概述

近期奇安信威胁情报中心捕获到针对财务人员的钓鱼样本,样本格式为CHM。该样本在双击运行之后首先释放并加载dotnet模块,dotnet模块将根据系统架构的不同加载不同的shellcode,shellcode从服务器远程下载svchost.exe、libcef.dll和libcef.png等载荷,通过模拟点击断链技术执行svchost.exe加载libcef.dll中的核心恶意代码,达到收集主机信息,浏览器历史记录,自启动等功能。

黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中,并诱导财务将钱转到指定的账户中,进而实现获利的目的。

样本分析

黑产通过邮件或者微信群投递的诱饵文档名为《2023年10月企业税务稽查内容通知.zip(离购买许可只剩7天).zip》

当用户双击CHM样本后,将弹出一个Windows警告。

用户点击“是”之后恶意代码开始运行。

基本信息

MD5

06ed2c30954614fe1e8e9e8bd4619510

SHA256

172dcc050fd15c75b6e03ed55c67871d9197cf4b3b337c89623d2be41b9850c4

文件类型

CHM

Test.html首先在开头使用JS定义了一个将base64编码转换为二进制流的函数:

随后又定义了stage_1、stage_2和stage_3三个变量的内容及大小:

最后尝试创建一个WScript.Shell对象,用于操作Windows Shell。通过shell读取注册表中的.NET Framework版本号,如果读取失败则将stage_3赋给stage_1,并将版本号设置为v2.0.50727。随后将进程环境变量COMPLUS_Version设置为.NET Framework版本号。尝试将stage_1(经过Base64编码的二进制数据)反序列化为对象。

如果以上步骤中出现任何异常,则尝试将stage_2(经过Base64编码的另一个二进制数据)反序列化为对象,但不会抛出任何异常。

被转化为二进制流的base64字符串在使用BinaryFormatter.Deserialize函数反序列化后将直接执行其中的代码。

阶段一

stage_1的代码如下所示:

Stage_2与stage_3的代码功能相似,首先将一个.NET模块加载进内存:

程序首先添加任务到keyValuePairs字典中,其中键为https://muchengoss.oss-cn-hongkong.aliyuncs.com/ + remotePath,值为"C:\\Users[当前用户名]\\Searches"下的一个随机生成的文件夹。+ fileName。将https://muchengoss.oss-cn-hongkong.aliyuncs.com/与“svchost.exe”,“libcef.dll”,“libcef.png”,“decod.exe”,“cache.dat”拼接。

随后调用Shellcode类中的Load2方法加载shellcode。

首先判断系统架构是64位/32位,两种情况分别加载不同的shellcode。

阶段二

Shellcode将动态解密出Urlmon.dll并调用UrlOpenBlockStreamW函数从拼接好的URL字符串远程下载svchost.exe、libcef.dll和libcef.png。

先用Shellexecute open这个文件夹,然后隐藏这个文件夹的窗口

再通过findwindows查找定位这个目录的窗口这个快捷方式文件

最后SendMessage点击运行这个lnk文件。

模拟点击执行的目的是断开进程链,防止EDR监控到后续的行为。

阶段三

Lnk文件的作用是启动svchost.exe。

Svchost.exe中调用libcef.dll的导出函数有十几个,但实际上这些函数的内部都跳转到了sub_691550E0。

阶段四

对sub_691550E0进行分析:

将libcef.png解密成dll文件,并创建新线程开始执行dll中的fuckyou函数:

根据dll中的字符串信息判断,应该是根据Ghost远控源码改造而成。

使用的数据传输协议也是IOCP。

获取计算机的GUID

对一些应用程序进行监控以及用户数据的收集,包括Chrome浏览器、QQ浏览器、火狐浏览器、360安全浏览器、搜狗浏览器、Skype

检测杀软进程并关闭

修改注册表添加自启动

释放file_update文件并将其加载进内存运行

设置UAC访问策略

文件遍历

将自身伪装成Windows update.exe。

键盘记录

获取systeminfo

获取计算机用户名

与ipconfig.cc通信,获取本机IP地址

与C2:103.210.237.33:65422通信

最后保持一分钟发送一次心跳包的频率确认主机存活

总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

IOCs

MD5

06ed2c30954614fe1e8e9e8bd4619510

d1a88258376133409e0df56740683d30

0a5b0607f6db1e8c9e3d2ca0da5c8d58

b2d085ab9171d577f8b36cf58090278b

URL

https://muchengoss.oss-cn-hongkong.aliyuncs.com/

https://muchengoss.oss-cn-hongkong.aliyuncs.com/TG.exe

https://muchengoss.oss-cn-hongkong.aliyuncs.com/cache.dat

https://muchengoss.oss-cn-hongkong.aliyuncs.com/decod.exe

https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.dll

https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.png

C2

103.210.237[.]33:65422

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。