发现新恶意团伙紫狐！针对finalshell的供应链事件

FinalShell - 一个免费且好用的ssh工具

最近刚重装完系统，新系统需要安装一些环境，在网上找 finalshell 的时候，发现搜出来两个 finalshell 官网：

第二个官网的域名是：www.finalshell.org

这个域名感觉更真实一点，点进去之后长这样：

下载发现安装包 Defender 会报毒

到这里已经发现事情的严重性了，众所周知，finalshell 拥有大量的用户。而此网站在搜索引擎里排名第二，很多像我这样的小白用户还是很容易上当下载的

先把这个域名丢到微步看一下，发现注册时间为 2023-07-30 日，是刚刚注册几个月的新域名

注册信息都有设置隐私保护，看不到

数字证书这里我们可以看到也是 2023-09-27 刚申请的证书，并且还是 Let's Encrypt 的免费证书

再看正确官网：hostbuf.com

是白名单域名，注册时间在 2016 年，且 whois 等信息都是公开的

我们将下载回来的安装包样本上传到微步沙箱看看

从静态分析模块中可以看出，样本的是 WinRAR 打包的

从行为检测模块中可以看出，样本在运行后会 %temp% 目录中释放两个文件，分别是：install.exe 和 install_8.exe

同时还有疑似载荷下载行为

在执行流程中，可追溯到这个IP：107.148.48.35

这个 IP 来自于 install_8.exe ，此时再结合沙箱释放文本中的检出，大概可以实锤这个 install_8.exe 是木马了

总结一下上面的信息，样本采用 "Self-extracting (SFX) archives" 方式，将 install.exe 和 install_8.exe 打包，而其中的 install_8.exe 是一个马，解压后并会自动运行连接到 107.148.48.35 下载其他文件

首先使用 7z 工具验证一下安装包情况，可发现挂马的 FinalShell 是将马和正常的 FinalShell 打包一起，利用 SFX 的特性安装到系统中

第一阶段分析：

将 install_8.exe 拖到 ida 打开，提示以下信息 (再次实锤为木马)

样本首先会根据 C://ProgramData//Micros//xiaomum.lnk 是否存在来判断机器是否被感染过

如果没有过，则在 http[:]//107.148.48.35:35/3.txt 下载 shellcode，并采用文件映射的方式，放在内存中开始运行

第二阶段：

将 shellcode 转换为 exe，投入到云沙箱中可以看到，该 exe 中存在多个 URL

可见有 6个 功能组件，就留给其他人分析，大概有释放 DLL 的模块、持久化模块还有利用漏洞驱动强制 KILL 进程的模块

http[:]//107.148.48.35:35/1.txt
http[:]//107.148.48.35:35/2.txt
http[:]//107.148.48.35:35/3.txt
http[:]//107.148.48.35:35/4.txt
http[:]//107.148.48.35:35/5.txt
http[:]//107.148.48.35:35/6.txt

目前，微步团队已判定为 "紫狐" 组织

此域名情报已更新为 "恶意软件"

某些 CSDN 的博文还会提到去此恶意网址下载 finalshell，具有极强的诱导性

大家下载请认准官方网站为：

https://www.hostbuf.com/

感谢：@烟花易冷丶 @隐

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注

原文始发于微信公众号（刨洞之眼）：发现新恶意团伙紫狐！针对finalshell的供应链事件