| 事件背景

近日，深信服安全研究团队通过安全云脑发现2020年6月捕获到的样本不再活跃，于此同时另一批样本突然活跃，且受感染的主机有重合。为确定两个时间点的样本的内部联系，深信服安全研究团队首先使用样本相似性匹配系统（Origin系统)进行相关性分析及溯源，关联到 2017 年同一家族的样本，并基于分析结果进行更深层次的剖析，确认为Mylobot僵尸网络。

| Origin系统简介

Origin系统是一套深信服自研的，利用代码相似性进行恶意文件溯源的系统，它通过提取文件函数的CFG（control flow graph）、指令等信息，得到函数粒度的特征序列。通过对这些特征序列进行自动化比较和分析，可得到两个文件之间的相似性。Origin系统的功能包括单样本查询、多样本关联分析、家族谱系查询等，目前被应用于价值事件挖掘、家族规则提取、每日新增样本自动化分析等多个场景，文件相似性匹配原理图如下：

功能一：单样本查询

给定一个样本，Origin系统进行自动化特征提取及分析，在得到样本的恶意性判定、归属家族和相似样本的同时，能够基于代码层面进行举证，如获取恶意代码的位置、具有恶意行为的函数及其二进制指令等：

功能二：多样本关联分析

Origin系统利用代码相似性对多个文件进行聚类，每个点代表一个样本，更近的距离意味着更高的相关性，多样本聚类图如下：

功能三：家族谱系查询

利用Origin系统，能够得到与一个家族相关的其他家族，这些家族之间具有一定的代码相似性，例如ransom.gandcrab.406家族，其家族谱系图如下：

功能四：家族自分类

基于代码相似性匹配，Origin系统可将同时输入的大量样本分类，每一类作为一个家族，并自动为每一个新家族提取特征规则。

功能五：壳识别

Origin系统中存储了丰富的壳特征，可快速识别二进制文件的壳信息。

| Origin全局分析

在11月20日左右，6月捕获到的样本corcs.gif和coret.gif不再活跃，于此同时warcs.gif和waret.gif突然开始活跃：

深信服安全研究团队首先使用Origin系统的相似样本查询功能、样本聚类功能和家族关联功能对这两批样本进行了全局分析，以便于后续更具针对性的对它们进行细节分析。

相似样本查询

通过Origin系统对两批活跃样本进行代码相似性查询，发现它们的相似样本及相似样本的家族基本相同，且相似样本最高具有96.35%的相似性，Origin查询结果如下图：

分别选取2020年11月，2020年6月，2018年和2017年的样本作对比，发现除了payload变化外，其代码结构、程序执行流及核心代码均未发生重大变化。综合以上判断，该家族的样本主体其实就是一个shellcode加载器，目的是为了解密出资源里面的shellcode，注入到傀儡进程执行。

代码结构比较如下：

程序执行流程比较如下：

核心代码比较如下：

payload比较如下，大小和命名和较大变化：

相似样本聚类分析

深信服安全研究团队还利用Origin系统对上述相似样本进行了聚类分析（下图），可以发现，这些样本又可以分为多个簇，每个簇之间具有很强的代码同源性，他们属于同一家族或同一家族的不同变种。

家族关联分析

通过相似样本查询，深信服安全研究团队发现近期活跃样本和trojan.ceeinject.140家族的样本具有很强的代码相似性，应该属于该家族或该家族的不同变种。为了对归属家族有更多的理解，深信服安全研究团队使用Origin系统的家族溯源功能，画出了trojan.ceeinject.140的家族谱系图（下图），每一个节点代表一个家族，家族之间连线代表这两个家族的代码具有一定的相似性。通过家族谱系图，我们识别到了与trojan.ceeinject.140家族有血缘关系的一系列家族，如trojan.zusy.1024，trojan.khalesi.8等，它们存在着一些相似的行为。

| 详细分析

通过对11月、6月活跃样本及它们的关联样本进行更深入分析，确认它们为规模庞大的 Mylobot 僵尸网络。Mylobot 僵尸网络最早于2015年活跃，于2018年被国外的安全机构披露，会下载执行窃密软件家族Khalesi。Mylobot家族结构复杂，集成了反调试，反沙箱，多线程，多层加密，自定义网络协议等技术手法，包含上千个遍布全球的C2域名，本质上是木马下载器，代码框架分为三部分：主体和2个阶段的payload。主体是一个加载器，用于解密和释放payload；第一阶段payload主要是反调试，反沙箱，禁用竞品常用端口，关闭杀软以及更新服务，解密出第二阶段payload；第二阶段payload，主要是进行持久化，清除竞品文件，创建傀儡进程，连接僵尸网络下载和执行任意木马。

主体部分

通过设置一个定时器，定时调用核心函数：

解密器资源中的数据MMZ，解密为shellcode以及第一阶段payload：

跳转到解密的shellcode，执行shellcode，解密的数据中包含了用于注入的shellcode以及第一阶段payload数据：

获取当前命令行，再次启动自身作为傀儡进程，将第一阶段的恶意payload注入傀儡进程：

第一阶段

第一阶段payload编译于2019年10月2日：

第一阶段payload通过一系列手段进行反调试与虚拟环境的检测：

检测当前进程是否为Windows更新服务进程wusaupdate：

如果当前进程是wusaupdate，则会停止windows更新服务，并且关闭Windows Defender：

并封禁对外端口（2900， 1100， 2200，3300，4400，5500，6600，8800，9900）然后退出：

 如果当前进程不为windows更新服务进程wusaupdate，读取资源数据101和102，解密资源101为第二阶段payload：

解密第二阶段payload：

然后会对第二阶段payload进行内存展开，获取其导出函数ep并进行调用：

第二阶段

第二阶段payload同样编译于2019年10月2日：

ep导出函数执行成功后，会解析需要使用的函数地址，创建固定的互斥量“hyceyeoh7efhs”：

生成10长度的小写字符串，与%appdata%拼接路径，创建对应文件，然后删除（其主要目的是验证在%appdata%是否有创建文件权限），判断当前进程模块路径是否在%appdata%目录下：

如果当前进程模块不在%appdata%目录下，生成随机字符串，将%appdata%路径与随机字符串拼接，创建目录：

在该目录下创建随机字符串的文件路径，将第一阶段payload写入该路径，并且执行该恶意文件，当前进程退出：

如果当前进程模块在%appdata%目录下，判断当前进程是否为cmd.exe；

如果是cmd.exe则创建notepad.exe傀儡进程；

如果不是cmd.exe则创建cmd.exe傀儡进程：

将第二阶段payload注入傀儡进程，创建远程线程调用导出函数re，退出当前进程：

调用re导出函数成功后，同样创建互斥量“hyceyeoh7efhs”：

通过创建线程遍历%appdata%目录，删除这个目录和其子隐藏目录下可疑的exe文件（更名为xxxx.local.backup），结束这些exe进程，使这些exe文件不能执行：

检测目录有：

期间会创建注册表启动项，开机自启动：

创建完新线程后，进行网络环境的初始化，然后主线程会创建线程2，线程2会通过注册表关闭defender，并且通过ShellExecuteExW以runas的方式创建自身子进程，保持权限：

然后主线程会创建线程3，该线程的功能为监控当前恶意文件所在的随机目录文件变化：

主线程创建线程4，该线程主要功能为与节点互相通信。

会启动一个新线程4.1，通过生成7字符串长度的随机域名，进行访问：

生成格式类似于m%d.%s.com的格式（m0.ydykjmx.com、m1.ydykjmx.com），尝试获取其IP（一共尝试43次），然后退出线程：

在%temp%目录检测是否存在dd.te文件（其中包含了第一次运行的时间），不存在则将当前的系统时间写入其中并且使用0x12345678加密。存在则读取其中的时间，判断是否延迟连接C2服务器：

读取恶意文件中的大量域名：端口字符串，每个域名端口对都会写入一个0x204大小的节点结构体中：

创建大量的线程进行网络请求：

网络工作线程，设置socket连接模式：

根据之前的大量域名与端口，按照m%d.%s格式生成对应的域名（其中%d为当前线程的序列编号）：

连接其中的C2（其文件中存在大量的域名，其中只有一个有效的，目前存活的域名为fywkuzp.ru）进行数据交互：

其传输数据使用异或编码（异或key为0xDE），其功能主要为下载器，下载其他第三方恶意软件并且执行：

| IOC

url:

https[:]//212.8.242.104/corcs.gif

https[:]//212.8.242.104/coret.gif

https[:]//212.8.242.104/warcs.gif

https[:]//212.8.242.104/waret.gif

ip:

212.8.242.104

domain:

*.fywkuzp.ru

md5：

3e86685246c1fdcc9eef8b95986ba4e4

2262ca32d854ccd99b2fd166e1612472

e5b54ad94c5af53fe63de33113e8ebc3

5b18fb2d595f8bb316e73faf47561d51

3d95d71bd59673c0cfc11a4c4e83b2a5

| 深信服安全产品解决方案

1. 深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品，已集成了SAVE人工智能引擎，均能有效检测防御此恶意软件，已经部署相关产品的用户可以进行安全扫描，检测清除此恶意软件，如图所示：

2. 深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀：

64位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3. 深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁；

4. 深信服安全产品继承深信服SAVE安全智能检测引擎，拥有对未知病毒的强大泛化检测能力，能够提前精准防御未知病毒；

5. 深信服推出安全运营服务，通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

‍

本文始发于微信公众号（深信服千里目安全实验室）：【流行威胁追踪】恶意软件家族追踪利器：云脑Origin系统