概述
近日,奇安信病毒响应中心在日常黑产挖掘过程中发现之前披露过的金指狗木马架构又转入活跃状态,更新了漏洞组件,在执行链中首次出现了该团伙使用的新型Loader程序,该架构主要出现在全球华语地区。
新版本的木马架构依旧延续了良好的免杀效果,使用Total VideoPlayer栈溢出漏洞执行后续shellcode,抛弃以往使用的Photodex ProShow Producer软件栈溢出漏洞,从被修改过的带有数字签名的文件中解密数据,经过几轮内存加载后最终运行大灰狼远控,远程控制受害者电脑。
由于本次使用的栈溢出漏洞并未被厂商纳入监测范围,故奇安信病毒响应中心判断危害较大,为防止威胁进一步扩散,奇安信病毒响应中心负责任地对该木马架构进行披露和分析。
样本分析
执行流程如下
样本信息如下:
文件名 | MD5 | Packer/compiler | 类型 |
月会员充值亏损报表.rar | cde0a6831c6e4908acbcc84bc481a6e6 | None | rar文件 |
VT查杀效果如下,从上传到现在已经过去了一个多月,但VT上只有三家报毒。
诱饵文件如下:
压缩包内容如下:
解压后显示如下,其余文件被隐藏:
各组件功能如下
文件名 | MD5 | 功能 |
月会员充值亏损报表.com | de2052aae5a5915d09d9d1ede714865c | 带有漏洞的Total Video Player播放程序 |
TVPSkin.dll | 66759c30143666d21dd98351df325c76 | 漏洞程序运行组件 |
TVPPlayList.dll | 984527c34129e7c36ae4d2b770de2f16 | 漏洞程序运行组件 |
hskin.dll | 1de37ff829502f5cdeffd86e5ddc5351 | 漏洞程序运行组件 |
LastPlayList.m3u | a66260d226264bab3a25d59b6b8ab557 | 漏洞程序运行组件 |
Settings.ini | 280a4374ac1aeee3588d4d98625dca7b | 漏洞触发文件 |
lnk.dll | f599e859f387d445c8133a9ed21ad423 | Lnk文件指向Total Video Player播放程序 |
X | 3509d5d195e850726e60eb445a3828be | 第二阶段Shellcode |
A | f2c70621b609d53eed0f7324de020726 | 经过修改带有数字签名的文件 |
gifa | 3a0464f9e8dd31fb47d4c8dfc9959393 | 加密存放的CopyLoader |
jpg | e6c6c42d044e208ab3696d585e34d75b | 诱饵文件 |
月会员充值亏损报表.com实际上为带有漏洞的Total Video Player主程序
攻击者将其改名为com后缀的目的是为了掩盖播放器的图标,在exploitDB上可以看到该软件存在多个漏洞,本次活动所使用的为Settings.ini配置文件导致栈溢出
Settings.ini文件内容如下
在主程序执行过程中会读取Settings.ini 中[AssociateType]的值用于让加载play back模块使执行流到达漏洞所在位置
漏洞出现在主程序初始化界面的过程中
会读取Settings.ini文件中的[Support Groups]的值,作为参数传入402D80中
调用不安全的函数sprintf将[Support Groups]的值写入栈,而且并没有对V3 的值进行有效的验证从而导致了当V3等于-1时执行delete函数时触发异常导致shellcode执行,非常经典的栈溢出漏洞。
覆盖的SEH如下
会跳转到hskin.dll模块中,pop两次后执行后续的shellcode
动态获取API后,读取同目录下的X文件并执行第二阶段shellcode
接着读取同目录下的经过修改并带有数字签名的A文件,经过简单的异或操作揭秘出一个PE文件
MD5 | Packer/compiler | timestamp |
1afec41adcb1baaea66431748c0c1f5d | VC | 08/26/2020 04:59:10am |
我们将其命名为gifaLoader,读取同目录下的gifa文件并解密
之后进行进程替换,替换后的PE如下
MD5 | Packer/compiler | timestamp |
55d5b22553748c3cbe7eaeccb6a06308 | VC | 08/29/2020 04:06:32am |
为该组织常用的CopyLoader,第一次执行时将相关组件复制到C:\Users\Public\keleba\或者C:\Users\Public\Downloads\目录下。
弹出诱饵文件
当以C:\Users\Public\keleba\下的svchost.exe启动时会进入反射式DLL注入流程,内存加在另一个PE
PE信息如下:
MD5 | Packer/compiler | timestamp |
ed557845b1f1df8508f5f7c124e61f4c | VC | 09/02/2018 06:33:50am |
样本为经过修改的大灰狼远控,运行时会还会将cmd.exe重命名为QQgame.exe移动到C:\Users\Public\keleba\目录下并启动,进行伪装,之后创建线程在线程中启动远控模块
C2:202.61.84.30:8880
关联分析
通过关联,我们找到了该金指狗投放的其余样本
文件名 | MD5 | Packer/compiler | ITW |
갛홍섬.exe | c66c5ee7edb694ad5b9775f0a7047656 | SFX | |
dsp | b2d875e1d4a1372ee375fbd9a31503e7 | Zip | www.xssmsyk.com:99/dsp |
均使用了老的漏洞组件即利用Photodex ProShow Producer的栈溢出漏洞
其中名为Dsp的压缩包还包含了一层DLL-SideLoading执行链,增加了网络验证流程。
白签名的暴风影音5播放器加载StormPlayer.dll
会读取并解密同目录下的RW.txt文件
解密逻辑与样本分析部分的解密逻辑对比
解密的PE如下:
MD5 | Packer/compiler | timestamp |
8c665c98e8ed185f9877faaaeaab6f7c | VC | 07/20/2020 08:32:40am |
检测与C2的连通性之后拼接URL
URL如下:
www.xssmsyk.com:99/XiaoMaYZ/getinfo.asp?name=12704408365DSP&password=12704408365DSP
判断返回的数据是否包含“12704408365DSP”字符串
如果包含则调用ShellExecuteA执行Lnk文件
Lnk文件指向SX\ProShowProducer\CodeAlert.exe,该文件是带有漏洞的Photodex ProShowProducer软件,之后进入漏洞利用流程与上述类似
C2:
118.107.43.58:1527
106.54.88.79:1527
归属分析
本次活动漏洞利用第二阶段shellcode与上半年活动的对比
经过修改带有数字签名的文件A对比
CopyLoader对比
故我们将本次活动与金指狗团伙关联在一起,除此之外我们还发现执行链中没有持久化的行为,只是在下载目录下释放Lnk文件,这可能意味着该团伙并没有掌握过启动的方法,
在压缩包中还发现了名为Z和gifz的文件,经过手动解密gifz后发现是将CopyLoader的变种,取消了复制的功能,以上两个文件并不会被调用,可能是攻击者进行测试的文件打包时忘了删除
总结
今年以来随着金眼狗、金指狗等高级黑产团伙的活跃,将黑产对抗提高到一个新高度,从攻防角度来讲,我们认为,这种现象的出现与流行,就要求国内安全厂商必须不断提升自身产品水平。与此同时,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。
IOC
文件Hash:
cde0a6831c6e4908acbcc84bc481a6e6
1afec41adcb1baaea66431748c0c1f5d
55d5b22553748c3cbe7eaeccb6a06308
ed557845b1f1df8508f5f7c124e61f4c
c66c5ee7edb694ad5b9775f0a7047656
b2d875e1d4a1372ee375fbd9a31503e7
8c665c98e8ed185f9877faaaeaab6f7c
C2:
118.107.43.58:1527
106.54.88.79:1527
202.61.84.30:8880
www.xssmsyk.com
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
