一、背景

    大家好，我是顺丰的安全研究员PX-04search，和K一样，我也是专注于公司内部的安全事件的响应，攻击手法的研究分析。作为一个安全研究员，我的日常工作充满了挑战和刺激。每天都面对着各种网络安全威胁，而我的职责也是让每个新的攻击事件浮出水面，保护公司的信息资产和系统安全。

    但是就在上周，正当我在办公室悠闲吃着下午茶的时候，公司内部的安全运营平台再次响起了刺耳的高频告警声。

    最初的告警显示的是一个员工终端疑似中毒，正在频繁对外发起恶意域名请求。

    随着事件调查的深入分析，我发现事件远不止终端中毒那么简单，每一条线索都在指向这是一场高度专业化、组织有序的攻击活动。经过深入的调查和取证，最终确定这次攻击与一个2023年开始活跃的APT组织的实体“银狐APT组织”有关。

    没错，我，在公司内网，发现了APT组织“银狐”的攻击！

二、正文

1、团伙分析

    银狐APT又名“谷堕大盗”。

    在2023年上半年活动较为频繁，攻击手法和资源也比较多变，攻击载荷主要以变种Gh0st为主；主要针对国内金融、证券、教育及设计行业，曾通过购买百度搜索引擎广告位、社交软件等传播诱饵文件，进行广撒网式的钓鱼活动，主要目的是为了通过远控实现进一步扩散，窃取用户的个人信息和数据或出售远控点。

2、攻击分析

    通过文件溯源调查分析得知，该文件最早来源于非我司员工。

文件来源小剧场：

    【老李是一个淘宝卖家， 当天下午，老李收到客户“坏蛋小峰”私人定制的请求，声称需要定制一件商品，设计图已私下找设计师设计好了，需要加v发给老李。心地纯良的老李当然没有多想，很快就发送了自己的微信并通过了客户的好友申请。

    很快，坏蛋小峰就发来了他的“设计图”，并诱骗老李点击下载他发送的压缩包文件。老李一顿操作猛如虎，点了半天还是没能打开“设计图”。

    于是老李把“设计图”发给了自家媳妇帮忙打开。媳妇疯狂地戳了好几十下鼠标，但电脑依旧冷若冰霜。

    媳妇无奈，只能联系最好的顺丰闺蜜帮忙操作下。（正所谓不熟不“坑”）

    毫无意外，闺蜜也没办法打开该“设计图”。

    但闺蜜却因此打开了顺丰安全运营中心的告警铃铛，唤醒了 “为了防止世界被破坏，为了维护宇宙和平”的我。（就是这样，喵~）】

告警追踪：

    通过告警显示，我发现内网员工机器频繁请求外网恶意域名。

    再进一步排查进程日志，我注意到该电脑曾经通过微信下载并两次执行过一个名叫"方案2.zip "的压缩文件。

    这条告警使我心中升起了一股警觉和好奇。这个压缩包里究竟隐藏了什么样的恶意可执行文件？我试图探寻背后的动机和目的。

    于是我开始深入调查这台受感染的电脑，寻找任何线索，任何可以揭示真相的痕迹。

    通过定位并解压中毒电脑上的压缩包，我发现里面包含着一个文件，名叫"5364.exe"，这实际上并不是一个方案，而是一个恶意可执行文件！

    我摩拳擦掌，准备与这个恶意程序展开一场斗争，下面是对样本整个利用链的分析过程。

3、样本分析

文件名	@5364.exe
原始文件名	kcleaner.exe
文件说明	垃圾清理
产品名称	Kingsoft Internet Security(金山毒霸)
编译环境	Win32 Visual C++
编译时间	2023-04-28 09:17:31
MD5	6c324e349eae41b4b78f5030ac339d74

样本整体调用示意图：

一阶段：母文件下载使用隐写技术的jpg图片和部分恶意后门程序。

    下载文件：母文件@5364.exe首先调用InternetOpenUrlA，访问brian.jpg恶意文件(阿里云)；

创建文件：CreateFileA将brian.jpg文件保存到Public目录；

    隐藏文件：调用GetModuleFileNameA获取当前程序执行路径，获取成功后进行环境校验，同时修改文件属性dwFileAttributes=0x02 隐藏母文件程序，隐藏失败程序退出；

    加载资源：文件隐藏成功后调用LoadStringA函数从资源加载WindowName和ClassName，资源标识符为0x67和0x6d，申请两个长度为0x64的缓冲区位置接收字符；

    注册窗口：调用sub_401AD0函数注册窗口类，指定窗口过程函数sub_402700，注册完成后调用CreateWindowsExA；

    加载载荷：注册完成后等待消息列队回调，进入窗口过程函数sub_402700，读取刚下载的brian.jpg，GetProcAddress函数动态调用VirtualAlloc函数申请内存写入并执行；

    访问资源：在shellcode内部，解密完成后，访问阿里云oss存储桶地址；

    下载资源：从资源地址下载多个恶意程序保存到public目录，并调用ShellExecuteW执行windows.exe；

    下载md.jpg文件，用于window.exe加载的恶意shellcode文件，根据主程序名称下载对应的jpg后门资源（资源不同ioc变化较大），可见服务端包含大量恶意后门资源；

此处省略500行...

二阶段：母文件释放白加黑程序并运行恶意后门。

    释放文件：@5364.exe继续创建目录、释放文件，help.chm、AudioEngine.dll、CCMini.exe，调用CreateFileW在本地首先创建空文件，再由shellcode执行WriteFile函数写入；

落地后的文件目录(包括远端下载和本地释放)；

    修改策略：修改浏览器安全策略，将zones的值设置为1201，此时浏览器触发脚本下载文件时将不会验证安全性，此功能主要用于隐藏在chm文件中的，恶意javascript脚本下载功能保护；

    启动项：调用Help.chm运行触发注册表启动项写入，运行通过快捷方式触发CCMini.exe；

    CCMini为某易公司的游戏语音程序，附带有效签名，CCMini.exe需要加载AudioEngine.dll调用库函数，此部分主要利用白加黑手法的dll劫持；

    加载dll：在AudioEngine.dll中，首先会判断之前的恶意程序windows.exe是否在运行，如果没在运行，则会创建一个隐藏的控制台来执行dwon1.chm，运行后浏览器触发隐藏在chm文件中的javascript代码，执行文件下载操作；

    当dwon1.chm运行完成后，再次调用cmd程序执行taskkill，关闭主进程hh.exe(正常的windows程序用于加载chm文件)；

    触发js: 执行dwon1.chm中隐藏的恶意javascript代码用于重新下载windows.exe、windows.exe资源；

    运行后门：在母程序中brian.jpg被加载后又运行了windows.exe，运行方式与此样本类似，通过注册窗口类运行过程函数，加载9999.jpg文件，并执行了另一个程序window.exe；

window.exe加载md.jpg并运行；

获取信息：Gh0st远控木马变种收集操作系统版本、磁盘内存等系统信息；

    检查杀软：使用CreateToolhelp32Snapshot创建系统进程快照，Process32FirstW/Process32NextW开始遍历进程列表，检查杀毒软件；

检查的杀软列表；

启动项：写入启动项注册表SOFTWAREMicrosoftWindowsCurrentVersionRun；

请求C2域名；

windows.exe：

window.exe：

攻击者PDB文件信息；

分析结论：

    根据C2域名和PDB信息(谷堕又名银狐)可以确定攻击者为银狐APT组织，通过主程序下载云端资源，利用白加黑的手法并结合chm调用javascript触发恶意程序的下载，利用windows窗口函数作为shellcode Loader加载恶意jpg文件，结合图片隐写技术和Gh0st变种木马完成shellcode的加密和执行；

IOC：

• 121.43.53.64

• 4-24dll.oss-cn-hangzhou.aliyuncs.com

• 4-27.oss-cn-hangzhou.aliyuncs.com

• iamasbcx.asuscomm.com

• yk.youbi.co

• C:Users谷堕Desktop2022远程管理gficangkuW027B2780inOsClientProjectRelease上线模块.pdb

• hxxp://139.224.13.184/dwon/?tpl=list&sort=&folders-filter=&recursive

• hxxp://139.224.13.184/dwon/window.exe

• hxxp://139.224.13.184/dwon/window1.exe

• hxxp://139.224.13.184/dwon/windows.exe

• hxxp://139.224.13.184/jzq/?tpl=list&sort=&folders-filter=&recursive

• hxxp://139.224.13.184/jzq/brian.jpg

• hxxp://139.224.13.184/jzq/brian3.jpg

• hxxp://139.224.13.184/libcurl.dll

• hxxp://crl.globalsign.com/gsorganizationvalsha2g3.crl

• hxxp://crl.globalsign.com/root.crl

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/dashell/hackbiran9183bai.jpg

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/dashell/hackbiran9244bai.jpg

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoma/9183.exe

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoma/9244.exe

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoshell/gdagew9183ufaeqfga.jpg

• hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoshell/gdagew9244ufaeqfga.jpg

• hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/dwon1.CHM

• hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/window.exe

• hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/windows.exe

• hxxps://4-27.oss-cn-hangzhou.aliyuncs.com/9999.jpg

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/cima/1183.exe

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/dashell/hackbrian1183bai.jpg

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag11ew83ufaeqfga.jpg

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag66ew68ufaeqfga.jpg

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag77ew77ufaeqfga.jpg

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/zhuma/6666zhu.exe

• hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/zhuma/9999zhu.exe

• hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/AudioEngine.dll

• hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/dwon.CHM

• hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/wind

• hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/window.exe

• hxxps://ykxml.oss-cn-hangzhou.aliyuncs.com/5364.jpg

• hxxps://ykxml.oss-cn-hangzhou.aliyuncs.com/9999.jpg

4、狩猎分析

    为了让大家更清晰地了解该APT组织的攻击流程，下面放一张我画的关于该APT组织利用过程的流程图：

三、防范建议

    通过整场事件的分析下来，终于松了口气，这不是一场专门针对我司的APT组织发起的攻击，APT组织只是意外攻击了我司员工并触发了安全运营中心的告警。虽然事件得到了处置，但还是提醒着我们要始终在网络世界中保持警惕，即使是熟悉好友发来的文件，也要再三甄别后再打开。为了避免类似的情况再次发生，我们应该牢记以下几个建议：

1、谨慎点击链接或下载文件：要谨慎点击来自未知或可疑来源的链接或文件，特别是通过电子邮件、社交媒体或即时消息发送的链接或文件。

2、不信任未经验证的下载源：要谨慎下载软件、应用程序和文件，尽量从官方或可信任的来源进行下载，并核实下载文件的完整性和数字签名。

3、安装可信的安全软件：需确保终端设备上安装了可信的防病毒软件和防火墙，并保持其更新至最新版本。

4、增强安全意识：加强网络安全意识培养，学习如何识别和应对常见的网络攻击手段，如钓鱼、社交工程等。

原文始发于微信公众号（顺丰安全应急响应中心）：内幕曝光！关于我是如何发现APT组织的攻击