“游蛇”黑产团伙利用微信传播恶意代码的活动分析

时间 :  2023年08月22日  来源:  安天CERT

1.概述


“游蛇”黑产团伙又称“银狐”、“谷堕”,该黑产团伙主要通过社交软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意程序。近期,安天CERT监测到“游蛇”黑产团伙发起的新一轮利用微信传播恶意代码的攻击活动。在本轮攻击中攻击者通过微信投递Gh0st远控木马加载器,利用FTP服务器下载文件,使用侧加载、内存解密等技术加载Gh0st远控木马,从而获得受害者主机的远程控制权限,进行窃密、传播恶意代码等操作。

通过分析溯源,安天CERT发现了“游蛇”黑产团伙通过微信投放远控木马的运营模式,黑产团伙通过“代理人”招收大量成员帮助他们完成恶意程序的大规模传播,获取对受害者主机的远程控制权后,针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

经验证,安天智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。

针对该远控木马的防护建议详见本文第四章节。

2.黑产团伙运营模式


“游蛇”黑产团伙通过“代理人”在境外社交软件中创建多个群组,招收大量成员,并教授其各类诱导话术,通过网推、网聊、地推等方式对多种行业的目标用户分发恶意程序,诱导目标用户执行恶意程序,从而获得受害者主机的远程控制权限,以此针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

安天CERT根据发现的线索整理出“通过微信投放远控木马”的黑产运营模式如下图所示。

图 2‑1 “游蛇”黑产团伙通过微信投放远控木马的运营模式

1. 黑产团伙中的技术人员开发出恶意程序,对其进行混淆及免杀处理,利用杀毒软件测试其免杀效果后交给多个“代理人”。

2. “代理人”负责招收投递恶意程序人员、恶意程序下发以及运营结算。“代理人”每天将一批新的恶意程序上传至创建的群组中,并发布任务要求群组成员投放恶意程序,根据受害者类型进行结算,普通微信用户的结算价格为100-150元/个,企业微信用户的结算价格为300-400元/个。每隔一段时间其目标会有所不同。

图2‑2 “代理人”下发的任务

3. 群组中的成员根据每日任务中的要求寻找目标,在多种APP甚至街边广告中获取商家或客服的微信号,添加为好友后通过相关话术诱导目标执行恶意程序,或者前往线下门店投递恶意程序。

图2‑3 诱导目标用户执行恶意程序的常见套路

由于企业微信的单价更高,有些“代理人”及其群组成员会着重针对企业微信用户进行钓鱼攻击。

图2‑4 部分代理人某日收益图(结算金额单位为元)

4. 群组成员确认目标中招后,“代理人”根据其后台中的受控端信息对攻击结果进行验证,如受控端屏幕内容、目标地理位置、目标行业等,以此进行金额结算。

图2‑5 代理人通过后台获取受控端信息

获取对受害者主机的远程控制权后,黑产团伙会针对受害者微信中的客户或者其所在企业进行更加精准的钓鱼攻击。

图2‑6 黑产团伙后续的一些钓鱼攻击操作

发现恶意程序的免杀失效后,“代理人”会要求暂停恶意活动,并在几小时内或第二天上传新的免杀程序。此外,在某个群组的数千份恶意文件中,安天CERT发现了此前由安天及其他友商披露的多种不同类型的恶意程序。

3.通过微信传播恶意代码活动


攻击者通过微信传播加载器A并诱导用户点击下载执行,加载器A运行后拷贝自身至指定位置,随后访问攻击者搭建的FTP服务器,下载并解密Gh0st木马A到受害主机内存中加载执行。Gh0st木马A除了具备Gh0st木马的远控功能外,还会下载另一组采用白加黑技术的恶意代码,并创建注册表启动项,该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。

图 3‑1 攻击者通过微信传播恶意代码活动流程

3.1 加载器A

加载器A运行后首先判断当前启动参数中是否包含“/tmp”,若不包含则将自身拷贝至系统D盘根目录并重新命名为“vm.exe”,以指定参数“/tmp”运行该文件。

图3‑2 Gh0st远控变种加载器A判断启动参数

启动参数验证通过后,该加载器会访问攻击者FTP服务器获取加密的Gh0st木马A文件。

图3‑3 获取攻击者FTP服务器上加密的Gh0st木马A文件

将获取到的加密的Gh0st木马A文件加载到内存中进行解密、修复PE数据,随后在内存中执行Gh0st木马A。

图3‑4 将获取到的加密的Gh0st木马A文件加载到内存中

该加载器使用异或算法对加密Gh0st木马A进行解密。

图3‑5 加载器A使用的解密算法

3.2 Gh0st木马A

Gh0st木马A为Gh0st远控木马的变种,具备查看注册表、服务管理、键盘记录、文件管理、系统管理、远程终端等功能。其还会下载另一组采用白加黑技术的恶意代码,并创建注册表启动项。该组恶意代码会在受害主机重启后加载Gh0st木马B到内存中执行。该木马访问攻击者FTP服务器下载“NetEase.exe”、“vmwarebase.dll”、“win.dat”至“D:\NetEase”目录,并将“NetEase.exe”程序添加至注册表启动项实现开机自启动,完成持久化。其中NetEase.exe程序为带有效数字签名的正常程序。

图3‑6 将NetEase.exe添加到注册表启动项中

表3‑1 “白加黑”文件说明

文件名

Hash

说明

NetEase.exe

AE12EFEDD7D85C8E8F89D1B953BC43C8

“白加黑”中正常程序且携带有效数字签名。

vmwarebase.dll

081D1C5CC34AB7E8FAE0077E7AD3EC10

加载器B

Win.dat

7514614b78988647EDEB9211842B08DB

被加密的Gh0st木马B文件

3.3 加载器B

“NetEase.exe”程序为带有效数字签名的正常程序,该程序运行后会加载同目录下的“vmwarebase.dll”文件。该DLL为加载器B,其主要功能为加载最终载荷Gh0st木马B。

“NetEase.exe”为正常程序且携带有效数字签名,该程序运行后会加载同目录下的“vmwarebase.dll”文件。

图3‑7 NetEase程序数字签名

加载器B运行后首先判断当前调用的进程是否为NetEase.exe,调用NetEase程序的参数是否为“auto”,若不为“auto”则退出程序。

图3‑8 加载器B判断启动参数

随后判断当前程序是否管理员权限运行,若不是则进行提权操作。

图3‑9 加载器B提权操作

当前程序若为管理员权限运行则加载win.dat,win.dat文件为加密的Gh0st木马B。

图3‑10 加载加密的Gh0st木马B文件

加载器B与上述加载器A采用相同的解密算法对加密Gh0st木马B进行解密。

图3‑11 加载器B所使用的解密算法

3.4 Gh0st木马B

最终载荷Gh0st木马B使用混淆技术对抗分析,相比传统Gh0st木马,该变种还新增了浏览器数据窃取、按键监控、杀毒软件检测等功能。

图3-12 Gh0st木马B检测杀毒软件

根据代码结构等信息可确认该木马为Gh0st远控木马变种,详细的远控指令及功能释义如下。

表3‑2 详细的远控指令

指令

功能

0x1

获取磁盘信息

0x4

创建文件

0x5

创建文件并写入数据

0x13

获取屏幕

0x21

事件记录

0x22

键盘记录

0x27

进程镜像

0x2C

匿名管道

0x2D

关机、注销、重启

0x2E

删除自身

0x2F

下载并运行指定URL的文件

0x30

下载并运行指定URL的文件,并在重启后删除指定文件

0x31

清除SystemSecurityApplication日志

0x35

在桌面0运行指定程序

0x36

在桌面1运行指定程序

0x37

设置服务Remark注册表项

0x39

设置服务Group注册表项

0x3A

弹框

0x3B

建立新的远控连接

0x3C

获取系统信息如系统版本、CUP、当前时间、用户名、磁盘类型、磁盘空余空间、服务、系统目录等

0x3D

加载资源节

0x3E

添加用户

0x3F

设置guest密码,并添加到管理员组

0x40

查看防火墙和网络服务状态

0x41

设置远程登陆连接方式

0x43

通过注册表项设置远程登陆开关

0x44

设置文件属性为隐藏

0x45

设置文件属性为隐藏

0x48

设置Active  Directory 帐户

0x49

删除用户帐户

0x4A

检索特定用户帐户的信息

0x4B

回传进程列表

0x4C

注销指定的远程桌面服务会话

0x4D

断开登录用户与指定远程桌面服务会话的连接,而不关闭会话

0x4E

回传系统用户列表信息

0x4F

回传系统用户列表信息

0x50

建立新的远控连接

0x56

获取系统版本信息

0x57

上传数据

0x58

查看某个进程是否存在

0x59

看某个窗口(指定标题)是否存在

0x98

判断是否存在杀软,若不存在则建立新的远控连接

0xC8

更新“NetEase.exe”、“vmwarebase.dll”、“win.dat”文件

0xCA

遍历进程查找杀软

0xCC

修改Windows  防火墙设置

0xD0

连接网络,接收和发送数据

0xD4

设置NetEase.exe文件属性为隐藏

0xD6

查找chrome.exe进程

0xD8

清理IE浏览记录

0xD9

结束Chrome进程,删除C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default

0xDA

结束firefox进程,删除%appdata%\Mozilla\Firefox\Profiles*.db

0xDB

结束QQBrowser进程,删除C:\Users\xxx\AppData\Local\Tencent\QQBrowser\User Data\Default

0xDC

结束SogouExplorer进程,删除C:\Users\xxx\AppData\Roaming\SogouExplorer

0xDD

结束360se进程,删除C:\Users\xxx\AppData\Roaming\360se6\User Data\Default

0xDE

结束Skype进程,删除C:\Users\xxx\AppData\Roaming\Microsoft\Skype for Desktop

0xDF

断开连接

3.5 攻击者FTP服务器关联分析

在对恶意样本进行溯源的过程中发现攻击者至少搭建了3台FTP服务器,发现攻击者在FTP服务器上部署了多个不同C2的Gh0st木马。安天CERT通过分析发现该批Gh0st木马功能基本一致,只是C2不同。

图3-13 攻击者在某FTP服务器上部署的其他C2的Gh0st木马

4.安全建议:持续增强网内监测和终端防护


“游蛇”黑产团伙攻击持续升级,利用微信、企业微信等即时聊天工具的电脑端登录的沟通模式,诱导执行恶意程序,进一步在群组中传播,这种即有广撒网又有针对性的攻击给安全防护工作带来更多难题,对此,安天建议:

1. 强化业务人员安全意识

强化业务人员安全意识,降低组织被攻击可能性。客服、销售等使用微信、企业微信等电脑端登录的即时通讯应用时,避免因工作性质、利益原因,被诱导下载和运行不明来源的各类文件。组织通过选择安全意识培训服务,巩固“第一道安全防线”。

2. 加强终端文件接收和执行防护

部署企业级终端防御系统,实时检测防护即时通讯软件接收的不明文件。安天智甲终端防御系统采用安天下一代威胁检测引擎检测不明来源文件,通过内核级主动防御能力阻止其落地和运行。

安天智甲终端防御系统有效防护“游蛇”黑产团伙攻击

3. 提升网内流量的监测与响应

部署网络流量威胁检测设备可以结合“游蛇”黑产团伙的相关信标进行告警,及时定位被感染的终端。安天探海威胁检测系统集成了恶意代码检测引擎、网络行为检测引擎、命令与控制通道检测引擎、威胁检测模型、自定义场景检测引擎等,可有效检测攻击初始阶段“加载器A”访问FTP服务器行为、下载“加载器B”过程行为和使用的远程控制指令,帮助安全分析人员锁定内网受害主机和远控源头。

4. 遭受攻击及时应急处置

发现或怀疑遭受“游蛇”黑产团伙攻击:针对“游蛇”黑产团伙在攻击活动中投放的Gh0st远控木马,在安天垂直响应平台下载安天安全威胁排查工具(下载链接:https://vs2.antiy.cn/),面对突发性安全事件、特殊场景时快速检测排查此类威胁。由于“游蛇”黑产团伙使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,建议客户在使用专项排查工具检出威胁后,联系安天应急响应团队(CERT@antiy.cn)处置威胁。

拨打安天7*24小时服务热线400-840-9234寻求帮助:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查。

最后,针对此类通过诱导和恶意构造,最终指向终端的攻击模式,安天建议客户及时更新智甲终端防御系统、探海威胁检测系统等产品的特征库、规则库,配置安全管控和告警策略,持续应对此类攻击。

5.IoCs


IoCs

101.32.223.31

103.100.62.208

103.127.83.111

103.71.153.136

103.71.153.158

111.173.119.130

111.173.119.152

111.173.119.71

118.99.40.134

118.99.40.166

121.62.17.22

121.62.23.105

121.62.23.77

122.228.116.157

122.228.116.159

122.228.116.198

124.248.69.193

150.109.159.9

154.213.17.100

154.213.17.199

154.213.18.54

154.23.183.31

154.39.193.155

154.39.193.169

154.91.230.14

183.57.144.164

206.233.130.199

38.181.20.7

43.129.230.71

43.132.173.165

43.135.25.123

43.135.50.139

45.204.83.66

45.204.85.12

58.49.150.216

58.49.150.228

58.49.150.230

58.49.150.239

58.49.151.87

61.136.166.216

8.218.39.19

38.47.239.104

D1901DA0D2A597B2ACEC570123A0A711

4F3496F52E2F7DEBC5BE1D0F577D4879

3D4547ABE4FE2762964254D6E92255A6

16E0649282546E1FFF9B824FA4C8CD40

328AE6CB65F7E2FBA2BB7118C8C2F72E

B05FA7C307CFC65E0E08FE146819209D

D92608DFEA05DD58341143BDA866AFA8

AC098F5EBA7CB69A672EB67516D90A09

5F5F5BCC7DA96D27ADF9DC7D77A58342

ACB9BE8F7C4BB586D82CACB4BFB0DFDB

51848E8DBC1A95CEA4CA52ED7B7E89CC

6961AE48D9B64E437489A81C2D2D1B84

3E7B0936445B9DD6705D218F4E2FB4CE

5505238BC92A2F88FE8ADAFBC624E231

5F306BF9A3127ABAADCDB402141D9835

8D68B5595DA14B99B7004264E8858440

8E1802BD683C8139F4EC3BF8F46E8EEB

D73EDD09533F74E9DE65F3F13D8FD1B3

096ACB9B66B6039BBFB88A4B49A795C2

9045259F008A4D58D8465E0FB373DAC9

27DB0E943049214DE9897656EDDE3B98

07BEC8CBD16D7AB4055FD3BFDA67392D

D5FABC33AD79F87D2D40F32980414902

56C88E73033B138156FE6F20C04E93FF

A165C8A91D9B8C627C1A33716E9D4F1A

4E01D9B7142DD19CFE16216D0CD8F7FC

3964745B626ABCB96EDF546C2B18A4E0

AA63C2BD440B7B70F354C89B60A8C2FE

EC6BDAAA36702F424CA4933188EC6F9B

BE6696B0B2C336CBD067AA4A29E1FFAF

A33C0AF72AEEBECB21DD9E06C116FD4F

11BBD2B3F4F16F1004D0F04E75277208

898C133EB69ED4411A5EC67714728751

3B9078AE9ED9D87911FA4409878B05EE

0F06CE24076E4C7C8EB19FF2B86CF203

61502106C2EB7ED3E66519344A600F22

C313B87514AAC390200940E0C2FA12C1

FEF9AB141E1D500FD702C9DFFB39FF45

8C9EB1A4E97EB7AF32EDBFEFEB6CC5C8

E83FAE239E415A8A3DEB7D88AF79DF78

57129A2FE9AF053392059DF4E7AAFF3F

99EA777B25780B0A18E41E518536229E

62D0CC2E6EF34655E2F04690E497CC41

41C2EEB080E883CDE43F4ED78817DFB8

53CD6A45772668752DF67FF0B230C45D

5715908D96DF1380F04158B2799EE8EA

B2219ED0B150776639B4CAFDAAE06D05

B86CF39BCDA115480BBBBF6D150FF14D

C84B5A886C152CBAA74C53CC2C8359F1

0BA33A9F2B54BDB69C857C11620AB576

6989E44BA1246105DC2675E9A8B7B4B2

2211C012CF9CA1A4877AB83EDB9A8DFE

C39D31A9A4991E0C87D9A1ADDED91EBB

6F551266C6FF4BAF96A8F490EA98A6B4

6E83C23C56AB071FEDEEF33998F51979

CFD35A105BF7DA928C2C8E0AD5A34FF9

F8DBF0512B8E0697D3D8986868A7EE7D

C0E98A5D9EE3FAFD9F98B1BF105D6075

0A8D773E85CF36D807C8F6BE7F91279C

33D8F12AB3F5A7122F5EE12B890E86BF