01黑產(chǎn)團伙概覽

?“游蛇”黑產(chǎn)團伙自2022年下半年開始活躍至今，針對國內(nèi)用戶發(fā)起了大量的攻擊活動。該團伙利用釣魚郵件、偽造的電子票據(jù)下載站、虛假應用程序下載站、社交軟件等多種途徑傳播惡意程序，其投放的惡意程序運行后從攻擊者服務器中獲取多個載荷文件，利用“白加黑”的方式，借助NetSarang系列工具更新程序、騰訊游戲相關程序等加載惡意載荷，使用COM組件創(chuàng)建計劃任務，經(jīng)過多層解碼后在內(nèi)存中釋放執(zhí)行Gh0st遠控木馬變種。該黑產(chǎn)團伙使用多種途徑傳播惡意程序，短時間內(nèi)針對國內(nèi)用戶發(fā)起大量攻擊，更換服務器地址的頻率較高，下載的載荷文件均經(jīng)過混淆處理以規(guī)避安全產(chǎn)品的檢測，因此安天CERT將其命名為“游蛇”。

表1?1 黑產(chǎn)團伙概覽

經(jīng)驗證，安天智甲終端檢測與響應系統(tǒng)（智甲EDR）的郵件防護模塊可精準識別本次活動的釣魚郵件；安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對惡意下載器及遠控木馬等惡意軟件的有效查殺。

02黑產(chǎn)團伙技術梳理

2.1?傳播方式

該黑產(chǎn)團伙近期頻繁通過釣魚郵件傳播惡意程序，郵件主題通常與電子發(fā)票相關，釣魚郵件內(nèi)容如下：

“發(fā)票明細”是一個超鏈接，指向攻擊者偽造的電子票據(jù)下載站，網(wǎng)站提供下載的壓縮包內(nèi)含有惡意程序。

除此之外，該團伙還利用虛假應用程序下載站、社交軟件等多種途徑傳播惡意程序，獲取對受害主機的控制權后，進一步對受害主機進行遠程操控，冒充受害者利用社交軟件發(fā)送惡意程序，使惡意程序得到更廣泛的傳播。

表2?1 部分釣魚文件名稱

該團伙通常將惡意載荷文件托管于其服務器中的“picturess/2022”、“picturess/2023”、“images”等目錄下，更換服務器地址的頻率較高。

表2?2 部分用于托管惡意載荷的URL

2.2?惡意程序執(zhí)行流程

該黑產(chǎn)團伙投放的惡意程序從攻擊者服務器中獲取多個載荷文件，獲取的載荷文件主要分為兩類，且加載方式及執(zhí)行流程也有所不同。

?第一類載荷文件

1. 利用NetSarang公司系列工具的更新程序（tu_rt.exe）執(zhí)行惡意Shellcode；

2. 使用COM組件創(chuàng)建計劃任務，偽裝成迅雷等應用程序的相關服務，以此實現(xiàn)持久化機制；

3. 經(jīng)過多層解碼后在內(nèi)存中釋放并執(zhí)行Gh0st遠控木馬變種，讀取下載的setting.ini文件內(nèi)容獲取C2地址，與C2地址連接從而對受害主機進行遠程操控。

?第二類載荷文件

1.??? 惡意程序解碼出指令將下載的兩個載荷文件合并為TASLoginBase.dll；

2.????? 利用騰訊游戲相關程序（TASLogin.exe）執(zhí)行TASLoginBase.dll；

3. 經(jīng)過多層解碼后在內(nèi)存中釋放并執(zhí)行Gh0st遠控木馬變種，讀取下載的setting.ini文件內(nèi)容獲取C2地址，與C2地址連接從而對受害主機進行遠程操控。

?

03樣本分析

3.1 第一類載荷文件

樣本程序運行后，從C2服務器獲取DLL文件并加載到內(nèi)存執(zhí)行。而后該DLL文件從指定的URL處下載多個載荷文件，并執(zhí)行25638.exe程序。

表3?1 下載文件列表

25638.exe（原名稱tu_rt.exe）是NetSarang公司系列工具的更新程序，具有正常的數(shù)字簽名，運行后會使用內(nèi)置的密碼對同路徑中同名的dat文件進行解析，并執(zhí)行其中的“_TUProj.dat”文件。攻擊者利用此特點，在“_TUProj.dat”文件中添加惡意代碼，利用白加黑技術執(zhí)行惡意Shellcode。

惡意Shellcode執(zhí)行后讀取同路徑中Media.xml文件的內(nèi)容，修復其文件頭還原成DLL文件并加載到內(nèi)存中執(zhí)行。25638文件夾和svchost文件夾中的Media.xml為兩個不同的載荷文件，前者經(jīng)過還原后使用COM組件創(chuàng)建計劃任務，并偽裝成迅雷的相關服務；后者經(jīng)過還原后讀取同路徑中的update.log文件，經(jīng)過多層解碼后最終執(zhí)行Gh0st遠控木馬變種。

3.2?第二類載荷文件

該團伙投放的一些其他惡意程序會下載另一組載荷文件。

表3?2 載荷文件列表

惡意程序解碼出指令將下載的MZ.txt和TAS.txt文件合并為TASLoginBase.dll文件，利用update.lnk快捷方式執(zhí)行dllhosts.exe程序。該程序的原名稱為TASLogin.exe，具有數(shù)字簽名，是一個正常程序。攻擊者利用“白加黑”的方式加載同路徑下惡意的TASLoginBase.dll文件，讀取update.log文件，最終執(zhí)行Gh0st遠控木馬變種。

3.3?讀取配置文件獲取C2地址

該團伙使用的Gh0st遠控木馬變種根據(jù)下載的%ProgramData%\setting.ini文件獲取C2地址，從而對受害主機進行遠程操控。

?

04防護建議

?為有效防御此類攻擊事件，提升安全防護水平，安天建議政企機構采取如下防護措施：

?

4.1?識別釣魚郵件

1.??? 查看郵件發(fā)件人：警惕發(fā)送“公務郵件”的非同一組織的發(fā)件人；

2.??? 看收件人地址：警惕群發(fā)郵件，可聯(lián)系發(fā)件人確認；

3.??? 看發(fā)件時間：警惕非工作時間發(fā)送的郵件；

4.??? 看郵件標題：警惕具備“訂單”、“票據(jù)”、“工資補貼”、“采購”等關鍵詞的標題的郵件；

5.??? 看正文措辭：警惕以“親”、“親愛的用戶”、“親愛的同事”等較為泛化問候的郵件；

6.??? 看正文目的：警惕以“系統(tǒng)升級”、“系統(tǒng)維護”、“安全設置”等名義索取郵箱賬號密碼的郵件；

7.??? 看正文內(nèi)容：警惕其中附帶的網(wǎng)頁鏈接，特別是短鏈接；

8.???? 看附件內(nèi)容：查看前，需使用反病毒軟件對附件進行病毒掃描檢測。

?

4.2?網(wǎng)站傳播防護

1.??? 建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描；

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機理，可有效檢出分析鑒定各類已知與未知威脅。

?

4.3?政企機構防護

1.??? 安裝終端防護軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.??? 加強口令強度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務器使用相同口令；

3.??? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設備，便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡可疑行為、資產(chǎn)和各類未知威脅；

4.??? 安天服務：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

經(jīng)驗證，安天智甲終端檢測與響應系統(tǒng)（智甲EDR）的郵件防護模塊可精準識別該釣魚郵件；安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對惡意下載器及遠控木馬等惡意軟件的有效查殺和對用戶終端的切實防護。

05事件對應的ATT&CK映射圖譜

?針對攻擊者投遞竊密木馬的完整過程，安天梳理本次攻擊事件對應的ATT&CK映射圖譜如下圖所示：

攻擊者使用的技術點如下表所示：

表5?1 事件對應的ATT&CK技術行為描述表

?

06 IoCs