对“游蛇”黑产团伙在攻击活动中投放的Gh0st远控木马,在安天垂直响应平台下载安天安全威胁排查工具(下载链接:https://vs2.antiy.cn/),面对突发性安全事件、特殊场景时快速检测排查此类威胁。由于“游蛇”黑产团伙使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,建议客户在使用专项排查工具检出威胁后,联系安天应急响应团队(CERT@antiy.cn)处置威胁。
拨打安天7*24小时服务热线400-840-9234寻求帮助:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查。
最后,针对此类通过诱导和恶意构造,最终指向终端的攻击模式,安天建议客户及时更新智甲终端防御系统、探海威胁检测系统等产品的特征库、规则库,配置安全管控和告警策略,持续应对此类攻击。
5.IoCs
IoCs |
101.32.223.31 |
103.100.62.208 |
103.127.83.111 |
103.71.153.136 |
103.71.153.158 |
111.173.119.130 |
111.173.119.152 |
111.173.119.71 |
118.99.40.134 |
118.99.40.166 |
121.62.17.22 |
121.62.23.105 |
121.62.23.77 |
122.228.116.157 |
122.228.116.159 |
122.228.116.198 |
124.248.69.193 |
150.109.159.9 |
154.213.17.100 |
154.213.17.199 |
154.213.18.54 |
154.23.183.31 |
154.39.193.155 |
154.39.193.169 |
154.91.230.14 |
183.57.144.164 |
206.233.130.199 |
38.181.20.7 |
43.129.230.71 |
43.132.173.165 |
43.135.25.123 |
43.135.50.139 |
45.204.83.66 |
45.204.85.12 |
58.49.150.216 |
58.49.150.228 |
58.49.150.230 |
58.49.150.239 |
58.49.151.87 |
61.136.166.216 |
8.218.39.19 |
38.47.239.104 |
D1901DA0D2A597B2ACEC570123A0A711 |
4F3496F52E2F7DEBC5BE1D0F577D4879 |
3D4547ABE4FE2762964254D6E92255A6 |
16E0649282546E1FFF9B824FA4C8CD40 |
328AE6CB65F7E2FBA2BB7118C8C2F72E |
B05FA7C307CFC65E0E08FE146819209D |
D92608DFEA05DD58341143BDA866AFA8 |
AC098F5EBA7CB69A672EB67516D90A09 |
5F5F5BCC7DA96D27ADF9DC7D77A58342 |
ACB9BE8F7C4BB586D82CACB4BFB0DFDB |
51848E8DBC1A95CEA4CA52ED7B7E89CC |
6961AE48D9B64E437489A81C2D2D1B84 |
3E7B0936445B9DD6705D218F4E2FB4CE |
5505238BC92A2F88FE8ADAFBC624E231 |
5F306BF9A3127ABAADCDB402141D9835 |
8D68B5595DA14B99B7004264E8858440 |
8E1802BD683C8139F4EC3BF8F46E8EEB |
D73EDD09533F74E9DE65F3F13D8FD1B3 |
096ACB9B66B6039BBFB88A4B49A795C2 |
9045259F008A4D58D8465E0FB373DAC9 |
27DB0E943049214DE9897656EDDE3B98 |
07BEC8CBD16D7AB4055FD3BFDA67392D |
D5FABC33AD79F87D2D40F32980414902 |
56C88E73033B138156FE6F20C04E93FF |
A165C8A91D9B8C627C1A33716E9D4F1A |
4E01D9B7142DD19CFE16216D0CD8F7FC |
3964745B626ABCB96EDF546C2B18A4E0 |
AA63C2BD440B7B70F354C89B60A8C2FE |
EC6BDAAA36702F424CA4933188EC6F9B |
BE6696B0B2C336CBD067AA4A29E1FFAF |
A33C0AF72AEEBECB21DD9E06C116FD4F |
11BBD2B3F4F16F1004D0F04E75277208 |
898C133EB69ED4411A5EC67714728751 |
3B9078AE9ED9D87911FA4409878B05EE |
0F06CE24076E4C7C8EB19FF2B86CF203 |
61502106C2EB7ED3E66519344A600F22 |
C313B87514AAC390200940E0C2FA12C1 |
FEF9AB141E1D500FD702C9DFFB39FF45 |
8C9EB1A4E97EB7AF32EDBFEFEB6CC5C8 |
E83FAE239E415A8A3DEB7D88AF79DF78 |
57129A2FE9AF053392059DF4E7AAFF3F |
99EA777B25780B0A18E41E518536229E |
62D0CC2E6EF34655E2F04690E497CC41 |
41C2EEB080E883CDE43F4ED78817DFB8 |
53CD6A45772668752DF67FF0B230C45D |
5715908D96DF1380F04158B2799EE8EA |
B2219ED0B150776639B4CAFDAAE06D05 |
B86CF39BCDA115480BBBBF6D150FF14D |
C84B5A886C152CBAA74C53CC2C8359F1 |
0BA33A9F2B54BDB69C857C11620AB576 |
6989E44BA1246105DC2675E9A8B7B4B2 |
2211C012CF9CA1A4877AB83EDB9A8DFE |
C39D31A9A4991E0C87D9A1ADDED91EBB |
6F551266C6FF4BAF96A8F490EA98A6B4 |
6E83C23C56AB071FEDEEF33998F51979 |
CFD35A105BF7DA928C2C8E0AD5A34FF9 |
F8DBF0512B8E0697D3D8986868A7EE7D |
C0E98A5D9EE3FAFD9F98B1BF105D6075 |
0A8D773E85CF36D807C8F6BE7F91279C |
33D8F12AB3F5A7122F5EE12B890E86BF |