散文網(wǎng) » 科技 »學(xué)習(xí) » “游蛇”黑產(chǎn)團(tuán)伙近期釣魚(yú)攻擊活動(dòng)分析

“游蛇”黑產(chǎn)團(tuán)伙近期釣魚(yú)攻擊活動(dòng)分析

2023-07-12 10:02 作者:安天科技 0人讀過(guò) | 我要投稿

1??????? 概覽

近期，安天CERT監(jiān)測(cè)到“游蛇”黑產(chǎn)團(tuán)伙發(fā)起的新一輪釣魚(yú)攻擊活動(dòng)。在本輪攻擊中，該團(tuán)伙將惡意程序偽裝成圖片文件，利用電商平臺(tái)、社交軟件等途徑發(fā)送給目標(biāo)用戶，誘導(dǎo)用戶執(zhí)行。該惡意程序下載多個(gè)載荷文件，在受害主機(jī)中實(shí)現(xiàn)持久化，并最終投遞Gh0st遠(yuǎn)控木馬變種進(jìn)行遠(yuǎn)程控制。

安天CERT曾在《“游蛇”黑產(chǎn)團(tuán)伙針對(duì)國(guó)內(nèi)用戶發(fā)起的大規(guī)模攻擊活動(dòng)分析》[1]中，對(duì)該黑產(chǎn)團(tuán)伙利用以“發(fā)票”為主題的釣魚(yú)郵件發(fā)起的大規(guī)模攻擊活動(dòng)進(jìn)行了詳細(xì)介紹。該黑產(chǎn)團(tuán)伙不斷更新攻擊載荷，使用多種方式傳播惡意程序，持續(xù)進(jìn)行釣魚(yú)攻擊活動(dòng)。

通過(guò)對(duì)本輪攻擊活動(dòng)進(jìn)行關(guān)聯(lián)分析，安天CERT發(fā)現(xiàn)“游蛇”黑產(chǎn)團(tuán)伙使用的基礎(chǔ)設(shè)施和友商發(fā)布的“谷墮”、“銀狐”團(tuán)伙存在關(guān)聯(lián)，在與攻擊者服務(wù)器存在通信的樣本中發(fā)現(xiàn)相似的PDB路徑特征，并在相關(guān)攻擊載荷中發(fā)現(xiàn)同源特征，因此認(rèn)為是同一黑產(chǎn)團(tuán)伙。

表 1?1 攻擊活動(dòng)概覽

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）、安天智甲云主機(jī)安全監(jiān)測(cè)系統(tǒng)、安天智甲容器安全檢測(cè)系統(tǒng)均可實(shí)現(xiàn)對(duì)該惡意軟件的有效查殺。

2??????? 防護(hù)建議

為有效防御此類攻擊，提升安全防護(hù)水平，安天建議個(gè)人及企業(yè)采取如下防護(hù)措施：

2.1??????? 個(gè)人防護(hù)

1.提升網(wǎng)絡(luò)安全意識(shí)：保持良好的上網(wǎng)習(xí)慣，積極學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)知識(shí)；

2.避免點(diǎn)擊來(lái)歷不明的文件：檢查后綴名及文件類型，警惕偽裝成圖片、文檔的可執(zhí)行程序及各種腳本文件。

2.2??????? 企業(yè)防護(hù)

1.網(wǎng)絡(luò)安全培訓(xùn)與安全演練：定期開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)與安全演練，提高員工網(wǎng)絡(luò)安全意識(shí)；

2.安裝終端防護(hù)軟件：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

3.部署入侵檢測(cè)系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設(shè)備，便于對(duì)惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測(cè)系統(tǒng)（PTD）以網(wǎng)絡(luò)流量為檢測(cè)分析對(duì)象，能精準(zhǔn)檢測(cè)出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅；

4.安天服務(wù)：若遭受惡意軟件攻擊，建議及時(shí)隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場(chǎng)等待安全工程師對(duì)計(jì)算機(jī)進(jìn)行排查。安天7*24小時(shí)服務(wù)熱線：400-840-9234。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）、安天智甲云主機(jī)安全監(jiān)測(cè)系統(tǒng)、安天智甲容器安全檢測(cè)系統(tǒng)均可實(shí)現(xiàn)對(duì)該惡意軟件的有效查殺。

圖 2?1安天智甲實(shí)現(xiàn)對(duì)用戶系統(tǒng)的有效防護(hù)

3??????? 技術(shù)梳理

在此次攻擊活動(dòng)中，該團(tuán)伙投放的惡意程序利用圖標(biāo)偽裝成圖片文件，運(yùn)行后使用WMI查詢CPU溫度以檢測(cè)當(dāng)前環(huán)境是否為虛擬機(jī)，檢測(cè)通過(guò)后從C2服務(wù)器中獲取多個(gè)載荷文件。該惡意程序利用其中的Videos.jpg掩飾其惡意行為，讓用戶誤認(rèn)為自己打開(kāi)的確實(shí)是一個(gè)圖片文件。

表 3?1下載文件列表

36.exe將自身程序中名為“TXT”的資源寫入C:\1.txt文件中，并將該內(nèi)容轉(zhuǎn)換為Shellcode；該Shellcode解碼并執(zhí)行一個(gè)可執(zhí)行程序，最終為Videos.exe創(chuàng)建計(jì)劃任務(wù)。Videos.exe下載執(zhí)行WinService.exe，WinServices.exe讀取service.log文件的內(nèi)容，將其轉(zhuǎn)換為Shellcode，并最終執(zhí)行Gh0st遠(yuǎn)控木馬變種。本輪攻擊活動(dòng)的整體流程圖如下圖所示。

圖 3?1攻擊流程圖

4??????? 樣本分析

4.1??????? 惡意文件下載器（清單文件.exe）

清單文件.exe利用圖標(biāo)偽裝成圖片文件。

圖 4?1偽裝成圖片文件

該程序運(yùn)行后，使用WMI查詢CPU當(dāng)前溫度，從而檢測(cè)當(dāng)前環(huán)境是否為虛擬機(jī)，若不能夠成功查詢則結(jié)束當(dāng)前進(jìn)程。檢測(cè)通過(guò)后在C:\ProgramData中創(chuàng)建install.inf文件作為感染標(biāo)識(shí)。

圖 4?2查詢CPU溫度

創(chuàng)建install.inf文件后，該程序從C2服務(wù)器中獲取載荷文件并進(jìn)行指定的操作，最終刪除36.exe。

圖 4?3獲取載荷文件

4.2??????? 36.exe

36.exe中含有名為“TXT”的資源，其中包含經(jīng)過(guò)混淆處理的Shellcode。

圖 4?4“TXT”資源

該程序?qū)ⅰ癟XT”資源內(nèi)容寫入C:\1.txt文件中，讀取并轉(zhuǎn)換為Shellcode寫入內(nèi)存中執(zhí)行。

圖 4?5執(zhí)行Shellcode

該Shellcode解碼并執(zhí)行一個(gè)可執(zhí)行程序，該程序遍歷當(dāng)前系統(tǒng)中運(yùn)行的進(jìn)程，檢查是否存在360Tray.exe進(jìn)程，隨后嘗試更改權(quán)限并最終為C:\ProgramData\Videos.exe創(chuàng)建計(jì)劃任務(wù)。