该组织使用安全人员名称SecurityNo1，且在标题中使用免杀关键字来提高搜索权重，然后通过微信公众号等公开blog进行大范围宣传。

由于该GitHub项目中的确包含了Gh0st源码功能，加上公开宣传，使得许多免杀马爱好者会不加辨别地打开并执行该项目，最终成为该项目拥有者的“肉鸡”。

截至目前分析完毕，该github项目已经存在大量的Star和Fork数，可以发现运行使用该项目的潜在受害者数量较多，如下图所示:

0x02 样本分析

样本执行流程图如下所示：

由于该病毒程序使用MFC框架打包编译生成，找到相应的消息处理函数映射表，经过处理后，如下图所示；

通过对其中的消息函数进行逐一分析，发现在消息处理函数映射表中的关闭消息函数中存在异常可疑行为，增加了相关的注入函数，如下图所示；

但是查看该github公开源码，发现并没有相关函数；

当点击关闭按钮时，便会触发相关的消息函数，等同于启动该病毒程序。当启动关闭按钮时，隐藏在病毒程序中的shellcode便会开始执行，最终使运行计算机成为一台“肉鸡”，如下图所示；

进入该恶意函数后，首先会通过字符串数组索引相关下标的方式解密字符串；

该函数期间不断通过根据字符串获取相应的模块及函数地址，然后准备调用相关函数；

通过使用相关函数进行令牌访问，从而允许本程序启用特权允许进程执行以前无法执行的系统级操作；

通过遍历进程列表获取explore程序，该程序为待注入程序；

解密进程注入的shellcode，该shellcode使用zip压缩方式在病毒程序中保存；

使用VirtualAllocEx进行远程进程注入，注入成功并写入上文解压好的shellcode；

上文中的注入的explore程序位64位，而病毒程序代码为32位，所以需要取出在病毒程序中以uuid保存的shellcode代码，目的是使用跨段跳转，从32位切换到64位代码执行，从而保证注入的64位程序explore中的shellcode可以正常运行，最后跳转到恶意执行shellcode上;

由于这里涉及跨段跳转，使用windbg进行调试，当前运行到跨段shellcode入口；

该函数主要目的是跳转到下一行代码，在x64位下会使用段跳转；

当前调试为x64，所以会进行跨段跳转。构造段跳转堆栈参数，格式为cs:eip，cs在x32下为0x23，在64位下为0x33，于是该病毒程序通过此种方法成功绕过多个杀毒引擎检测；

根据特殊值获取线程函数地址，并将传入的注入进程explore的句柄以及恶意执行shellcode内存地址进行使用，最终进行远程线程注入，启动注入在explore的恶意shellcode;

通过监控注入进程explore的恶意shellcode的内存地址，成功断下入口点。shellcode通过PEB结构获取模块kernel32.dll内存地址，然后通过比对函数名来获取HeapCreate和RtlAllocateHeap的函数地址；

获取相关函数地址后，引用函数申请内存，准备解密实际恶意代码；

解密后的shellcode为CobaltStrike的小马，dump相关内存解析其配置，其C2伪装为正常域名；

继续执行相关的小马，会发现下载了一张疑似正常的图片，访问该服务器链接也是正常的图片；

但是在偏移0x8FD的位置为CobaltStrike的大马，dump其内存并解析相关配置信息如下所示；

可以确定本次事件是以投放CobaltStrike木马发展相关免杀爱好者设备的肉鸡为最终目的，相关沙箱检测如下所示；

0x03 关联分析

通过对该样本其中的特征进行提取后，然后在微步样本库中进行hunting，发现该攻击者历史上至少存在以下三个版本。

可以发现该攻击者除了本次github投毒事件外，至少还针对输入法以及Zlib压缩工具等进行投毒。

2、溯源信息

总结

1、窃取敏感信息：该组织通过对免杀版工具进行投毒，有针对性地攻击专门从事网络安全行业的研究者们的终端；利用后门工具窃取终端中的敏感信息，如用户名、密码、证书，甚至是所服务的客户数据等。

2、窃取知识产权：近年来攻防演练为行业内大火，如果安全人员从事的是红队研究类相关工作，该组织可能会利用后门工具窃取其电脑中的Red Team工具、0day技术文档等知识产权。

3、进行进一步攻击：该组织可以利用后门工具在安全人员电脑中植入恶意代码，进而进行更为深入和广泛的攻击，如攻击受害者所服务的企业、整个网络甚至国家。

处置建议

如果屏幕前的你发现自己好巧不巧刚好用过这个工具，就要尽快采取以下处置措施了：

以上文章转载自顺丰安全应急处理中心，作者K

往期回顾