01概述

?

“游蛇”黑產(chǎn)團(tuán)伙又稱“銀狐”、“谷墮”，該黑產(chǎn)團(tuán)伙主要通過社交軟件、搜索引擎惡意推廣、釣魚郵件等多種途徑傳播惡意程序。近期，安天CERT監(jiān)測(cè)到“游蛇”黑產(chǎn)團(tuán)伙發(fā)起的新一輪利用微信傳播惡意代碼的攻擊活動(dòng)。在本輪攻擊中攻擊者通過微信投遞Gh0st遠(yuǎn)控木馬加載器，利用FTP服務(wù)器下載文件，使用側(cè)加載、內(nèi)存解密等技術(shù)加載Gh0st遠(yuǎn)控木馬，從而獲得受害者主機(jī)的遠(yuǎn)程控制權(quán)限，進(jìn)行竊密、傳播惡意代碼等操作。

?

通過分析溯源，安天CERT發(fā)現(xiàn)了“游蛇”黑產(chǎn)團(tuán)伙通過微信投放遠(yuǎn)控木馬的運(yùn)營(yíng)模式，黑產(chǎn)團(tuán)伙通過“代理人”招收大量成員幫助他們完成惡意程序的大規(guī)模傳播，獲取對(duì)受害者主機(jī)的遠(yuǎn)程控制權(quán)后，針對(duì)受害者微信中的客戶或者其所在企業(yè)進(jìn)行更加精準(zhǔn)的釣魚攻擊。

?

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)該遠(yuǎn)控木馬的有效查殺。

?

針對(duì)該遠(yuǎn)控木馬的防護(hù)建議詳見本文第四章節(jié)。

?

?

02黑產(chǎn)團(tuán)伙運(yùn)營(yíng)模式

?

“游蛇”黑產(chǎn)團(tuán)伙通過“代理人”在境外社交軟件中創(chuàng)建多個(gè)群組，招收大量成員，并教授其各類誘導(dǎo)話術(shù)，通過網(wǎng)推、網(wǎng)聊、地推等方式對(duì)多種行業(yè)的目標(biāo)用戶分發(fā)惡意程序，誘導(dǎo)目標(biāo)用戶執(zhí)行惡意程序，從而獲得受害者主機(jī)的遠(yuǎn)程控制權(quán)限，以此針對(duì)受害者微信中的客戶或者其所在企業(yè)進(jìn)行更加精準(zhǔn)的釣魚攻擊。

?

安天CERT根據(jù)發(fā)現(xiàn)的線索整理出“通過微信投放遠(yuǎn)控木馬”的黑產(chǎn)運(yùn)營(yíng)模式如下圖所示。

圖 2?1 “游蛇”黑產(chǎn)團(tuán)伙通過微信投放遠(yuǎn)控木馬的運(yùn)營(yíng)模式

?

1.????? 黑產(chǎn)團(tuán)伙中的技術(shù)人員開發(fā)出惡意程序，對(duì)其進(jìn)行混淆及免殺處理，利用殺毒軟件測(cè)試其免殺效果后交給多個(gè)“代理人”。

?

2. “代理人”負(fù)責(zé)招收投遞惡意程序人員、惡意程序下發(fā)以及運(yùn)營(yíng)結(jié)算?！按砣恕泵刻鞂⒁慌碌膼阂獬绦蛏蟼髦羷?chuàng)建的群組中，并發(fā)布任務(wù)要求群組成員投放惡意程序，根據(jù)受害者類型進(jìn)行結(jié)算，普通微信用戶的結(jié)算價(jià)格為100-150元/個(gè)，企業(yè)微信用戶的結(jié)算價(jià)格為300-400元/個(gè)。每隔一段時(shí)間其目標(biāo)會(huì)有所不同。

圖 2?2 “代理人”下發(fā)的任務(wù)

?

3. 群組中的成員根據(jù)每日任務(wù)中的要求尋找目標(biāo)，在多種APP甚至街邊廣告中獲取商家或客服的微信號(hào)，添加為好友后通過相關(guān)話術(shù)誘導(dǎo)目標(biāo)執(zhí)行惡意程序，或者前往線下門店投遞惡意程序。

圖 2?3 誘導(dǎo)目標(biāo)用戶執(zhí)行惡意程序的常見套路

?

由于企業(yè)微信的單價(jià)更高，有些“代理人”及其群組成員會(huì)著重針對(duì)企業(yè)微信用戶進(jìn)行釣魚攻擊。

圖 2?4 部分代理人某日收益圖（結(jié)算金額單位為元）

?

4. 群組成員確認(rèn)目標(biāo)中招后，“代理人”根據(jù)其后臺(tái)中的受控端信息對(duì)攻擊結(jié)果進(jìn)行驗(yàn)證，如受控端屏幕內(nèi)容、目標(biāo)地理位置、目標(biāo)行業(yè)等，以此進(jìn)行金額結(jié)算。

?

圖 2?5 代理人通過后臺(tái)獲取受控端信息

?

獲取對(duì)受害者主機(jī)的遠(yuǎn)程控制權(quán)后，黑產(chǎn)團(tuán)伙會(huì)針對(duì)受害者微信中的客戶或者其所在企業(yè)進(jìn)行更加精準(zhǔn)的釣魚攻擊。

?

圖 2?6 黑產(chǎn)團(tuán)伙后續(xù)的一些釣魚攻擊操作

?

發(fā)現(xiàn)惡意程序的免殺失效后，“代理人”會(huì)要求暫停惡意活動(dòng)，并在幾小時(shí)內(nèi)或第二天上傳新的免殺程序。此外，在某個(gè)群組的數(shù)千份惡意文件中，安天CERT發(fā)現(xiàn)了此前由安天及其他友商披露的多種不同類型的惡意程序。

?

?

03通過微信傳播惡意代碼活動(dòng)

?

攻擊者通過微信傳播加載器A并誘導(dǎo)用戶點(diǎn)擊下載執(zhí)行，加載器A運(yùn)行后拷貝自身至指定位置，隨后訪問攻擊者搭建的FTP服務(wù)器，下載并解密Gh0st木馬A到受害主機(jī)內(nèi)存中加載執(zhí)行。Gh0st木馬A除了具備Gh0st木馬的遠(yuǎn)控功能外，還會(huì)下載另一組采用白加黑技術(shù)的惡意代碼，并創(chuàng)建注冊(cè)表啟動(dòng)項(xiàng)，該組惡意代碼會(huì)在受害主機(jī)重啟后加載Gh0st木馬B到內(nèi)存中執(zhí)行。

圖 3?1 攻擊者通過微信傳播惡意代碼活動(dòng)流程

?

3.1?加載器A

?

加載器A運(yùn)行后首先判斷當(dāng)前啟動(dòng)參數(shù)中是否包含“/tmp”，若不包含則將自身拷貝至系統(tǒng)D盤根目錄并重新命名為“vm.exe”，以指定參數(shù)“/tmp”運(yùn)行該文件。

圖 3?2 Gh0st遠(yuǎn)控變種加載器A判斷啟動(dòng)參數(shù)

?

啟動(dòng)參數(shù)驗(yàn)證通過后，該加載器會(huì)訪問攻擊者FTP服務(wù)器獲取加密的Gh0st木馬A文件。

?

圖 3?3 獲取攻擊者FTP服務(wù)器上加密的Gh0st木馬A文件

?

將獲取到的加密的Gh0st木馬A文件加載到內(nèi)存中進(jìn)行解密、修復(fù)PE數(shù)據(jù)，隨后在內(nèi)存中執(zhí)行Gh0st木馬A。

圖 3?4 將獲取到的加密的Gh0st木馬A文件加載到內(nèi)存中

?

該加載器使用異或算法對(duì)加密Gh0st木馬A進(jìn)行解密。

?

圖 3?5 加載器A使用的解密算法

?

3.2 Gh0st木馬A

?

Gh0st木馬A為Gh0st遠(yuǎn)控木馬的變種，具備查看注冊(cè)表、服務(wù)管理、鍵盤記錄、文件管理、系統(tǒng)管理、遠(yuǎn)程終端等功能。其還會(huì)下載另一組采用白加黑技術(shù)的惡意代碼，并創(chuàng)建注冊(cè)表啟動(dòng)項(xiàng)。該組惡意代碼會(huì)在受害主機(jī)重啟后加載Gh0st木馬B到內(nèi)存中執(zhí)行。該木馬訪問攻擊者FTP服務(wù)器下載“NetEase.exe”、“vmwarebase.dll”、“win.dat”至“D:\NetEase”目錄，并將“NetEase.exe”程序添加至注冊(cè)表啟動(dòng)項(xiàng)實(shí)現(xiàn)開機(jī)自啟動(dòng)，完成持久化。其中NetEase.exe程序?yàn)閹в行?shù)字簽名的正常程序。

?

圖 3?6 將NetEase.exe添加到注冊(cè)表啟動(dòng)項(xiàng)中

?

表 3?1 “白加黑”文件說明

3.3?加載器B

?

“NetEase.exe”程序?yàn)閹в行?shù)字簽名的正常程序，該程序運(yùn)行后會(huì)加載同目錄下的“vmwarebase.dll”文件。該DLL為加載器B，其主要功能為加載最終載荷Gh0st木馬B。

?

“NetEase.exe”為正常程序且攜帶有效數(shù)字簽名，該程序運(yùn)行后會(huì)加載同目錄下的“vmwarebase.dll”文件。

圖 3?7 NetEase程序數(shù)字簽名

?

加載器B運(yùn)行后首先判斷當(dāng)前調(diào)用的進(jìn)程是否為NetEase.exe，調(diào)用NetEase程序的參數(shù)是否為“auto”,若不為“auto”則退出程序。

?

圖 3?8 加載器B判斷啟動(dòng)參數(shù)

?

隨后判斷當(dāng)前程序是否管理員權(quán)限運(yùn)行，若不是則進(jìn)行提權(quán)操作。

圖 3?9 加載器B提權(quán)操作

?

當(dāng)前程序若為管理員權(quán)限運(yùn)行則加載win.dat，win.dat文件為加密的Gh0st木馬B。

?

圖 3?10 加載加密的Gh0st木馬B文件

?

加載器B與上述加載器A采用相同的解密算法對(duì)加密Gh0st木馬B進(jìn)行解密。

?

圖 3?11 加載器B所使用的解密算法

3.4?Gh0st木馬B

?

最終載荷Gh0st木馬B使用混淆技術(shù)對(duì)抗分析，相比傳統(tǒng)Gh0st木馬，該變種還新增了瀏覽器數(shù)據(jù)竊取、按鍵監(jiān)控、殺毒軟件檢測(cè)等功能。

?

圖 3?12 Gh0st木馬B檢測(cè)殺毒軟件

?

根據(jù)代碼結(jié)構(gòu)等信息可確認(rèn)該木馬為Gh0st遠(yuǎn)控木馬變種，詳細(xì)的遠(yuǎn)控指令及功能釋義如下。

?

表 3?2 詳細(xì)的遠(yuǎn)控指令

3.5?攻擊者FTP服務(wù)器關(guān)聯(lián)分析

在對(duì)惡意樣本進(jìn)行溯源的過程中發(fā)現(xiàn)攻擊者至少搭建了3臺(tái)FTP服務(wù)器，發(fā)現(xiàn)攻擊者在FTP服務(wù)器上部署了多個(gè)不同C2的Gh0st木馬。安天CERT通過分析發(fā)現(xiàn)該批Gh0st木馬功能基本一致，只是C2不同。

圖 3?13 攻擊者在某FTP服務(wù)器上部署的其他C2的Gh0st木馬

?

?

04安全建議：持續(xù)增強(qiáng)網(wǎng)內(nèi)監(jiān)測(cè)和終端防護(hù)

?

“游蛇”黑產(chǎn)團(tuán)伙攻擊持續(xù)升級(jí)，利用微信、企業(yè)微信等即時(shí)聊天工具的電腦端登錄的溝通模式，誘導(dǎo)執(zhí)行惡意程序，進(jìn)一步在群組中傳播，這種即有廣撒網(wǎng)又有針對(duì)性的攻擊給安全防護(hù)工作帶來(lái)更多難題，對(duì)此，安天建議：

?

1.????? 強(qiáng)化業(yè)務(wù)人員安全意識(shí)

?

強(qiáng)化業(yè)務(wù)人員安全意識(shí)，降低組織被攻擊可能性?？头N售等使用微信、企業(yè)微信等電腦端登錄的即時(shí)通訊應(yīng)用時(shí)，避免因工作性質(zhì)、利益原因，被誘導(dǎo)下載和運(yùn)行不明來(lái)源的各類文件。組織通過選擇安全意識(shí)培訓(xùn)服務(wù)，鞏固“第一道安全防線”。

?

2.????? 加強(qiáng)終端文件接收和執(zhí)行防護(hù)

?

部署企業(yè)級(jí)終端防御系統(tǒng)，實(shí)時(shí)檢測(cè)防護(hù)即時(shí)通訊軟件接收的不明文件。安天智甲終端防御系統(tǒng)采用安天下一代威脅檢測(cè)引擎檢測(cè)不明來(lái)源文件，通過內(nèi)核級(jí)主動(dòng)防御能力阻止其落地和運(yùn)行。

?

安天智甲終端防御系統(tǒng)有效防護(hù)“游蛇”黑產(chǎn)團(tuán)伙攻擊

?

3.????? 提升網(wǎng)內(nèi)流量的監(jiān)測(cè)與響應(yīng)

?

部署網(wǎng)絡(luò)流量威脅檢測(cè)設(shè)備可以結(jié)合“游蛇”黑產(chǎn)團(tuán)伙的相關(guān)信標(biāo)進(jìn)行告警，及時(shí)定位被感染的終端。安天探海威脅檢測(cè)系統(tǒng)集成了惡意代碼檢測(cè)引擎、網(wǎng)絡(luò)行為檢測(cè)引擎、命令與控制通道檢測(cè)引擎、威脅檢測(cè)模型、自定義場(chǎng)景檢測(cè)引擎等，可有效檢測(cè)攻擊初始階段“加載器A”訪問FTP服務(wù)器行為、下載“加載器B”過程行為和使用的遠(yuǎn)程控制指令，幫助安全分析人員鎖定內(nèi)網(wǎng)受害主機(jī)和遠(yuǎn)控源頭。

?

4.????? 遭受攻擊及時(shí)應(yīng)急處置

?

發(fā)現(xiàn)或懷疑遭受“游蛇”黑產(chǎn)團(tuán)伙攻擊：針對(duì)“游蛇”黑產(chǎn)團(tuán)伙在攻擊活動(dòng)中投放的Gh0st遠(yuǎn)控木馬，在安天垂直響應(yīng)平臺(tái)下載安天安全威脅排查工具（下載鏈接：https://vs2.antiy.cn/），面對(duì)突發(fā)性安全事件、特殊場(chǎng)景時(shí)快速檢測(cè)排查此類威脅。由于“游蛇”黑產(chǎn)團(tuán)伙使用的攻擊載荷迭代較快，且持續(xù)更新免殺技術(shù)，為了更精準(zhǔn)、更全面的清除受害主機(jī)中存在的威脅，建議客戶在使用專項(xiàng)排查工具檢出威脅后，聯(lián)系安天應(yīng)急響應(yīng)團(tuán)隊(duì)（CERT@antiy.cn）處置威脅。

?

撥打安天7*24小時(shí)服務(wù)熱線400-840-9234尋求幫助：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查。

?

最后，針對(duì)此類通過誘導(dǎo)和惡意構(gòu)造，最終指向終端的攻擊模式，安天建議客戶及時(shí)更新智甲終端防御系統(tǒng)、探海威脅檢測(cè)系統(tǒng)等產(chǎn)品的特征庫(kù)、規(guī)則庫(kù)，配置安全管控和告警策略，持續(xù)應(yīng)對(duì)此類攻擊。

?

?

05 IoCs

?