2024 年 6 月,我们发现了一个 macOS 版本的 HZ Rat 后门,目标是企业信使钉钉和社交网络和消息平台微信的用户。
技术细节
尽管不知道恶意软件的原始分发点,但我们还是设法为其中一个后门样本找到了安装包。该文件名为OpenVPNConnect.pkg:
VirusTotal 上的OpenVPNConnect.pkg
它于 2023 年 7 月上传到 VirusTotal,在研究时,与其他后门样本一样,任何供应商都没有检测到它。安装程序采用合法的 “OpenVPN Connect” 应用程序的包装器形式,而macOS 版package 目录除了原始客户端之外,还包含两个文件:exe和初始化.
恶意安装包的结构
系统使用Info.plist配置文件。首先推出的是exe文件 – 运行init文件,然后启动 OpenVPN 应用程序:
“exe” 文件的内容
这init文件 是实际的后门程序。启动时,它会根据后门程序本身中指定的 IP 地址列表建立与 C2 的连接。大多数情况下,样本使用 8081 端口进行连接。此外,我们还发现了使用私有 IP 地址连接到 C2 的后门示例。
后门代码中的 C2 IP 地址
与 C2 的所有通信都使用 XOR 和 0x42 密钥进行加密。为了初始化会话,后门会发送一个随机的四字节值,标记为cookie在代码中。每条消息具有以下结构:
-
消息代码 (1 字节);
-
消息长度 (4 字节) ;
-
消息文本,其中前 4 个字节包含数据大小。
可执行文件是用 C++ 编写的,包含调试信息,因此很容易识别:
具有恶意负载的特洛伊木马类
后门仅支持四个基本命令:
Code | Function name | Description |
3, 8, 9 | execute_cmdline | 执行 shell 命令 |
4 | write_file | 将文件写入磁盘 |
5 | download_file | 将文件发送到服务器 |
11 | ping | 检查受害者的可用性 |
作为调查的一部分,我们从 C2 服务器获取了 shell 命令,用于收集有关受害者的以下数据:
-
系统完整性保护 (SIP) 状态;
-
系统和设备信息,包括:
-
本地 IP 地址;
-
有关蓝牙设备的信息;
-
有关可用 Wi-Fi 网络、可用无线网络适配器和设备所连接网络的信息;
-
硬件规格;
-
数据存储信息;
-
应用程序列表;
-
来自 WeChat 的用户信息;
-
来自钉钉的用户和组织信息;
-
来自 Google 密码管理器的用户名/网站
从 WeChat 获取数据
该恶意软件试图从微信获取受害者的 WeChatID、电子邮件和电话号码。此数据以纯文本形式存储在userinfo.data文件。
至于钉钉,攻击者对更详细的受害者数据感兴趣:
-
用户工作的组织和部门的名称;
-
用户名;
-
公司电子邮件地址;
-
电话号码。
该脚本尝试从orgEmployeeModel文件。如果缺少此文件,恶意软件会在sAlimailLoginEmail文件。如果再次失败,它会尝试在名为<date>.holmes.mapping.这些文件也不会加密,并以纯文本形式存储数据。
从钉钉获取数据
在研究时,有 4 个控制服务器处于活动状态并返回恶意命令。在某些情况下,如前所述,在指定的 IP 地址中也有私有的。此类样本可能用于控制受害者的设备,其本地网络中有一台先前受感染的计算机,该计算机被用作代理,将连接重定向到 C2 服务器。通常,这有助于隐藏网络上恶意软件的存在,因为只有带有代理的设备才会与 C2 通信。
在针对 Windows 设备的恶意软件攻击中,已经发现了一些检测到的 IP 地址。他们的出现可以追溯到 2022 年,其中一个地址出现在当时的 HZ Rat 攻击中。
我们找到的几乎所有 C2 服务器都位于中国。位于美国和荷兰的两个地址除外。
根据 VirusTotal 的说法,上面提到的安装包之前是原神开发商MiHoYo 的域中下载的:
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip |
到此为止,对该木马的分析已经结束,但是还有些奇怪之处...
一个正常的RAT,为了达到过杀软和防止逆向分析等目的,且为了避免被溯源查找到真实的攻击者,一般会将编译信息彻底清除,且会使用加壳等方式保护程序本体,以确保即使木马样本被捕获,还可以通过加壳来再次使用同一个木马。但是此文提到的木马显然并未进行上述的操作,极其不符合常理。
另一方面,我不认为mihoyo被黑的可能性也不大,费心费力搞下这么大一个公司,只用于显式病毒文件的投递(很容易被发现,你懂的),成本属实hold不住。
我个人倾向于判断为如下两种可能:
1. DNS被劫持
米哈游的 DNS 托管在腾讯云的 DNSPod 中。所以按照这个思路,实际情况很可能是:DNS 记录被修改了,无论是员工被钓鱼了,弱密码还是 AKSK 泄露等任何啥原因,不重要,结果就是腾讯云给 mihoyo.com 增加的新的子域名,比如图上面的 vpn.mihoyo.com ,这种子域名有可能就是黑客搞的。
2.蜜罐
最近特殊时期,各家公司和各家供应链公司有所防范也都属正常,如果是官方将内网的蜜罐设备,增添一个高交互蜜罐,并且生成一个安装包如是部署,似乎整个流程都说的通。
因为蜜罐是主动的安全行为,所以新增一个dns解析是合理的。
因为木马是机器自动生成的,所以有点编译信息是合理的。
因为不怕被抓马,所以不带过多安全防范也是合理的。
所以按照这个思路,其实一切都解释的通,但是究竟原因为何我们尚未可知。
原文始发于微信公众号(合规渗透):一个针对微信和钉钉用户的MacOS后台木马,安装源居然指向mihoyo.com?是蜜罐还是被黑?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论