近期奇安信病毒响应中心在日常运营工作中,发现针对“发票”类关键字的钓鱼事件开始增多。该团伙把装有钓鱼文件的压缩包存放在HFS服务器或疑似共享网盘上,通过邮件、IM等方式,诱导受害者下载执行这些伪装成发票的钓鱼文件。
经过分析,虽然整体流程和前两弹中的一致,但由于其使用的HFS版本、第二阶段大马等与“第一弹”中的不一致,其持久化方式和使用的壳与“第二弹”亦不相同,因此暂时认定这批样本为第三个黑产团伙。
文件名:发票-凭证.exe (初始的钓鱼样本,俗称小马)
样本md5:68e02d004e6de4e3f9426f8ab2649c06
文件名:music.exe,Deuvn.exe (第二阶段样本,俗称大马)
样本md5:86a9ea226fa0dbedd04067626ebb6de2
回连CC:112.213.117.55: 80,进行下载远控木马。
目标服务器上有多个类似的远控木马,
此次下载的是文件是:0002.exe,保存为:C:Documents and Settings<UserName> Application DatasNbjdYRIKBmusic.exe,music.exe为MoleBox混淆打包运行后自拷贝到C:WINDOWSsystem32Deuvn.exe,然后拉起自身副本,最后使用cmd命令删除自身:
Deuvn.exe也就是从目标服务器上下载的远控木马,其回连CC:192.253.237.20接收远控。
创建服务启动自身:
Phiyab Tumno,Stumnf Hiyarstk Mefgxyaq Stlm,C:WINDOWSSystem32Deuvn.exe -auto
针对该远控木马分析:发现其是经过多次混淆加密的文件,第一层是MoleBox壳,脱壳后发现编译特征GetVersion,GetCommandLineA等函数,基本确认到达原始OEP。
进入main函数,发现其又在进行解密PE操作:
解密后PE文件会在内存中被修复然后调用其导出函数Shellex并传入硬编码参数:“192.253.237.20”(目标远控CC)。
不难猜测其是一个开源的远控模块。
经分析,该远控木马为Gh0st RAT变体。
其大致功能如下:创建服务持久化自身运行;窃密搜集信息并向C2服务器发送;接收远控等。如下所示:
如下图为Gh0st后门的标配功能,也是本次认定第二阶段后门的决定性证据,这部分功能已经在“第二弹”中介绍过,此处不做赘述。
36af860903d1ed2a00b471a93a15319a
44f50973ac66fd83be9411d6ab53446f
468fb62fc649099a0f36dd1456025b3d
9458bfab1631a8272e3515e36d3b97f9
cc8f445daed29dfcacf9e96ef8a0750c
c6c2ceda15f59ea3d61a1a23a5b0b36f
3a4b8d36c7bee31233dc32c50842dcf5
2cd4c7447f15912a1a151fd0ee7ae3f7
de05f649741c79a7864684b8b1954a2a
65c06d39a4683c018dfab34339216668
245ef358e384f40caf1c178b4825f029
a8af8ddc009da067785bb17489e29c4e
112.213.117.55
192.253.237.20
27.124.11.108: 1523
27.124.11.222: 1523
45.204.84.84: 1523
103.127.83.61: 1523
192.253.237.20: 1523
192.253.237.35: 1523
192.253.237.90: 1523
202.146.218.59: 1523
奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。
奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。
原文始发于微信公众号(奇安信病毒响应中心):近期钓鱼团伙相关样本预警——第三弹
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论