背景

在2023年初至今,深信服深瞻情报实验室监测到东南亚区域的中文黑灰产圈通过微信\QQ等即时通信工具、邮件以及伪造工具网站的方式大肆对境内金融、教育、电商、货运、设计等各行各业进行钓鱼攻击,其主要目的为攻击相关公司的财务或信息人员,进行诈骗活动窃取目标资金或获取其他信息数据。

在初始的时候,友商根据某些活动将该行动的背后团伙称为“银狐”、“谷堕”组织等。但随着深入跟踪发现,发现该类型的网络攻击诈骗行动囊括了大量的黑产团伙,且该类黑产团伙攻击频率相当之快,其中的大部分团伙使用“winos”这款由ghost远控修改而来的变种作为控制软件,攻击技战术也基本相同,使用“银狐”、“谷堕”作为组织名称已经造成安全圈一定的分析、归因混乱。所以我们将该类型的网络攻击诈骗行动背后的黑产团伙合并为“银狐”集合体,针对其中的每个团伙分类追踪。

攻击方式

以微信/QQ等聊天软件传播为主要途径。

邮件/SEO广告伪造虚假网站钓鱼投递恶意文件:

根据多个团伙的分析结果,整理出该类型攻击的整体攻击链,相关信息如下图。

攻击载荷

黑产团伙将恶意文件伪装成办公软件(钉钉、微信、wps)、PS、PDF转换器安装包,诱导目标执行该恶意文件。

钉钉Setup.exe

EXEx86

2023-08-28

f3531d29c2f7795b3f1e944d2c9a29deae6b337464e83715ee3ea6e71f3ef282

office一键安装.exe.virus

EXEx86

2023-08-28

f38fbb46b2b155ec6e08137a13198c2770fde850be29c8112f69b7d96875d265

抖店_Setup.zip

Zip

2023-08-20

23e5e1f53b513bcac59b99e15a5ba857463c944206d3ba5b2e338219ae02d351

ps一键安装.exe1

EXEx86

2023-08-28

f680397af4eca1f91c9d48c003764e00259093ed20ce86a8255f7e47553abd04

wps一键安装.exe

EXEx86

2023-08-28

1dadcd97a6b45813972c3c7529b2908b56eb00855a730ed01ef7df24e9809778

office (6).zip

Zip

2023-09-01

2c0f6066e18e63eb8d8aa892a02727a3549ad244c220d6c5e0dcc5e6627ecae2

一键安装1.exe

EXEx86

2023-08-23

c7dcf8372894b9de4b8c88176be83c25dfb509cf3ca7ba40a9b36acc96b1ac8a

wps安装@3164.exe

EXEx64

2023-07-10

996e309926b02a16abd278caa3490e3d61345fdf20767a46257d155aa107c349

ps安装助手.zip

Zip

2023-06-29

8153e59bdeec198a2342004acb0a94d30e12af132e206b967eed8894bbfca54d

rar压缩工具_zip_1_9_5 for win7_10_11_1142.exe

EXEx64

2023-10-13

aa20f4a70314934cf30ad3547ede9853712cc78cd0c823a7ec3d0b65e861b1f6

PDF转换器@2990.exe

EXEx64

2023-06-02

c1bbda86c1f5caa1ec4f53a9bb16f0f745c371fa59c17246ea77fa47fa761445

pdf安装助手@8234.exe

EXEx64

2023-06-21

e534cb7f668c86fb6bd158f57819d6471ff5ba6c4a4b5423c7e2692f7838acea

PDF for windows @1142.exe

EXEx64

2023-06-25

eb3fbdc4119ad9f1710295f4697070ba49db587e93bb14b67174550a1d6809d4

WinRaR解压软件免费1143.exe

EXEx64

2023-10-12

5fbfcaf5c55e18c83c494d76c4f53da1382a7963d7f35401950d76c71b4aeab4

Microsoft Office 免费版.zip

Zip

2023-08-12

579789180fee3866d448a42fe1b219288378b826f0caebc03b92257bca690676

百度云盘8591.exe

EXEx64

2023-08-14

c168bb87db01627d04f15d9f559879ea4aa47b393ee3a8dfbdabbf0661de5a46

黑产团伙将恶意文件伪装发票、税收、财务、保险、证券压缩包。

9.15公布涉税企业名单.rar

RAR

2023-09-15

92deefd3cb87bd4e78f0dd7a63453d038b023f3636f97ee1cd41c4fd1e5c8161

9-11公布偷税漏税名单.rar

RAR

2023-09-11

20d6782a4ac32450a444aae7d0ebb5da194375a56d838bbf57803a5776cf7276

本市2023年度企业税收稽查名单公布.rar

RAR

2023-09-11

e99ff0fbae707f344ba337943a3da56d238a9bb14e3f55c672f051b921e71a8d

涉嫌偷税漏税企业名单.rar

RAR

2023-09-05

a41985b26d15d437f9c82ad390ffd4e73e7e638c26bbdaa374b1ed7078ab648f

国家税务同企业补贴政策通知.zip

Zip

2023-09-04

fed21183a5a0ed94ead68110be380b6e094a5042c5295a710188183845460521

记账报税资料(1).zip

Zip

2023-07-11

4a725864d44fc3c6aca027dfabc67b1d4bd4ff03daf442730cb2a17feac19aaa

7月纳税人税调整4854.exe

EXEx86

2023-08-11

16666075be895ff3160f0661665abd1622b104da6f6d6cf3ddcdc0cbd946740c

高级会计大全@4854.exe

EXEx86

2023-09-22

bd585a4ec25b11ef03736ebf7988d96e6a8346ba3b2de1b689860769aac6b7d7

税务稽查自查系统@9115.exe

EXEx64

2023-07-05

9e511cc3a1663f0118035d861529f91b91b42c6a39ab997e07210db316b415ac

發票.zip

Zip

2023-06-08

64b3f8ccf617b78b6964fc43993183d538cfba0ec8f575e589bb27c886020b36

关于税务文书通知@2698.exe

EXEx64

2023-07-21

acef7db1aea0e0f400c812b65714e3228337bbc2bfe29c308f5ab15760a73ed5

保险资料.zip

Zip

2023-08-14

2af7ae5e7e360cefcb9391d85561504270d920773b23dad1c8182465300f8327

中高会计大全(1).zip

Zip

2023-08-15

ddf3202d0f493275f758010630f26a0f83252c958dfc6a04a7234e1fcd27eea4

电子票.zip

Zip

2023-07-19

74bad4518bae9a6b1e2180864cabfd97bc213820ee5d4109998b4d8586107b08

票据单.zip

Zip

2023-07-26

42a7c0fbb5c15295b02b28c9ec0946a6b9f6da621eac8171d883aa0b05c3054d

用料清单.zip

Zip

2023-07-22

d93821e133d821082f532230f9556d9e4241a35b239a15201f97404dadee634c

社保.zip

Zip

2023-07-21

864e3335292fe62fe7a34fe47d8b72d850d8eb7d4d394ec91e34d2692e43a4fb

购车配置单.zip

Zip

2023-08-25

ff17d32940664f610085ad6321cfea36b5c4196c5c41f1aab45c844c5391204b

出纳人员必备软件1051.exe

EXEx64

2023-08-24

f839618112b2c2beaa617567cf8487e3c6155541b12a8fb31dc364bc25962496

8月税--务--告示4854.exe

EXEx64

2023-09-06

80d07b9437897db2bd2bb2c1ccf059fe373122fe6a079a865457a3bcd1c4cf7d

國家稅務總局下達了關於2023稅務抽查行業通告6229.exe.yzjdownload

EXEx64

2023-08-15

866385240549de5698de48c89414db00263a3aa98373d98d1b163c5249b40dfd

电子税务局退税助手1051.zip

Zip

2023-08-05

840230e4d90b04e2a8230babce34d3fbf33f0f4aa9b06a8a53ba12fac1d14619

国泰君安证券公司内部会议视频流出-已上传网络安全中心.msi

msi

2023-10-12

160ac866b22f6ffc7b5ee6067dd0ee514ca989c24d92d04778024875053c6d22

北京洛可可科技对采购云服务器存储等调研补充.exe

EXEx64

2023-10-12

3145ddf650bab784a803af100248230fd9d0760894296eda185e4ef47b1a0a35

EV录屏-付款闪退录制.com

EXEx64

2023-10-12

e3076d118051f4cfc4f10df1d18f2036457835c9025a64b622524acdd9dd837f

黑产团伙将恶意文件伪装成各种图片类型的文件。

U-719图片--.exe

EXEx86

2023-08-30

5d9a99f21c03488be8557f570c7750bd887fb6e13b29e609334866901b1a6768

户型图 2.zip

Zip

2023-08-28

7dc8add5e648c50cd9457f072c6ce427873340ae4232114c932667a9a45ebd43

照片.zip

Zip

2023-08-18

9939702cf43accc49011f0609d5d741b5a1a9e91892154fbaedd1648e574a0fd

公司员工证件照.exe

EXEx86

2023-09-07

90c26c5cbb88dc32fca1b8165078d195cf2ee9ffadf2988d69b9bc4b19e55127

备用(7.5).exe

EXEx64

2023-09-19

a95e0fe8c5c078b81d9599cfeb622a7c8e1c5d984ca943104904f6f2650c25a2

打包图49.exe

EXEx86

2023-04-20

c023d1cbcc46cd8a22fcc270c8d9a0c815359f10f980e3a49fff7f4477bec2bc

效果图.zip

Zip

2023-07-19

ba68ea82b19b4b68848b454b441a42d989cc541e5fe6838a5ce271bb9185a04b

爱尔眼科资料.zip

Zip

2023-09-01

bd8c4d8010a69419dfbad3330f7c48316fea532b01e3f54cf220c7736e1dc839

邀请函2698.exe

EXEx64

2023-09-11

7b6585e9e151410ea5d36dc9874c879e8f617af233072e1ae7bf72123d209c47

MR检查报告 (7).zip

Zip

2023-09-01

2653c4065bbed694b2d58272c49b18694b74bed6f1b09a7f6cd9e9afee4860cd

婚礼1216.rar

RAR

2023-08-16

4e3ec549f192d2d48d057ebbe9f23227a8da093530bb48f05195ff5ad90ad9c7

贵司邀请函2698.exe

EXEx64

2023-08-19

c92d964fe46ac9d1be4b4ea8257b78ff7b9c85c3d6945e40cb8b9f0e4df72f80

个人资料.zip

Zip

2023-08-10

b2f62661fd0bf559945dd1724313a2a5aaa11a87d7353b784330268d834c34b2

黑产团伙将恶意文件伪装成方案、设计类型。

文件1.zip(5).zip

Zip

2023-08-24

fd5d5dfd1fb33a75d4910c85cdd59879fd507c94dc48019a5f0717777fbc4fa1

计划方案1.zip.zip

Zip

2023-08-24

6bbd71d9d78e42e0c456567442f5aa8c8917f35db73272f6421b581a302cc9aa

方案3.zip.zip

Zip

2023-08-24

b3679e717d32952b3a77a429407736fc3dbb746013ae192195ff748967b8e65b

方案1.zip

Zip

2023-08-24

c7635ec03940bc93df5e2d95ed783e712b41c6bd0c5b1e5e64c0b03aaafe20ef

方案setup.exe

EXEx86

2023-08-29

aad2d8e021ebfe8837e8037710cc857cd35d39cc93badb622a083cfb1ae8f1f2

方案D.exe

EXEx86

2023-08-28

be60372a41152aa7913b595b509c8f41a7c829a9bb0599c86d48c2e24dfae701

设计.exe

EXEx64

2023-09-18

0bd18b1dd1786554fee71ab886a348c40e8f951e715613fd64198957e9b474c3

广告模版.zip

Zip

2023-07-03

995a8ad6b51979a0d086f8004743256f900bc220d19a3af018f607e0b699398c

雕刻图纸.zip

Zip

2023-08-02

b8818ff82692647405ae7248231b7c8c851ea56defe6207832ee55fe24fc6e3c

家具定制设计 (8).zip

Zip

2023-07-14

c77053a080b36894dbbdf57db2086e26ab0d0afb9c7336b6a1fd3b7f782df109

图纸.rar

RAR

2023-09-09

41f79ba5db120e08ca25e747ae8e3adcb38d45dd2fc51c84bbd38d3d1b91668a

卧室精装.zip

Zip

2023-08-28

a95dfd2678ce4c3cf45714290ff54321c4517d8638f88925fba07550faf09d5e

定制要求.zip

Zip

2023-07-27

b6fefd72f51e21f37adad067f0f21b368470a4a72774e87bbcc056b6dd80c4ec

医美方案.zip

Zip

2023-08-11

e0d7a171365cf0c7638f0b55c5a0147af2bbebedda318dd1634e6d1f3174f745

全屋定制.zip

Zip

2023-08-11

a5daaad3d3f275085008eaa3bc290c50589af0a91d987a6e147b2f1e4ee02002

全屋东西效果设计图.zip

Zip

2023-08-14

4e6a674158494cc67cdc57173332a353ae080636a61cac4718992a848d5b0ca6

银狐集合体

为了对该集合体有更清晰的认知与了解,我们详细分析了该集合体中的四个团伙的背景、传播方式、技战术、恶意组件等信息。

银狐集合体-团伙一

团伙背景:

该团伙主要使用虚假下载站、即时通信工具(微信、QQ)等向目标投递或扩散恶意exe文件,其投递的部分恶意exe文件会窃取相关证书并进行伪造(签名无效,校验不通过),将第二阶段载荷数据存放于其资源数据,解密资源数据释放第二阶段载荷,第二阶段载荷并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本),下表为相关恶意文件信息。

hash

name

特征说明

c2

45e819017b4dbc9a7d0103bcff8abc53

wps电脑版安装.exe

1、 通过窃取360证书并应用到恶意软件以便绕过杀软(只是单纯的窃取证书并签署到自身,数字签名无效)

2、 解密(取反)资源数据释放载荷

3、 检测到杀毒软件(360)会弹出提示框诱导用户退出杀软

4、 并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)

注:最终阶段为edge.xml解密执行edgexx.jpg载荷,该载荷为gh0st远控变种

wtkblq.com:7070

http[:]//38.55.184.74/ip.txt

80983409282414181744ec370ed50903

驱动一键安装.exe

wtkblq.com:7070

38.6.160.10:7000

977605a5d2b787f006f4e11a7e688861

方案setup.exe

wtkblq.com:7070

164.88.140.82:7000

e7e2c5fe935a929e8834562babe4f7f0

方案D.exe

wtkblq.com:7070

143.92.57.121:7000

c517dec025402d55e24ac00dbd04db4c

钉钉一键安装.exe

wtkblq.com:7070

164.88.140.82:7000

d9f98bf2ecbff5a876971616a2e3b818

本市2023年度企业税收稽查名单公布.rar

1、 攻击者使用Setup Factory打包恶意程序,该程序异或解密内嵌数据,释放第二阶段解包载荷,第二阶段解包载荷创建命令从该打包文件提取出第三阶段载荷。

2、 第三阶段载荷解压加密压缩包释放第四阶段载荷

3、 第四阶段载荷未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)

注:最终阶段为edge.xml解密执行edgexx.jpg载荷,该载荷为gh0st远控变种

fufeeti.net:7700

202.79.173.12:7700

122cadfbae683357ab76d39a3581681a

公司员工证件照.exe

fufeeti.net:7700

164.155.255.38:7700

d3014107fa8d84e6d95182f692994a19

国家税务同企业补贴政策通知.zip

fufeeti.net:7700

45.195.53.247:7700

攻击技战术:

Tatic(战术)

Techniques(技术)

Procedures(过程)

Description(描述)

Reconnaissance(侦查)

T1589-Gather Victim Identity Information(获取受害者信息)

T1589.002-Email Addresses(邮箱地址)

这个团伙似乎没有

Resource Development(资源开发)

T1583 -Acquire Infrastructure(获取基础设施)

T1583.003-Virtual Private Server(虚拟主机)

攻击者购买虚拟主机作为C2控制节点

T1583.007-Serverless(无服务器)

攻击者购买云存储服务(OSS)用于下发载荷

T1583.008-Malvertising(恶意广告)

攻击者购买搜索引擎广告服务,投递恶意文件

T1586-Compromise Accounts(泄露账户)

T1586.001-Social Media Accounts(社交账户)

攻击者购买黑市中的QQ、微信等社交账号

Initial Access(初始访问)

T1189-Drive By Compromise(路过式感染)

攻击者购买广告服务用于投递恶意文件

T1566-Phishing(网络钓鱼)

攻击者通过邮件或社交账号向目标投递恶意文件

Execution(执行)

T1059-Command and Scripting Interpreter(命令与脚本解释器)

T1059.007-JavaScript

攻击者投递的恶意载荷中使用chm中的javascript代码加载后续载荷

T1204-User Execution(用户执行)

T1204.002-Malicious File(恶意文件)

攻击者投递恶意文件并诱导目标执行

Persistence(驻留)

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)

攻击者修改启动配置实现自启动

Defense Evasion(对抗防御)

T1574-Hijack Execution Flow(劫持执行流程)

T1574.002-DLL Side-Loading(DLL侧加载)

攻击者利用DLL侧加载技术加载载荷

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)

攻击者将自身的载荷修改命名为svchost.exe

T1055-Process Injection(进程注入)

T1055.002-Portable Execution Injection(便携式可执行注入)

攻击组件解密PE文件并注入执行

T1055.003-Thread Execution Hijacking(线程执行劫持)

攻击组件解密shellcode并创建线程执行

T1027-Obfuscated Files or Information(混淆的文件或信息)

攻击者对多阶段载荷进行加密

Credential Access(凭证访问)

T1555-Credentials from Password Stores(来自密码存储的凭证)

T1555.003-Credentials from Web Browsers(浏览器凭据)

攻击者会窃取目标的浏览器凭据

Lateral Movement(横向运动)

T1534-Internal Spearphishing(内部鱼叉攻击)

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散

Collection(收集)

T1056-Input Capture(输入捕捉)

T1056.001-Keylogging(键盘记录)

攻击者会使用攻击组件记录键盘数据

T1056.002-GUI Input Capture(图形界面输入捕捉)

攻击者远程屏幕操作目标主机

T1115-Clipboard Data(窃取或替换剪切板数据)

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址。

T1113-Screen Capture(屏幕监控)

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作。

Command and Control(命令与控制)

T1095-Non-Application Layer Protocol(非应用层协议)

攻击者恶意组件使用自有协议进行通信

T1571-Non-Standard Port(非标准端口)

攻击者部署C2通信使用非标准端口(大部分使用大端口)

Exfiltration(渗出)

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)

通过C2通道实现数据渗出

Impact(影响)

T1491-Defacement(污损)

T1491.001-Internal Defacement(内部污损)

攻击者窃取组织内部资金,散布虚假不良消息

T1491.001-Internal Defacement(外部污损)

恶意文件外部扩散,散布虚假不良消息

案例样本分析:

hash

name

特征说明

c2

45e819017b4dbc9a7d0103bcff8abc53

wps电脑版安装.exe

1、 通过窃取360证书并应用到恶意软件以便绕过杀软(只是单纯的窃取证书并签署到自身,数字签名无效)

2、 解密(取反)资源数据释放载荷

3、 检测到杀毒软件(360)会弹出提示框诱导用户退出杀软

并未采用传统的DLL侧加载技术进行载荷加载,而是利用白文件加载配置文件执行漏洞(利用白文件更新机制执行lua脚本)

wtkblq.com:7070

http[:]//38.55.184.74/ip.txt

其投递的第一阶段载荷通过伪造合法证书签名信息的方式以规避杀软。

该组件将其第二阶段载荷存放于资源数据中,并检测系统是否存在杀软,如存在则弹框提示用户退出杀毒软件。

对资源数据取反解密并写入目录“C:\\Users\\Public\\Downloads”下的随机文件夹中。

释放的文件信息如下

释放的文件信息说明如下表。

名称

文件说明

xxxxx.exe(SnpzpPgo.exe)

白文件,会加载目录下同文件的dat文件,并使用内置密码“99B2328D3FDF4E9E98559B4414F7ACB9”解压该文件,执行其中的恶意lua脚本“_TUProj.dat”

xxxxx.dat(SnpzpPgo.dat)

伪装的dat更新包,其中包含恶意lua脚本文件“_TUProj.dat”,lua脚本用于修补edge.xml 文件头部并加载edge.xml

edge.xml

故意修改了PE头部的文件,用于解密加载edge.jpg最终载荷,并创建任务计划

edge.jpg

最终的执行载荷,为ghost远控变种

xxxxx.exe加载执行同目录下的同名dat文件中的恶意lua脚本,lua脚本内容如下,加载其中硬编码的shellcode。

该硬编码shellcode会读取edge.xml文件,并修补其头部5个字节(异或0x30 + 0x30),并在内存中加载修补后的edge.xml文件

修补后的edge.xml文件会创建任务计划用于执行上述的白文件实现主机驻留。

接着解密最终载荷edge.jpg文件并加载执行,图片的数据构造为正常图片数据 + 加密数据 + 四字节加密数据偏移 + 一字节初始异或密钥(每轮异或解密后,密钥值加一)。

解密出的载荷为gh0st远控变种,拥有键盘记录、远程命令执行、文件浏览、浏览器信息窃取等功能,其C2地址为“wtkblq.com:7070”,并尝试从“http[:]//38.55.184.74/ip.txt”获取新的C2地址。

网络基础设施:

类型

详细信息

domain:port

wtkblq.com:7070

domain:port

fufeeti.net::7700

url

http[:]//38.55.184.74/ip.txt

ip:port

38.6.160.10:7000

ip:port

164.88.140.82:7000

ip:port

143.92.57.121:7000

ip:port

202.79.173.12:7700

ip:port

164.155.255.38:7700

ip:port

45.195.53.247:7700

网空测绘特征:

引擎

说明

语句

all

针对该攻击团伙的多个Ghost C2分析,其常使用端口7070和7000(但是目前多个网空引擎并不会扫描到该端口)

port=7070 and port=7000

检测Yara规则:

rule sus_silverfox_attacker01_exeloader1

{

meta:

author = "binlmmhc"

hash = "6a6e73e36576e8bd36f10f707c2fb3a4b9533e72c269cebc807b408d142a6576"

strings:

$exeloader_data0001 = {00 25 74 65 6D 70 25 65 72 72 6F 72 2E 6C 6F 67 00}

$exeloader_data0002 = {00 48 65 6C 6C 6F 00 [1-20] 30 31 32 33 34 35 36 37 38 39 61}

condition:

1 of ($exeloader_data*)

}

rule sus_silverfox_attacker01_exeloader2

{

meta:

author = "binlmmhc"

hash = "fed21183a5a0ed94ead68110be380b6e094a5042c5295a710188183845460521"

note = "maybe wrong"

strings:

$exeloader_data0001 = "%s\\\\irsetup.exe"

$exeloader_data0002 = {00 6C 75 61 35 2E 31 2E 64 6C 6C 00 [1-10] 69 72 73 65 74 75 70 2E 65 78 65 00}

condition:

1 of ($exeloader_data*)

}

rule sus_silverfox_attacker01_fakexml

{

meta:

author = "binlmmhc"

hash = "6a6e73e36576e8bd36f10f707c2fb3a4b9533e72c269cebc807b408d142a6576"

strings:

$fakexml_data0001 = {2D 1A 50 00 03 00 00 00 04}

condition:

$fakexml_data0001 at 0

}

rule sus_silverfox_attacker01_gh0st_godeye

{

strings:

$gh0st_enc_data0001 = {41 42 43 44 A0 0A 00 00 45}

$gh0st_data0001 = "Groupfenzhu"

$gh0st_data0002 = "Remarkbeizhu"

$gh0st_data0003 = "Godeye4.a"

$gh0st_data0004 = "taskkill /im rundll322.exe /f & exit"

$gh0st_data0005 = "rundll3222.exe"

$gh0st_data0006 = "http://%s/%d.dll"

$gh0st_data0007 = "C:\\\\ProgramData\\\\xxx" nocase

$gh0st_data0008 = "C:\\\\xx.exe" nocase

$gh0st_data0009 = "cmd /c echo.>c:\\\\xxxx.ini"

condition:

($gh0st_enc_data0001 at (filesize - 9)) or

1 of ($gh0st_data*)

}

rule sus_silverfox_attacker01_shellcode

{

strings:

$shellcode_data0010 = {E9 ?? ?? 00 00 CC CC CC CC [2-8] CC CC CC CC 64 A1 30 00 00 00}

condition:

1 of ($shellcode_data*)

}

银狐合体-团伙二

团伙背景:

该团伙通过在通信工具(微信、QQ)投递税务相关标题的诱饵,诱饵中包含pyinstaller打包恶意文件,具有较好的静态免杀效果。采用多种加密算法加密shellcode,来对抗流量设备的检测。目前收集到该团伙使用的远控组件有普通gh0st及其变种银狐winos,在远控组件的选择上该团伙比较灵活多变。

hash

name

特征说明

c2

52e89cc2b3d8592336a50230293cf136

9月份税务企业抽查罚款名单 .zip

1、 使用pyinstaller打包文件,无其他类型的落地文件

2、 chacha20解密数据

内存加载两种类型的gh0st:普通gh0st变种及winos变种(谷堕)。

43.129.206.55

www.loaplqwq.com

43.129.72.35

43.132.208.236

124.156.181.76

43.128.9.119

96.43.110.250

4b160382fda9cfc19bc7598003fecfbf

2023税务稽查.名单.zip

1、 使用pyinstaller打包文件,无其他类型的落地文件

2、aes+rc4+xor解密数据

www.tyotya.com

43.129.244.225

攻击技战术:

Tatic(战术)

Techniques(技术)

Procedures(过程)

Description(描述)

Reconnaissance(侦查)

T1589-Gather Victim Identity Information(获取受害者信息)

T1589.002-Email Addresses(邮箱地址)

这个团伙似乎没有

Resource Development(资源开发)

T1583 -Acquire Infrastructure(获取基础设施)

T1583.003-Virtual Private Server(虚拟主机)

攻击者购买虚拟主机作为C2控制节点

T1586-Compromise Accounts(泄露账户)

T1586.001-Social Media Accounts(社交账户)

攻击者购买黑市中的QQ、微信等社交账号

Initial Access(初始访问)

T1566-Phishing(网络钓鱼)

攻击者通过邮件或社交账号向目标投递恶意文件

Execution(执行)

T1059-Command and Scripting Interpreter(命令与脚本解释器)

T1059.003-Python

攻击者投递的恶意载荷是使用pyinstaller打包python脚本生成的可执行文件

T1204-User Execution(用户执行)

T1204.002-Malicious File(恶意文件)

攻击者投递恶意文件并诱导目标执行

Persistence(驻留)

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)

攻击者修改启动配置实现自启动

Defense Evasion(对抗防御)

T1055-Process Injection(进程注入)

T1055.002-Portable Execution Injection(便携式可执行注入)

攻击组件解密PE文件并注入执行

T1055.003-Thread Execution Hijacking(线程执行劫持)

攻击组件解密shellcode并创建线程执行

T1027-Obfuscated Files or Information(混淆的文件或信息)

攻击者对多阶段载荷进行加密

Credential Access(凭证访问)

T1555-Credentials from Password Stores(来自密码存储的凭证)

T1555.003-Credentials from Web Browsers(浏览器凭据)

攻击者会窃取目标的浏览器凭据

Lateral Movement(横向运动)

T1534-Internal Spearphishing(内部鱼叉攻击)

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散

Collection(收集)

T1056-Input Capture(输入捕捉)

T1056.001-Keylogging(键盘记录)

攻击者会使用攻击组件记录键盘数据

T1056.002-GUI Input Capture(图形界面输入捕捉)

攻击者远程屏幕操作目标主机

T1115-Clipboard Data(窃取或替换剪切板数据)

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址

T1113-Screen Capture(屏幕监控)

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作

Command and Control(命令与控制)

T1095-Non-Application Layer Protocol(非应用层协议)

攻击者恶意组件使用自有协议进行通信

T1571-Non-Standard Port(非标准端口)

攻击者部署C2通信使用非标准端口(大部分使用大端口)

Exfiltration(渗出)

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)

通过C2通道实现数据渗出

Impact(影响)

T1491-Defacement(污损)

T1491.001-Internal Defacement(内部污损)

攻击者窃取组织内部资金,散布虚假不良消息

T1491.001-Internal Defacement(外部污损)

恶意文件外部扩散,散布虚假不良消息

案例样本分析:

hash

name

特征说明

c2

52e89cc2b3d8592336a50230293cf136

9月份税务企业抽查罚款名单 .zip

1、 使用pyinstaller打包文件,无其他类型的落地文件

2、 chacha20解密数据

内存加载两种类型的gh0st:普通gh0st变种及winos变种(谷堕)。

43.129.206.55

www.loaplqwq.com

43.129.72.35

96.43.110.250

钓鱼压缩包解压后是一个伪装成word文档的exe可执行文件,由pyinstaller打包。

解包后,可以看到,样本使用ftp从攻击者C2下载了两个文件:KuGou.exe、76_ChaCha20_Emoji.exe。KuGou.exe为白文件无恶意行为,76_ChaCha20_Emoji.exe会在内存加载shellcode,在内存在加载Gh0st远控。

在该ftp服务器上,我们下载到了以下第二阶段载荷,文件名的第一个数字为外联IP的最后一位。

名称

文件说明

35_ChaCha20_Emoji.exe

在内存中加载winos变种(谷堕),外联C2:43.129.72.35:65240

76_ChaCha20_Emoji.exe

在内存中加载winos变种(谷堕),外联C2:124.156.181.76:53104

119_ChaCha20_Emoji.exe

在内存中加载winos变种(谷堕),外联C2:43.128.9.119:58132

236_ChaCha20_Emoji.exe

在内存中加载winos变种(谷堕),外联C2:43.132.208.236:61950

250_ChaCha20_Emoji.exe

在内存中加载普通gh0st变种,外联C2:96.43.110.250:63591

这些载荷也都是使用pyinstaller,解包后,分析代码可知,样本从攻击者C2下载一段加密数据,每个字符减去128512后再转成字符,接着解base64,最后用chacha20解密数据,再解base64得到最终的shellcode,申请内存后,创建线程执行。而且每个文件都有对应的下载链接和解密的key。

执行的shellcode会在内存中加载一个DLL可执行文件,为gh0st远控程序。

250_ChaCha20_Emoji.exe加载的是普通gh0st变种。

另外4个文件加载的是winos变种(谷堕)。

我们还在该ftp服务器上找到一个与kugou.exe相似,但其功能会破坏系统安全的程序360Safe_boxed.exe。

该程序会遍历进程,向360tray.exe和360safe.exe这两个360安全防护进程的所有线程发送WM_QUIT消息,使线程结束,从而关闭360安全防护。

网络基础设施:

类型

详细信息

domain

www.loaplqwq.com

domain

www.tyotya.com

ip

43.129.206.55

ip:port

43.129.72.35:65240

ip:port

43.132.208.236:61950

ip:port

124.156.181.76:53104

ip:port

43.128.9.119:58132

ip:port

96.43.110.250:63591

ip

43.129.244.225

网空测绘特征:

该组织并没有很明显的网空特征,从文件名上能找到一些数据的关联,但并不能做为特征。第二阶段的载荷名称构造为[远控IP最后一位]_[主体加密算法名称]_[未知含义字符串].exe。文件也是托管在ftp服务器上,ftp用户名之间没有联系,密码也是随机生成的,远控组件连接的端口也没有规律,缺少深入挖掘的线索。

检测Yara规则:

rule attacker02_downloader{

meta:

author = "ranwu"

description = "pyinstaller pack the downloader use this rule to scan memory"

date = "2023-10-19"

strings:

$code1 = "execute_files"

$code2 = "download_files_from_ftp"

$code3 = "__main__"

$code4 = "get_local_path"

condition:

all of ($code*)

}

rule attacker02_downloader02{

meta:

author = "ranwu"

description = "the second payload"

date = "2023-10-19"

strings:

$code1 = "chacha20_decrypt"

$code2 = "remote_load_encrypted_text"

$code3 = "https://"

$code4 = "RtlMoveMemory"

$code5 = "CreateThread"

$code6 = "__main__"

condition:

all of them

}

rule attacker02_disable360{

meta:

author = "ranwu"

description = "the tool use to disable 360"

date = "2023-10-19"

strings:

$string1 = "explorer.exe"

$string2 = "360tray.exe"

$string3 = "360safe.exe"

$string4 = "PostThreadMessageA"

$string5 = "DuplicateHandle"

$string6 = "virtualbox"

condition:

all of them

}

银狐合体-团伙三

团伙背景:

该团伙常用使用虚假下载站托管虚假安装包去诱骗用户执行恶意文件,在后续中也用到各种在微信/QQ等聊天软件中钓鱼的压缩包,压缩包中包含一个可执行文件,执行时本体只下载执行shellcode,shellcode中反射加载的dll,负责部署白+黑侧加载攻击组件,以及下载最后阶段的shellcode落地为jpg文件或者保存到注册表,最后由白进程加载恶意dll读取执行shellcode,在内存中加载winos远控程序。

hash

name

特征说明

c2

3ef9ade5627c9d668a55d10d73bde843

meitu2192.exe

1、 伪装成美图秀秀安装包,且使用NVIDIA的签名。

2、 伪装的美图秀秀程序是简单的shellcode下载器和加载器,直接使用winos生成的shellcode,将shellcode落地为图片文件。

4-6.oss-cn-hangzhou.aliyuncs.com

shimo-oss1.oss-cn-hangzhou.aliyuncs.com

70ee45fb3b3c02a5ea8b097f822df0d8

hackbrian2192bai.jpg

1、 会从C2下载文件和释放可执行文件,为攻击者的winos注册持久化操作。

hackbrian-1317534006.cos.ap-chengdu.myqcloud.com

4-6.oss-cn-hangzhou.aliyuncs.com

042d490594105c84db16f188a17cb01f

保险资料.zip

1、 钓鱼文件的命名方式涉及安装包、财务发票、设计图纸等。

2、 下载DLL侧加载技术组件和shellcode,shellcode保存在注册表中。

3、 通过DLL侧加载技术加载注册表中的shellcode,通过该shellcode再去下载远控程序的shellcode最终上线。

2023818.oss-cn-hangzhou.aliyuncs.com

a626fd6919aec19630b3fee0235f4165

购车配置单.zip

44c8882c1047c4e80396c35af697578c

婚礼1216.rar

1ae290f7d6daec96849b0d12ce925825

方案效果图.zip

茶桌样式.zip

51baaac20d870d263eb8b679d3cee2ed

WinRaR解压软件免费1143.exe

攻击技战术:

Tatic(战术)

Techniques(技术)

Procedures(过程)

Description(描述)

Reconnaissance(侦查)

T1589-Gather Victim Identity Information(获取受害者信息)

T1589.002-Email Addresses(邮箱地址)

这个团伙似乎没有

Resource Development(资源开发)

T1583 -Acquire Infrastructure(获取基础设施)

T1583.003-Virtual Private Server(虚拟主机)

攻击者购买虚拟主机作为C2控制节点

T1583.007-Serverless(无服务器)

攻击者购买云存储服务(OSS)用于下发载荷

T1583.008-Malvertising(恶意广告)

攻击者购买搜索引擎广告服务,投递恶意文件

T1586-Compromise Accounts(泄露账户)

T1586.001-Social Media Accounts(社交账户)

攻击者购买黑市中的QQ、微信等社交账号

Initial Access(初始访问)

T1189-Drive By Compromise(路过式感染)

攻击者购买广告服务用于投递恶意文件

T1566-Phishing(网络钓鱼)

攻击者通过邮件或社交账号向目标投递恶意文件

Execution(执行)

T1204-User Execution(用户执行)

T1204.002-Malicious File(恶意文件)

攻击者投递恶意文件并诱导目标执行

Persistence(驻留)

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)

攻击者修改启动配置实现自启动

Defense Evasion(对抗防御)

T1574-Hijack Execution Flow(劫持执行流程)

T1574.002-DLL Side-Loading(DLL侧加载)

攻击者利用DLL侧加载技术加载载荷

T1036-Masquerading(伪装)

T1036.001-Invalid Code Signature(无效的代码签名)

攻击者使用伪造的NVIDIA签名虚假安装包文件

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)

攻击者将自身的载荷修改命名为windows.exe和window.exe

T1036.008-Masquerade File Type(伪装文件类型)

攻击者将加密载荷伪装成jpg图片

T1055-Process Injection(进程注入)

T1055.002-Portable Execution Injection(便携式可执行注入)

攻击组件解密PE文件并注入执行

T1055.003-Thread Execution Hijacking(线程执行劫持)

攻击组件解密shellcode并创建线程执行

T1027-Obfuscated Files or Information(混淆的文件或信息)

攻击者对多阶段载荷进行加密

Credential Access(凭证访问)

T1555-Credentials from Password Stores(来自密码存储的凭证)

T1555.003-Credentials from Web Browsers(浏览器凭据)

攻击者会窃取目标的浏览器凭据

Lateral Movement(横向运动)

T1534-Internal Spearphishing(内部鱼叉攻击)

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散

Collection(收集)

T1056-Input Capture(输入捕捉)

T1056.001-Keylogging(键盘记录)

攻击者会使用攻击组件记录键盘数据

T1056.002-GUI Input Capture(图形界面输入捕捉)

攻击者远程屏幕操作目标主机

T1115-Clipboard Data(窃取或替换剪切板数据)

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址

T1113-Screen Capture(屏幕监控)

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作

Command and Control(命令与控制)

T1095-Non-Application Layer Protocol(非应用层协议)

攻击者恶意组件使用自有协议进行通信

T1571-Non-Standard Port(非标准端口)

攻击者部署C2通信使用非标准端口(大部分使用大端口)

Exfiltration(渗出)

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)

通过C2通道实现数据渗出

Impact(影响)

T1491-Defacement(污损)

T1491.001-Internal Defacement(内部污损)

攻击者窃取组织内部资金,散布虚假不良消息

T1491.001-Internal Defacement(外部污损)

恶意文件外部扩散,散布虚假不良消息

案例样本分析:

hash

name

特征说明

c2

3ef9ade5627c9d668a55d10d73bde843

meitu2192.exe

1、 伪装成美图秀秀安装包,且使用NVIDIA的签名。

2、 伪装的美图秀秀程序是简单的shellcode下载器和加载器,直接使用winos生成的shellcode,将shellcode落地为图片文件。

4-6.oss-cn-hangzhou.aliyuncs.com

shimo-oss1.oss-cn-hangzhou.aliyuncs.com

70ee45fb3b3c02a5ea8b097f822df0d8

hackbrian2192bai.jpg

1、 会从C2下载文件和释放可执行文件,为攻击者的winos注册持久化操作。

hackbrian-1317534006.cos.ap-chengdu.myqcloud.com

4-6.oss-cn-hangzhou.aliyuncs.com

下载正版的美图秀秀安装包,并执行迷惑用户。

使用硬编码的url下载winos生成的shellcode文件hackbrian2192bai.jpg,并写入到文件C:/Users/Public/Documents/hackbrian2192bai.jpg(样本的C2目前仍然存活,记录时间2023-10-10)。

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll,该dll先从攻击者C2下载文件到C:\\\\Users\\\\Public\\\\Music\\\\windows.exe并执行,释放4个文件到C:\\\\Users\\\\Public\\\\Documents\\\\。

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll,该dll先从攻击者C2下载文件到C:\\\\Users\\\\Public\\\\Music\\\\windows.exe并执行,释放4个文件到C:\\\\Users\\\\Public\\\\Documents\\\\。

释放的文件功能如下。

MD5

名称

功能

0C5F70480886D30BE33A5B4EC901BB00

windows.exe

下载器兼shellcode加载器,在内存中加载winos远控,C2:yunbochuanmei.com

FD83F4DB3553B2E3B94687630CD0C076

window.exe

下载器兼shellcode加载器,在内存中加载winos远控,C2:1.youbi.co

CBBDEF6C4D82EB4FF01ED43F1E641907

config.exe

类似rundll32.exe

08FD580441AEC2D5F7E9388D1722720E

AudioEngine.dll

启动windows.exe

3A9D8E4EA1B8B81C8883966418C6B957

CCMini.exe

永劫无间游戏语音,用于加载AudioEngine.dll

B303F134A54D86473CA62CE5721681AE

CCMini.lnk

快捷方式指向CCMini.exe

随后使用com接口创建文件快捷方式文件111.lnk,使用config.exe加载shell32.dll去修改注册表项,将注册表中的开机启动菜单目录修改为C:\\\\Users\\\\Public\\\\Documents\\\\DlkKkLmFGU。

将CCMini.lnk复制到C:\\\\Users\\\\Public\\\\Documents\\\\DlkKkLmFGU中重命名为“微软虚拟服务”,做为开机启动项,去启动CCMini.exe。

最后执行“运行”,通过消息窗口传递C:\\\\Users\\\\Public\\\\Documents\\\\hh\\\\111.lnk,来执行111.lnk实现持久化。

前面的操作都是为了服务于windows.exe,该程序会下载gdagew2192ufaeqfga.jpg并在内存中加载winos远控程序,外联C2:yunbochuanmei.com。

8月份之后的样本略有不同,使用更加广泛的诱饵内容进行钓鱼,压缩包中包含一个[4个数字].exe的可执行文件。

hash

name

特征说明

c2

042d490594105c84db16f188a17cb01f

保险资料.zip

1、 钓鱼文件的命名方式涉及安装包、财务发票、设计图纸等。

2、 下载DLL侧加载技术组件和shellcode,shellcode保存在注册表中。

3、 通过DLL侧加载技术加载注册表中的shellcode,通过该shellcode再去下载远控程序的shellcode最终上线。

2023818.oss-cn-hangzhou.aliyuncs.com

042d490594105c84db16f188a17cb01f

保险资料.zip

a626fd6919aec19630b3fee0235f4165

购车配置单.zip

44c8882c1047c4e80396c35af697578c

婚礼1216.rar

1ae290f7d6daec96849b0d12ce925825

方案效果图.zip

茶桌样式.zip

51baaac20d870d263eb8b679d3cee2ed

WinRaR解压软件免费1143.exe

文件执行后会将文件复制到Public目录,重新执行后从攻击者C2下载shellcode并执行。

shellcode会在内存中反射加载一个恶意dll,该dll从攻击者C2下载3个文件UnityPlayer.dll,ttd.exe,389.CHM,存放在C:\\\\Users\\\\Public\\\\Documents\\\\目录下。

c4e0bc6f1d57954d0e26458a67f495b5

UnityPlayer.dll

读取注册表HKEY_CURRENT_USER\\Console的zdmxd360nzmj,做为shellcode执行

dd12729cb9aa55eb4a036a6aa0cec3b9

ttd.exe

白文件用于加载UnityPlayer.dll

fbb2bf38067cca4ba0f7a2dc3edfcdc8

389.CHM

提供持久化,将HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders\\Startup修改为恶意文件所在路径

419a7b4513caac1acb5343599c3f8910

hrsgdsb4647wknzms.jpg

存储在注册表的shellcode,用于下载执行下阶段shellcode

以及下载shellcode存放在HKEY_CURRENT_USER\\Console的zdmxd360nzmj和njsgsb360dsb值中,两个值保存的数据是相同的。

随后创建HKEY_CURRENT_USER\\Console的Console_b的值存放运行时间,弹出错误提示窗口。

最后读取注册表njsgsb360dsb的值,执行shellcode。

389.CHM中带有高度混淆的vbs脚本(由jsjiami.com加密处理后的代码),通过调试发现该样本会修改注册表中的开机启动目录的路径,该路径放置着ttd.exe和UnityPlayer.dll,由此实现持久化。

有意思的是389.CHM中会检测时间戳来决定是否修改注册表,硬编码时间戳1693363320000为2023-08-30 10:42:00,超过这个时间则不修改注册表。

hrsgdsb4647wknzms.jpg会解析文件尾部的配置信息(|p1:112.124.64.7|o1:4647|t1:1|p2:112.124.64.7|o2:4647|t2:1|p3:112.124.64.7|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2023. 5.23|jp:0|bh:0|ll:0|dl:0|sh:0|kl:0|bd:0)是winos特有的配置信息结构,该shellcode类似于cobaltstrike生成的stage。

网络基础设施:

类型

详细信息

domain

6-8.oss-cn-hangzhou.aliyuncs.com

domain

6-2.oss-cn-hangzhou.aliyuncs.com

domain

6-5.oss-cn-hangzhou.aliyuncs.com

domain

7-1.oss-cn-hangzhou.aliyuncs.com

domain

7-9.oss-cn-hangzhou.aliyuncs.com

domain

8-2.oss-cn-hangzhou.aliyuncs.com

domain

8-4.oss-cn-hangzhou.aliyuncs.com

domain

8-5.oss-cn-hangzhou.aliyuncs.com

domain

9-5.oss-cn-hangzhou.aliyuncs.com

domain

9-7.oss-cn-hangzhou.aliyuncs.com

domain

9-2.oss-cn-hangzhou.aliyuncs.com

domain

9-3.oss-cn-hangzhou.aliyuncs.com

domain

9-8.oss-cn-hangzhou.aliyuncs.com

domain

9-6.oss-cn-hangzhou.aliyuncs.com

domain

9-4.oss-cn-hangzhou.aliyuncs.com

domain

2023818.oss-cn-hangzhou.aliyuncs.com

domain

2023814.oss-cn-hangzhou.aliyuncs.com

domain

202383.oss-cn-hangzhou.aliyuncs.com

domain

2023811.oss-cn-hangzhou.aliyuncs.com

domain

2023816.oss-cn-hangzhou.aliyuncs.com

domain

2023815.oss-cn-hangzhou.aliyuncs.com

domain

2023817.oss-cn-hangzhou.aliyuncs.com

domain

202386.oss-cn-hangzhou.aliyuncs.com

domain

202389.oss-cn-hangzhou.aliyuncs.com

domain

2023810.oss-cn-hangzhou.aliyuncs.com

domain

2023812.oss-cn-hangzhou.aliyuncs.com

domain

2023817.oss-cn-shanghai.aliyuncs.com

domain

2023813.oss-cn-hangzhou.aliyuncs.com

domain

2023802.oss-cn-hangzhou.aliyuncs.com

网空测绘特征:

域名构造方式:[月份]-[日期].oss-cn-hangzhou.aliyuncs.com,虽然域名中的日期到9-8,但域名的使用时间在7月份,在此之前都是使用这种命名方式。

6-8.oss-cn-hangzhou.aliyuncs.com

而在8月份之后使用的是2023[月份][日期].oss-cn-hangzhou.aliyuncs.com。

2023818.oss-cn-hangzhou.aliyuncs.com

根据上面的分析可以在VirusTotal上搜索相似格式的域名。

引擎

说明

语句

VirusTotal

由于该攻击团伙常使用云存储服务的域名会使用日期,通过检索类似的格式来收集相关的云存储服务的域名。

entity:domain domain:"2023*.oss-cn-hangzhou.aliyuncs.com"

entity:domain domain:"*-*.oss-cn-hangzhou.aliyuncs.com"

下载的内容内嵌一个可执行文件(winos远控),没有任何加密,在文件偏移0xB00+可以找到PE文件数据,落地文件集中在C:\\Programdata\\和C:\\Users\\Public\\等目录。url构造[4个数字].jpg、[数字].bin、[数字].txt,诱饵为安装包诱饵和[4个数字].exe。

https://9-5.oss-cn-hangzhou.aliyuncs.com/6969.jpg

https://9-5.oss-cn-hangzhou.aliyuncs.com/8160.jpg

https://2023818.oss-cn-hangzhou.aliyuncs.com/hrsgdsb8574wknzms.jpg

检测Yara规则:

rule sus_silverfox_attacker02_shellcode{

meta:

author = "ranwu"

description = "shellcode in memory"

date = "2023-09-27"

strings:

code1 = {E8 00 00 00 00 58 55 89 E5 89 C2 05 FF 0B 00 00 81 C2 ?? ?? ?? ?? 68 05 00 00 00 68 04 00 00 00 52}

code2 = {E8 00 00 00 00 58 55 89 E5 89 C2 68 05 00 00 00 50 81 C2 ?? ?? ?? ?? 68 04 00 00 00 52 68 ?? ?? ?? ?? 05 D2 0B 00 00}

condition:

1 of them

}

rule sus_silverfox_attacker03_downloader{

meta:

author = "ranwu"

description = "yinhu downloader and execute shellcode"

date = "2023-10-12"

strings:

$api1 = "InternetOpenA"

$api2 = "InternetOpenUrlA"

$api3 = "InternetReadFile"

$location = "C:\\\\Users\\\\Public\\\\" wide ascii nocase

$http = "http" wide ascii nocase

condition:

all of them

}

rule sus_silverfox_attacker03_downloader_1{

meta:

author = "ranwu"

description = "use run window to execute file"

date = "2023-10-17"

strings:

$shell = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"

$id = "#32770"

$open = "open"

$button = "ComboBox"

$http = "http"

condition:

all of them

}

银狐合体-团伙四

团伙背景:

攻击者主要使用虚假下载站、即时通信工具(微信、QQ)等向目标投递或扩散恶意exe文件或发送chm文件作为第一阶段载荷,其会通过chm文件中包含的恶意脚本从云存储服务(OSS)下载第二阶段载荷,第二阶段载荷通过多轮加载以及解密,最终执行Ghost远控变种TinaMa。在对该团伙的相关基础设施进行分析的过程中,发现该团伙疑似同时与境外赌博存在一定的关联,下表为相关恶意文件信息。

hash

name

特征说明

c2

06ed2c30954614fe1e8e9e8bd4619510

1.chm

使用chm文件格式执行恶意脚本,该恶意脚本根据执行环境解码内置的3段stage载荷并执行(base64编码),最终加载Ghost变种Tianma

muchengoss.oss-cn-hongkong.aliyuncs.com

4c64018586b08237f90cad9836523d17

ok.chm

bucketossbj.oss-cn-hongkong.aliyuncs.com

dee452a07f0a1ba8c5a771924620a2de

TianMa.chm

baiduwenshen.oss-cn-hongkong.aliyuncs.com

7f15a99730981fc234552cfc12913dc6

发-票.chm

osstesto.oss-cn-hongkong.aliyuncs.com

7346b99468ff49b73429b1d23eb01534

osstesto.oss-cn-hongkong.aliyuncs.com

8dd20f3f2f25bb297c9b64895530f920

hh.chm

baiduwenshen.oss-cn-hongkong.aliyuncs.com

69159bfb287f750a8d607f1e189cbdcf

释放诱饵图片及chm载荷文件并执行

bucketossbj.oss-cn-hongkong.aliyuncs.com

87e1ce6db9a4c9d60747c851f6473c11

bucketossbj.oss-cn-hongkong.aliyuncs.com

9d043eedbf6f7ef3b35696bd8c2c3dae

bucketossbj.oss-cn-hongkong.aliyuncs.com

0499bd9744ca9f2dbfff7120c0ce83cf

b8c58ce4104af2805c50770bc7d4ae4b

bucketossbj.oss-cn-hongkong.aliyuncs.com

攻击技战术:

Tatic(战术)

Techniques(技术)

Procedures(过程)

Description(描述)

Reconnaissance(侦查)

T1589-Gather Victim Identity Information(获取受害者信息)

T1589.002-Email Addresses(邮箱地址)

这个团伙似乎没有

Resource Development(资源开发)

T1583 -Acquire Infrastructure(获取基础设施)

T1583.003-Virtual Private Server(虚拟主机)

攻击者购买虚拟主机作为C2控制节点

T1583.007-Serverless(无服务器)

攻击者购买云存储服务(OSS)用于下发载荷

T1583.008-Malvertising(恶意广告)

攻击者购买搜索引擎广告服务,投递恶意文件

T1586-Compromise Accounts(泄露账户)

T1586.001-Social Media Accounts(社交账户)

攻击者购买黑市中的QQ、微信等社交账号

Initial Access(初始访问)

T1189-Drive By Compromise(路过式感染)

攻击者购买广告服务用于投递恶意文件

T1566-Phishing(网络钓鱼)

攻击者通过邮件或社交账号向目标投递恶意文件

Execution(执行)

T1059-Command and Scripting Interpreter(命令与脚本解释器)

T1059.007-JavaScript

攻击者投递的恶意载荷中使用chm中的javascript代码加载后续载荷

T1204-User Execution(用户执行)

T1204.002-Malicious File(恶意文件)

攻击者投递恶意文件并诱导目标执行

Persistence(驻留)

T1547-Boot or Logon Autostart Execution(引导或登录自动启动)

T1547.001-Registry Run Keys / Startup Folder(RUN注册键/启动文件夹)

攻击者修改启动配置实现自启动

Defense Evasion(对抗防御)

T1574-Hijack Execution Flow(劫持执行流程)

T1574.002-DLL Side-Loading(DLL侧加载)

攻击者利用DLL侧加载技术加载载荷

T1036-Masquerading(伪装)

T1036.005-Match Legitimate Name or Location(匹配合法名称或未知)

攻击者将自身的载荷修改命名为svchost.exe

T1036.008-Masquerade File Type(伪装文件类型)

攻击者将加密载荷伪装成png图片

T1055-Process Injection(进程注入)

T1055.002-Portable Execution Injection(便携式可执行注入)

攻击组件解密PE文件并注入执行

T1055.003-Thread Execution Hijacking(线程执行劫持)

攻击组件解密shellcode并创建线程执行

T1027-Obfuscated Files or Information(混淆的文件或信息)

攻击者对多阶段载荷进行加密

Credential Access(凭证访问)

T1555-Credentials from Password Stores(来自密码存储的凭证)

T1555.003-Credentials from Web Browsers(浏览器凭据)

攻击者会窃取目标的浏览器凭据

Lateral Movement(横向运动)

T1534-Internal Spearphishing(内部鱼叉攻击)

攻击者利用部署的远控组件操作目标的社交账户向同组织或其他客户发送恶意文件实现扩散

Collection(收集)

T1056-Input Capture(输入捕捉)

T1056.001-Keylogging(键盘记录)

攻击者会使用攻击组件记录键盘数据

T1056.002-GUI Input Capture(图形界面输入捕捉)

攻击者远程屏幕操作目标主机

T1115-Clipboard Data(窃取或替换剪切板数据)

攻击者从剪切板窃取账户密码或者修改剪切板内容修改银行卡账户、钱包地址。

T1113-Screen Capture(屏幕监控)

攻击者利用部署的远控组件同步目标的屏幕显示,监控目标的操作。

Command and Control(命令与控制)

T1095-Non-Application Layer Protocol(非应用层协议)

攻击者恶意组件使用自有协议进行通信

T1571-Non-Standard Port(非标准端口)

攻击者部署C2通信使用非标准端口(大部分使用大端口)

Exfiltration(渗出)

T1041-Exfiltration Over C2 Channel(通过C2通道渗出)

通过C2通道实现数据渗出

Impact(影响)

T1491-Defacement(污损)

T1491.001-Internal Defacement(内部污损)

攻击者窃取组织内部资金,散布虚假不良消息

T1491.001-Internal Defacement(外部污损)

恶意文件外部扩散,散布虚假不良消息

案例样本分析:

hash

name

特征说明

c2

06ed2c30954614fe1e8e9e8bd4619510

1.chm

使用chm文件格式执行恶意脚本,该恶意脚本根据执行环境解码内置的3段stage载荷并执行(base64编码)

muchengoss.oss-cn-hongkong.aliyuncs.com

其投递的第一阶段载荷为chm,该脚本根据执行环境解码内置的3段stage载荷并执行(base64编码)。

第一段载荷stage1用于关闭“DisableActivitySurrogateSelectorTypeCheck”类型检查以绕过高版本框架对ActivitySurrogateSelector类的滥用。

stage2与stage3实际为同一功能的载荷,用于下载第三阶段载荷以及执行内嵌的x86或x64平台shellcode。

该部分对stage2进行分析,可以看到其存在PDB路径“E:\\\\2023-TianMa~\\\\TMAir_Ghost10.0_dev_vs2022标记v4.2.0\\\\CHM\\\\KH\\\\TestAssembly\\\\obj\\\\Release\\\\TestAssembly.pdb”,表明其该攻击者使用的后续载荷为Ghost10.0版本修改的变种,且名称为TianMa。

其会将要下载的url路径与文件名称写入用户%temp%目录下以当前进程PID形成的文件中,用于后续的文件下载。

接着其会根据执行环境执行内嵌的x86或x64 shellcode代码。

执行的shellcode是一个下载器,其会在%temp%目录下创建随机目录,并将上述相关文件下载到对应目录。

共下载了5个文件,相关文件信息如下表

名称

功能

cache.dat

加密的的7z压缩包

decod.exe

7zip压缩工具

libcef.dll

aplib压缩数据,stage2或stage3会进行解压缩

libcef.png

加密载荷,需要解压缩后的libcef.dll解密并调用,加密的Tianma远控(基于Ghost改造)

libcef.exe/svchost.exe

公开可信libcef工具,会加载lbcef.dll加载文件

在下载文件后,其会使用ap压缩算法对libcef.dll进行解压缩,解压出一个巨大的libcef.dll文件,该文件使用DLL侧加载技术被libcef.exe文件所加载,将所有被调用的函数导向该恶意函数,其会解密libcef.png文件并调用其导出函数“fuckyou”,解密所需要的信息在PNG文件头部。

加密的png文件头部信息如下

通过分析解密的libcef.png文件为上述提到的TianMa远控,该远控拥有Ghost远控所拥有的的功能,包括但不限于键盘记录、文件浏览、命令执行、浏览器信息窃取等功能,其连接C2地址为“103.210.237.33”。

该远控通过命令调用decod.exe文件解压cache.dat 7z加密压缩包。

cache.dat压缩包解压后的文件如下,该文件疑似为上海迈微软件科技有限公司的逍遥模拟器组件,攻击者利用该模拟器组件执行相关恶意功能。

网络基础设施:

类型

详细信息

domain

muchengoss.oss-cn-hongkong.aliyuncs.com

domain

bucketossbj.oss-cn-hongkong.aliyuncs.com

domain

baiduwenshen.oss-cn-hongkong.aliyuncs.com

domain

osstesto.oss-cn-hongkong.aliyuncs.com

domain

jubaopengosssi.oss-cn-hongkong.aliyuncs.com

domain

shunfengoss.oss-cn-hongkong.aliyuncs.com

domain

kefubahaohonsheng.oss-cn-hongkong.aliyuncs.com

domain

aliyunlianjieoss.oss-cn-hongkong.aliyuncs.com

domain

jpbdoss.oss-cn-hongkong.aliyuncs.com

domain

wangzheguilaioss.oss-cn-hongkong.aliyuncs.com

ip:port

103.210.237.33:65422

ip:port

206.238.220.147:8888

ip:port

202.189.9.187:65422

ip:port

125.64.108.3:65422

ip:port

42.51.40.73:65422

网空测绘特征:

引擎

说明

语句

VirusTotal

由于该攻击团伙常使用云存储服务下载多个固定名称的载荷,通过正则查询拥有该类型特征的URL可获取到疑似该团伙的最新云存储服务下载地址

entity:url (url:"*oss-*/libcef.png" or url:"*oss-*/libcef.exe" or url:"*oss-*/libcef.dll" or url:"*oss-*/decod.exe" or url:"*oss-*/cache.dat")

all

针对该攻击团伙的多个Ghost C2分析,其常使用端口65422(但是目前多个网空引擎并不会扫描到该端口)

port=65422

检测Yara规则:

rule sus_silverfox_attacker04_chm

{

meta:

author = "binlmmhc"

strings:

$chm_data0001 = {00 74 65 73 74 2E 68 74 6D 6C 00 06 00 05 00 74 65 73 74 00}

$chm_data0002 = "Base64ToStream(stage_1, stage_1_size)"

$chm_data0003 = "stage_1 = stage_3;"

$chm_data0004 = "Base64ToStream(stage_2, stage_2_size);"

condition:

filesize < 5MB and 1 of ($chm_data*)

}

rule sus_silverfox_configdata

{

meta:

author = "binlmmhc"

strings:

$config_data0001 = "/libcef.exe="

$config_data0002 = "/libcef.dll="

$config_data0003 = "/libcef.png="

$config_data0004 = "/decod.exe="

$config_data0005 = "/cache.dat="

condition:

1 of them

}

rule sus_silverfox_attacker04_png

{

meta:

author = "binlmmhc"

strings:

$png_data = {89 50 4E 47 00 00 00 00 00 00 00 00 00 00 00 00}

condition:

$png_data at 0

}

rule sus_silverfox_attacker04_dotnetloader

{

meta:

author = "binlmmhc"

strings:

$dotnetloader_data0001 = {00 73 74 61 67 65 5F 32 5F 73 68 63 5F 78 36 34 00}

$dotnetloader_data0002 = {00 73 74 61 67 65 5F 32 5F 73 68 63 5F 78 38 36 00}

$dotnetloader_data0003 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}_b" wide

condition:

1 of ($dotnetloader_data*)

}

rule sus_silverfox_attacker04_Tianma

{

meta:

author = "binlmmhc"

strings:

$tianma_data0001 = "2023-TianMa"

$tianma_data0002 = "\\\\TMAir_"

$tianma_data0003 = "_Ghost10.0_dev_vs2022"

condition:

1 of them

}

攻击武器

winos

winos是”银狐“集合体中使用频率极高的远控,源码在免杀QQ群,黑产交流群都能以极小的金钱买入,编译好的winos工具更是在各处可见。通过对我们收集到的大量样本进行分析后,共发现32种pdb路径信息(不排除还有其他路径),其中都包含有“Winos”,”上线模块“等关键字眼,而且数据显示有73%的样本使用的是“谷堕”这份源码,其余占比较小的疑似为源码泄露后被多个个体用于攻击行动。

在winos的源码中可以看到该远控程序的多种模块,在上文分析中所说的上线模块也在其中,该模块做为基础模块,攻击者选择开启某个功能时,会传输相应的插件dll在上线模块中加载。

目前编译好且流传较广泛的版本为:”HackBrain VIP会员版”,“winos 4.0”,winos的控制界面如下,通过该控制端来展示winos的基础功能。(winos的客户端生成非常简单,为了保持连接的稳定,采用双域名循环访问以及一个备用域名,以此来保证连接的稳定。演示的winos只提供两个额为功能,这部分可以进行二次开发进行添加。通信方式为TCP和UDP且可以自定义通信密码,保证通信内容不被轻易识别)。

winos功能详细说明如下表。

功能

描述

权限管理

两种常驻方式:写启动目录和写注册表。

提供以管理员身份启动自身,以及token提权。

资料管理

文件上传下载和文件检索。

屏幕监控

提供多种高清高帧率屏幕监控的方式,该功能无法操作屏幕。

外设管理

接收目标扬声器的声音和将控制端扬声器的声音同步到目标的扬声器。

接收目标麦克风的声音进行窃听。

打开目标的摄像头。

主机管理

远程终端:客户端可以执行任意cmd命令

代理映射:将目标机器做为中间代理转发流量

远程交谈:一个简易的聊天工具,和目标进行文字对话

解密数据:窃取chrome,Edge,360安全浏览器,QQ浏览器中保存的账户密码,以及chrome中的cookies

客户管理

文件下载和文件上传执行

痕迹清除,卸载等

清除记录

清空各个浏览器的记录

注入管理

将远控模块注入到其他进程。

插件执行

自定义插件执行

TianMa

在对银狐这个黑产集合体追踪中,我们发现了其中某团伙使用Ghost10.0远控改造而成的变种TianMa,该变种的功能与其他ghost变种并没有多大变化,包括但不限于命令执行、文件管理等。

第三只眼

在某些事件中,我们还观察到某些团伙使用了商业的网络监控软件作为控制端,“第三只眼”被黑产团伙用于控制目标机器。

Ghost

ghost远控木马从被公开至今一直为中文黑灰产圈所钟爱,并衍生出了各种各样的变种,本类型攻击活动中大部分控制软件也由其衍生而来。

危害/变现

1. 在控制目标机器后,攻击者会控制目标办公交流账户(微信、钉钉)等对财务进行诈骗活动。

2. 远程操控微信/QQ等聊天软件使用被入侵机器登陆的账户进行诈骗或者使用被控账号进行恶意文件扩散。

3. 攻击者在无法获取到经济利益后,可能会利用已控目标社交账号向其工作或生活圈子发布色情、政治或其他虚假内容以报复目标,造成目标社会性死亡。

4. 将被入侵机器作为肉鸡售卖给其他黑产团伙获利而不直接参与经济诈骗。

分析总结

攻击者正大肆通过聊天软件、钓鱼等方式对境内全行业进行攻击,其将投递的恶意文件伪装成办公软件(钉钉、微信、wps)、工具安装包、发票、税收、财务、保险、证券、方案、设计等相关行业文件,诱导目标执行恶意文件导致被控制。在恶意文件执行的过程中,我们观察到攻击者使用各种云服务(主要是云存储服务OSS)作为第二阶段载荷的投递介质,通过加解密、DLL侧加载、BypassUAC、第三方合法软件恶意利用等方式以规避杀毒软件检测,巩固其控制质量。

攻击者在控制目标主机后对目标信息进行分析筛选,筛选出高价值目标(公司高管、老板、财务等人员),通过身份伪装或语言诱导的方式对相关人员实施金融诈骗活动。在我们观察到的案例中,当诈骗人员诈骗行动失败后,其可能会控制目标社交账号发送色情、虚假政治等方面信息,造成目标社会性死亡。

该类型攻击活动在2023年呈现高频率、持久性长的特点,希望相关人员警惕。

防御建议

1、 不从陌生、奇怪网站下载办公之类的软件,推荐搜索官网并下载。

2、 针对他人发来的文件,通过语音或视频方式进行沟通了解后打开,不打开莫名其妙的文件。

3、 相关单位对高价值人员实施专项培训,降低该类型攻击的成功率。

4、 安装安全防护软件。

声明:本文来自深信服千里目安全技术中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。