1??????? 概述

近期，安天CERT監(jiān)測到一起利用云筆記平臺投遞遠(yuǎn)控木馬的攻擊活動。攻擊者將遠(yuǎn)控木馬相關(guān)載荷文件托管于某云筆記平臺中，借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測，并且持續(xù)更新其中的文件。

本次攻擊活動于2022年開始進(jìn)行，攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站，或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件，以此引誘用戶下載執(zhí)行。誘餌文件執(zhí)行后采用“DDR”（Dead Drop Resolvers）技術(shù)，從某云筆記平臺下載攻擊載荷，利用其中的可執(zhí)行程序加載惡意DLL文件、獲取Shellcode并解密獲得最終的遠(yuǎn)控木馬，實(shí)現(xiàn)對用戶設(shè)備的遠(yuǎn)程控制。

經(jīng)關(guān)聯(lián)分析，攻擊者利用誘餌文件最終投遞的遠(yuǎn)控木馬是基于Gh0st遠(yuǎn)控木馬家族所更改的變種。該遠(yuǎn)控木馬具備持久化、竊取信息、下載執(zhí)行、文件管理等多種定制化的惡意功能，實(shí)現(xiàn)對受害者設(shè)備的遠(yuǎn)程控制，并且具備較強(qiáng)的隱蔽性。Gh0st遠(yuǎn)控木馬的代碼已經(jīng)被公開，因此攻擊者可以根據(jù)需求定制惡意功能，對惡意代碼進(jìn)行快速更新。安天CERT曾于2022年10月24日發(fā)布的《通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動分析》[1]中介紹了另一起投放該遠(yuǎn)控木馬變種的攻擊活動。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

2??????? 事件對應(yīng)的ATT&CK映射圖譜

針對攻擊者投放遠(yuǎn)控木馬的完整過程，安天梳理本次攻擊事件對應(yīng)的ATT&CK映射圖譜如下圖所示：

攻擊者使用的技術(shù)點(diǎn)如下表所示：

3??????? 防護(hù)建議

為有效防御此類攻擊事件，提升安全防護(hù)水平，安天建議企業(yè)采取如下防護(hù)措施：

3.1??????? 提升主機(jī)安全防護(hù)能力

1.安裝終端防護(hù)系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時(shí)避免多個(gè)服務(wù)器使用相同口令；

3.部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測分析對象，能精準(zhǔn)檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅。

3.2??????? 網(wǎng)站傳播防護(hù)

1.建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進(jìn)行下載，下載后使用反病毒軟件進(jìn)行掃描；

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機(jī)執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機(jī)理，可有效檢出分析鑒定各類已知與未知威脅。

3.3??????? 遭受攻擊及時(shí)發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團(tuán)隊(duì)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場等待安全工程師對計(jì)算機(jī)進(jìn)行排查；安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

4??????? 攻擊流程

4.1??????? 攻擊流程圖

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站，或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件，以此引誘用戶下載執(zhí)行。誘餌文件執(zhí)行后采用“DDR”（Dead Drop Resolvers）技術(shù)，從某云筆記平臺下載包含攻擊載荷的壓縮包文件，實(shí)現(xiàn)開機(jī)自啟動，創(chuàng)建explorer.exe進(jìn)程通過快捷方式運(yùn)行指定的可執(zhí)行程序，隨后進(jìn)行自刪除操作?？蓤?zhí)行程序運(yùn)行后，加載第一階段的DLL文件、獲取Shellcode并解密獲得最終的遠(yuǎn)控木馬，攻擊者可以借助遠(yuǎn)控木馬對受害主機(jī)進(jìn)行持久化、獲取系統(tǒng)信息、遠(yuǎn)程控制、下載執(zhí)行其他程序等多種操作。

4.2??????? 攻擊流程詳細(xì)分析

4.2.1???????? 傳播階段

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站，或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件，以此引誘用戶下載執(zhí)行。

表 4?1部分誘餌文件

4.2.2???????? 下載惡意載荷階段

攻擊者采用“DDR”（Dead Drop Resolvers）技術(shù)，將惡意載荷以壓縮包文件的形式托管于云筆記平臺中，借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測，并持續(xù)更新其中的內(nèi)容。

4.2.3???????? 遠(yuǎn)控木馬執(zhí)行階段

攻擊者在云筆記平臺中托管了多個(gè)包含惡意載荷的壓縮包文件，其核心都是利用惡意載荷中的可執(zhí)行程序加載第一階段的DLL文件，獲取info.txt中的Shellcode，最終投遞基于Gh0st遠(yuǎn)控木馬家族所更改的變種。在下面的“樣本分析”章節(jié)中將以其中一種惡意載荷為例進(jìn)行介紹。

5??????? 樣本分析

5.1??????? 樣本標(biāo)簽

表 5?1樣本標(biāo)簽

5.2??????? 詳細(xì)分析

誘餌文件運(yùn)行后從某云筆記平臺中獲取攻擊者所托管的惡意壓縮包文件，下載至“C:/Users/Public”文件夾中。

該壓縮包中的惡意載荷被解壓至“C:\Users\Public\Documents\Arice\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中。

解壓完成后，在“%AppData%\<隨機(jī)5個(gè)數(shù)字及英文字母>”文件夾中創(chuàng)建快捷方式，并移至開機(jī)啟動文件夾中實(shí)現(xiàn)持久化。該快捷方式用于執(zhí)行惡意載荷中的可執(zhí)行程序。

修改相關(guān)注冊表項(xiàng)，關(guān)閉UAC提示。

在“C:\Users\Public\Music\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中創(chuàng)建Internet快捷方式，創(chuàng)建explorer.exe進(jìn)程執(zhí)行快捷方式，從而運(yùn)行下一階段的惡意載荷。

最后，誘餌文件進(jìn)行自刪除操作，刪除指定的相關(guān)文件。

5.2.1???????? 加載第一階段DLL文件

“C:\Users\Public\Documents\Arice\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中有3個(gè)文件：可執(zhí)行程序被重命名為隨機(jī)的6個(gè)數(shù)字及英文字母，運(yùn)行后加載第一階段的libglib-2.0-0.dll文件，并讀取info.txt文件中的Shellcode，最終在內(nèi)存中執(zhí)行第二階段的DLL文件。

該可執(zhí)行程序利用TLS回調(diào)函數(shù)開啟線程，調(diào)用libglib-2.0-0.dll文件中的導(dǎo)出函數(shù)。

讀取info.txt文件中的內(nèi)容，獲取Shellcode。

解密獲得第二階段的DLL文件，并調(diào)用其中的導(dǎo)出函數(shù)。

5.2.2???????? 第二階段DLL文件

第二階段的DLL文件是基于Gh0st遠(yuǎn)控木馬所更改的變種，能夠通過添加相關(guān)注冊表項(xiàng)或者創(chuàng)建服務(wù)兩種方式實(shí)現(xiàn)持久化。

該DLL文件能夠下載并運(yùn)行其他程序。

嘗試與C2地址進(jìn)行連接，連接成功后創(chuàng)建一個(gè)線程用來接收服務(wù)器返回的數(shù)據(jù)。

在接收服務(wù)器返回的數(shù)據(jù)時(shí)，將數(shù)據(jù)按字節(jié)先與49相減，再與0xFC進(jìn)行異或，從而解密接收的數(shù)據(jù)。

此Gh0st遠(yuǎn)控木馬變種收集操作系統(tǒng)版本、CPU等基本的系統(tǒng)信息，并嘗試獲得當(dāng)前系統(tǒng)登錄的QQ號、反病毒產(chǎn)品相關(guān)進(jìn)程、當(dāng)前進(jìn)程是否處于分析環(huán)境等信息，以此構(gòu)造上線包。

構(gòu)造上線包后，對上線包數(shù)據(jù)進(jìn)行加密，加密算法與解密接收數(shù)據(jù)的算法相反：將發(fā)送的數(shù)據(jù)按字節(jié)先與0xFC進(jìn)行異或，再與49進(jìn)行相加，最終得到加密上線包發(fā)送至C2服務(wù)器。

6??????? 總結(jié)

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站，或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件，以此引誘用戶下載執(zhí)行。攻擊者采用“DDR”（Dead Drop Resolvers）技術(shù)將惡意載荷托管于云筆記平臺中，借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測，最終投遞遠(yuǎn)控木馬對受害者主機(jī)進(jìn)行遠(yuǎn)程控制，執(zhí)行多種惡意功能。

Gh0st遠(yuǎn)控木馬的代碼已經(jīng)被公開，因此現(xiàn)在仍有攻擊者基于開源代碼定制開發(fā)惡意功能，并利用偽造網(wǎng)站、仿冒程序、釣魚郵件等傳播Gh0st遠(yuǎn)控木馬變種，安天CERT曾于2022年10月24日發(fā)布的《通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動分析》[1]中介紹了另一起?? 投放該遠(yuǎn)控木馬變種的攻擊活動。

在此建議用戶使用官方網(wǎng)站下載正版軟件，不要輕易打開聊天群組、論壇、郵件中未經(jīng)安全檢測的文件。為防止本次攻擊活動擴(kuò)大影響，安天CERT將會持續(xù)跟進(jìn)關(guān)注。

7??????? IoCs

參考鏈接

[1] 通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動分析

https://www.antiy.cn/research/notice&report/research_report/20221024.html

?