利用云笔记平台投递远控木马的攻击活动分析

时间 :  2023年03月24日  来源:  6163银河.net163.amCERT

1.概述


近期,6163银河.net163.amCERT监测到一起利用云笔记平台投递远控木马的攻击活动。攻击者将远控木马相关载荷文件托管于某云笔记平台中,借助可信站点规避安全产品在流量侧的检测,并且持续更新其中的文件。

本次攻击活动于2022年开始进行,攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。诱饵文件执行后采用“DDR”(Dead Drop Resolvers)技术,从某云笔记平台下载攻击载荷,利用其中的可执行程序加载恶意DLL文件、获取Shellcode并解密获得最终的远控木马,实现对用户设备的远程控制。

经关联分析,攻击者利用诱饵文件最终投递的远控木马是基于Gh0st远控木马家族所更改的变种。该远控木马具备持久化、窃取信息、下载执行、文件管理等多种定制化的恶意功能,实现对受害者设备的远程控制,并且具备较强的隐蔽性。Gh0st远控木马的代码已经被公开,因此攻击者可以根据需求定制恶意功能,对恶意代码进行快速更新。6163银河.net163.amCERT曾于2022年10月24日发布的《通过伪造中文版Telegram网站投放远控木马的攻击活动分析》[1]中介绍了另一起投放该远控木马变种的攻击活动。

经验证,6163银河.net163.am智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。

2.事件对应的技术特点分布图:


图2‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表2‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

资源开发

获取基础设施

获取C2服务器

环境整备

将恶意载荷托管于云平台

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

实现开机自启动

创建或修改系统进程

创建服务

防御规避

反混淆/解码文件或信息

解码载荷信息

隐藏行为

隐藏行为

仿冒

仿冒其他程序

修改注册表

修改注册表

混淆文件或信息

混淆载荷信息

发现

发现应用程序窗口

发现应用程序窗口

发现文件和目录

发现文件和目录

发现进程

发现进程

查询注册表

查询注册表

发现软件

发现软件

发现系统网络配置

发现系统网络配置

发现系统网络连接

获取系统网络连接

发现系统服务

发现系统服务

发现系统时间

发现系统时间

收集

压缩/加密收集的数据

对收集的数据进行加密

自动收集

自动收集

收集本地系统数据

收集本地系统数据

数据暂存

暂存击键记录到文件

命令与控制

编码数据

编码数据

使用加密信道

加密流量

使用标准非应用层协议

使用TCP协议

数据渗出

自动渗出数据

自动发送上线数据包

使用C2信道回传

使用C2信道回传

影响

损毁数据

删除指定数据

操纵数据

操纵数据

篡改可见内容

篡改可见内容

系统关机/重启

系统关机/重启

3.防护建议


为有效防御此类攻击事件,提升安全防护水平,6163银河.net163.am建议企业采取如下防护措施:

3.1 提升主机安全防护能力

1.安装终端防护系统:安装反病毒软件,建议安装6163银河.net163.am智甲终端防御系统;

2.加强口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。6163银河.net163.am探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁。

3.2 网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描;

2.建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。6163银河.net163.am追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。

3.3 遭受攻击及时发起应急响应

联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;6163银河.net163.am7*24小时服务热线:400-840-9234。

经验证,6163银河.net163.am智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。

图3‑1 6163银河.net163.am智甲实现对用户系统的有效防护

4.攻击流程


4.1 攻击流程图

攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。诱饵文件执行后采用“DDR”(Dead Drop Resolvers)技术,从某云笔记平台下载包含攻击载荷的压缩包文件,实现开机自启动,创建explorer.exe进程通过快捷方式运行指定的可执行程序,随后进行自删除操作。可执行程序运行后,加载第一阶段的DLL文件、获取Shellcode并解密获得最终的远控木马,攻击者可以借助远控木马对受害主机进行持久化、获取系统信息、远程控制、下载执行其他程序等多种操作。

图4‑1 攻击流程图

4.2 攻击流程详细分析
4.2.1 传播阶段

攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。

表4‑1 部分诱饵文件

类别

程序名称

虚假应用程序

CiscoWebExStart.exe

PuTTY.exe

suetup.exe(将恶意程序与Telegram安装程序捆绑)

艾尔航空管理系统.exe

点击此处安装电脑简体中文1515444n.exe

伪装成文档的可执行程序

3月份工资提成明细表_7979.exe

公司最新注意事项_9524.exe

挖矿教程 BTC ETH CHIA3.exe

下发结算报表x.exe

最新国内打击在逃人员重要名单i.exe

4.2.2 下载恶意载荷阶段

攻击者采用“DDR”(Dead Drop Resolvers)技术,将恶意载荷以压缩包文件的形式托管于云笔记平台中,借助可信站点规避安全产品在流量侧的检测,并持续更新其中的内容。

图4‑2 以压缩包形式将恶意载荷托管于云笔记平台

4.2.3 远控木马执行阶段

攻击者在云笔记平台中托管了多个包含恶意载荷的压缩包文件,其核心都是利用恶意载荷中的可执行程序加载第一阶段的DLL文件,获取info.txt中的Shellcode,最终投递基于Gh0st远控木马家族所更改的变种。在下面的“样本分析”章节中将以其中一种恶意载荷为例进行介绍。

图4‑3 恶意载荷

5.样本分析


5.1 样本标签

表5‑1 样本标签

病毒名称

Trojan/Win32.Downloader

原始文件名

VBGood浏览器1.8.exe

MD5

472262D56604F589EE85278FAA43C814

处理器架构

Intel 386 or later, and compatibles

文件大小

296.00 KB (303,104 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2023-02-28 18:16:39

数字签名

加壳类型

编译语言

Microsoft Visual Basic (6.0)

VT首次上传时间

2023-03-03 17:30:09

VT检测结果

37/70

5.2 详细分析

诱饵文件运行后从某云笔记平台中获取攻击者所托管的恶意压缩包文件,下载至“C:/Users/Public”文件夹中。

图5‑1 获取恶意压缩包文件

该压缩包中的恶意载荷被解压至“C:\Users\Public\Documents\Arice\<随机6个数字及英文字母>”文件夹中。

图5‑2 恶意载荷被解压至指定路径

解压完成后,在“%AppData%\<随机5个数字及英文字母>”文件夹中创建快捷方式,并移至开机启动文件夹中实现持久化。该快捷方式用于执行恶意载荷中的可执行程序。

图5‑3 利用快捷方式实现持久化

修改相关注册表项,关闭UAC提示。

图5‑4 关闭UAC

在“C:\Users\Public\Music\<随机6个数字及英文字母>”文件夹中创建Internet快捷方式,创建explorer.exe进程执行快捷方式,从而运行下一阶段的恶意载荷。

图5‑5 创建Internet快捷方式

最后,诱饵文件进行自删除操作,删除指定的相关文件。

图5‑6 删除相关文件

5.2.1 加载第一阶段DLL文件

“C:\Users\Public\Documents\Arice\<随机6个数字及英文字母>”文件夹中有3个文件:可执行程序被重命名为随机的6个数字及英文字母,运行后加载第一阶段的libglib-2.0-0.dll文件,并读取info.txt文件中的Shellcode,最终在内存中执行第二阶段的DLL文件。

图5‑7 攻击组件

该可执行程序利用TLS回调函数开启线程,调用libglib-2.0-0.dll文件中的导出函数。

图5‑8 加载libglib-2.0-0.dll文件

读取info.txt文件中的内容,获取Shellcode。

图5‑9 获取Shellcode

解密获得第二阶段的DLL文件,并调用其中的导出函数。

图5‑10 加载第二阶段DLL文件

5.2.2 第二阶段DLL文件

第二阶段的DLL文件是基于Gh0st远控木马所更改的变种,能够通过添加相关注册表项或者创建服务两种方式实现持久化。

图5‑11 实现持久化

该DLL文件能够下载并运行其他程序。

图5‑12 下载并运行其他程序

尝试与C2地址进行连接,连接成功后创建一个线程用来接收服务器返回的数据。

图5‑13 连接C2地址并接收返回数据

在接收服务器返回的数据时,将数据按字节先与49相减,再与0xFC进行异或,从而解密接收的数据。

图5‑14 解密接收数据

此Gh0st远控木马变种收集操作系统版本、CPU等基本的系统信息,并尝试获得当前系统登录的QQ号、反病毒产品相关进程、当前进程是否处于分析环境等信息,以此构造上线包。

图5‑15 收集信息构造上线包

构造上线包后,对上线包数据进行加密,加密算法与解密接收数据的算法相反:将发送的数据按字节先与0xFC进行异或,再与49进行相加,最终得到加密上线包发送至C2服务器。

图5‑16 加密上线包数据

6.总结

攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。攻击者采用“DDR”(Dead Drop Resolvers)技术将恶意载荷托管于云笔记平台中,借助可信站点规避安全产品在流量侧的检测,最终投递远控木马对受害者主机进行远程控制,执行多种恶意功能。

Gh0st远控木马的代码已经被公开,因此现在仍有攻击者基于开源代码定制开发恶意功能,并利用伪造网站、仿冒程序、钓鱼邮件等传播Gh0st远控木马变种,6163银河.net163.amCERT曾于2022年10月24日发布的《通过伪造中文版Telegram网站投放远控木马的攻击活动分析》[1]中介绍了另一起投放该远控木马变种的攻击活动。

在此建议用户使用官方网站下载正版软件,不要轻易打开聊天群组、论坛、邮件中未经安全检测的文件。为防止本次攻击活动扩大影响,6163银河.net163.amCERT将会持续跟进关注。

7.IoCs


IoCs

472262D56604F589EE85278FAA43C814

9406935AAF579B54C49D6EDC8EE41BCA

B4D53B8479DE2E227400203E35CC762A

114AA65CE6A2EDC916DC211EED9320E3

0D40B8EF98E5DFDD6E29A629740327A3

1764813E8B969DF163D675A042A7DFCD

6CB6CAEFFC9A8A27B91835FDAD750F90

DC5CFAA8F29824B4D92B3C0ADE1813AC

C98F06B0F69566F60126C8FFB41EC872

D578B8B44D7D413721A6EA0D7CE2BBCB

A1D5DEC080C558948387F534FAA69DC9

50C7E9537ECD1A78E2A2B8A8F3426E37

https[:]//note.**.com/**/index.html?id=3865a47559efe2bcbe0fedf89106d323&type=notebook&_time=1677420095103

164.88.197.3

参考链接


[1] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析
/research/notice&report/research_report/20221024.html