1

概述

来自银狐的攻击愈演愈烈。

微步情报局近期监测捕获了大量被捆绑木马的MSI格式的常用软件安装包，其中包括WPS、WhatsApp、火绒安全软件和ToDesk等。这些安装包中均被捆绑了木马，导致大量用户遭受攻击，主机被控。在过去的三个月内，这轮攻击至少触发了上千次的告警。

与此同时，我们发现一些黑产相关的Telegram频道也在大量散发无忧解码、爱思助手、Telegram等黑产常用软件的MSI安装包，部分攻击者还部署了水坑，仿冒官方软件下载页面来诱使用户下载运行木马。

通过分析发现，这些木马在运行方式上既有经典的白利用，又有早期银狐所使用的“白利用+Lua+shellcode”，攻击资产上也存在重叠。因此我们研判认为，这是银狐扩大了攻击范围，针对黑产从业者发起的“黑吃黑”攻击。详情如下：

• 攻击最早自2023年8月开始，攻击者通过部署多个伪造软件下载页面来诱导访问者下载仿冒软件，同时以Telegram频道分发的方式进行投递恶意程序，最终实现远控。

• 攻击者除了针对黑产从业人员常用软件的伪造，还部署伪造了一些常见电脑软件的钓鱼页面，如：WPS-office，火绒安全软件，ToDesk等。

• 攻击者早期使用sfx自解压文件来进行打包恶意程序，近期为了实现免杀，选择使用MSI文件作为载体，来打包恶意程序，这种方式规避了杀毒软件的检测。

• 在此次事件中，无论是攻击者采用MSI文件进行免杀、运用白利用手法加载Shellcode，还是实施多阶段的下载恶意载荷，这些行为均与银狐历史上的攻击手法相一致。并且通过对攻击者资产的追踪分析，我们发现其基础设施与银狐早期使用的相符，进一步加强了事件与银狐相关的关联。因此，可得出结论，此次攻击事件说明银狐的攻击范围进一步扩大，对黑产从业人员展开了有针对性的攻击。

• 微步通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、安全情报网关 OneSIG 、主机威胁检测与响应平台 OneEDR 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

  
  

2

事件分析

2.1 事件画像

事件画像
事件名称	银狐利用伪造的MSI安装包针对黑产从业者发起攻击
技术特点	1．使用MSI安装程序进行载荷投递实现免杀； 2．MSI文件安装后利用“白加黑”方式加载恶意载荷； 3．利用动态下载的shellcode获取最终C2地址。
攻击目标	黑产从业人员
平台	Windows
传播方式	虚假应用程序下载站，Telegram频道分发
攻击地区	中国
攻击目的	远控，窃密
攻击工具	Gh0st

2.2 团伙攻击方式趋势  

此系列攻击最早始于2023年8月，期间不断更换基础设施、恶意软件，以及攻击方式。根据早期样本的特征发现，团伙早期主要以Telegram或者其他黑灰产从业人员使用的即时通讯软件进行传播，样本名称具有诱惑性，猜测攻击者伪装成黑灰产上游资源数据提供商向黑灰产中游资源包装平台进行钓鱼攻击。

恶意软件名	哈希
每日结算回usdt核对.xlsx.msi	c7123b645d403ee3148298e183eba96b
实时检测数据100条.msi	08ac9da79e2b1a493558606b49dabcf0
台湾疫苗事件.msi	a0d7ddcb1dee4a31e3ad885906738146
被捉人员回国通知名单.msi	a4d8146bec37430ef0169bd3bc43c8b7
无锡地区贷款实时数据500条.msi	ad00a348675246dc4afda8a4fbeacf3a
鼎鸿客户端.msi（博彩）	3f92f78abf6692172bd777a5f1174556

后续攻击者开始部署一些钓鱼网站去伪装为软件下载页面，这些软件通常为一些黑灰产中游资源打包平台人员常用软件：无忧接码，客服工单系统等。

同时除了伪装为下载页面传播恶意软件实现远控，攻击者还伪装为一些接码平台登录页面，这些登录页面输入用户名密码后显示登陆错误然后跳转，此时黑灰产人员的密码已经被记录。

通过近期捕获的样本发现攻击者已经通过Telegram频道进行投毒，该频道目前活跃人数3000+。

2.3 诱饵文档分析  

从捕获的样本来看，攻击者擅长使用白利用手法进行恶意载荷的加载，同时免杀意识比较强，不论是使用MSI文件规避杀毒软件的查杀，还是在恶意的DLL文件中使用控制流平坦化进行对抗分析，以及通过搭建第二阶段载荷下载站进行多阶段载荷加载，内存解密执行shellcode，都可以体现攻击者在对抗杀毒软件查杀以及沙箱动态分析的意识和能力。

白利用文件名	加载的恶意DLL	DLL文件pdb地址
DouyuUpdate.exe	dyupdate.dll	E:360MoveDataUsersAdministratorDesktop7-15Userdyupdate.pdb
SGuard64.exe	ndfhcdiscovery.dll	D:code6ReleaseACE-Trace.pdb
Uninstall.exe	winlogonCHS.dll	D:code6ReleasewinlogonCHS.pdb

2.4 攻击流程  

攻击者通过从黑产从业人员的行为进行分析，在黑产从业人员的多个接触渠道进行投毒钓鱼，并且制作免杀马来绕过杀毒软件查杀，受害者选择点击安装后将在本地释放相关恶意组件，并从托管服务器中获取shellcode解密执行，最终实现远控。

2.5 资产特点  

1. 攻击者在部分下载链接上使用自行搭建的yourls短网址程序跳转服务器并定时更新，以达到隐藏真实恶意下载链接的目的，另外，托管站文件会及时删除更换，以规避封禁机制。

   

在上图钓鱼页面下载链接上使用下载地址hxxps://aisiaz.site/gm4xj，点击后下载地址跳转到hxxps://cyh-tg.oss-cn-hongkong.aliyuncs.com/jiemabba.zip，其中中间域名aisiaz.site为攻击者注册域名，且下载地址URL不断在变化，规则为5位小写字母加数字组合：

• hxxps://aisiaz.site/xvs2k

• hxxps://aisiaz.site/0z7yy

• hxxps://aisiaz.site/wfiwc

2. 攻击者为了减少暴露面，会将钓鱼站基本都解析到同一IP，大部分使用第三方平台传播，如：谷歌表单，亚马逊云存储，阿里云存储等，减少被溯源的信息。

3. 攻击者使用多阶段加载木马程序，第一阶段运行后，从攻击者自建服务上下载解密第二阶段载荷。

3

样本分析

针对部分特征样本进行详细分析：

3.1 基本信息

Sha256	2b581f519777db9fc7b480743473003735c54e248cc60c3c2d7048759322ac00
SHA1	34e3da08ad5b2a0e76d49443f4a6673981269aeb
MD5	327a7153ed912a01961a97fdfa7e2646
文件类型	MSI文件
文件大小	1.69 MB (1,773,568 字节)
文件名称	无忧接码客户端.msi
功能描述	安装程序到目标主机，白加黑执行恶意dll，访问第二阶段载荷下载站，动态加载shellcode，创建快捷方式并注册启动项进行持久化，最终控制目标主机

3.2 详细分析

该样本运行的主要流程为：

3.2.1 第一阶段：初始MSI程序

攻击者通过自己打包生成了MSI程序，并伪造MSI文件的元信息。   

该MSI文件解压后查看运行的脚本，其运行后释放文件并运行：

运行MSI文件后会在C:ProgramData释放初始文件运行，winlogon.exe程序为BossMail卸载程序，主要是为了使用白利用手法加载恶意dll文件winlogonCHS.dll：

加载winlogonCHS.dll，其中winlogonCHS.dll程序经过混淆处理：

winlogonCHS.dll中充斥着大量的数字运算干扰分析：

以及控制流平坦化进行混淆：

3.2.2 第二阶段：下载运行shellcode    

访问hzj66.vip下载第二阶段载荷：

其中该样本会从hzj66.vip上下载三个加密后的组件：

• GET http://hzj66.vip/v7/43.135.163.43/lib_32

• GET http://hzj66.vip/v7/43.135.163.43/reg32

• GET http://hzj66.vip/v7/43.135.163.43/code32

下载的shellcode为xor加密，解密算法为使用从0x18到0x2B的20个字节作为密钥，去解密从0x2C开始的密文：

按照解密算法解密后，shellcode恢复为COM文件和PE文件：

然后恶意程序加载执行：

3.2.3 第三阶段：连接最终C2  

完成第二阶段载荷的动态加载后，样本会尝试不断连接最终的C2地址进行通信：

该C2地址和第二阶段下载载荷URL中地址一致。

4

归因及溯源分析

4.1 溯源分析

第二阶段载荷下载地址iloveyou.agency曾属于一个位于英国的民间机构组织，域名到期后被攻击者注册使用。

早期该域名下活动多个样本，且样本特征与近期样本相似，其中关联样本：每日结算回usdt核对.xlsx.msi（c7123b645d403ee3148298e183eba96b）最终连接C2：27.124.47.237: 8600。

通过对该C2的拓线分析，发现历史上存在样本（ec2ec7c04786d6c54d879f1327e3f269）使用该C2地址，该样本从https://pastebin.com/raw/97RDxeDR 解密下一阶段shellcode下载站。

Base64解密地址：

从攻击手法以及关联的下载文件来看，这都与早期银狐披露的IOC和TTPs一致。   

4.2 拓线信息  

通过攻击者搭建的下载中转服务特征（aisiaz.site）进行拓线，发现目前不断有活跃的钓鱼页面域名中包含其link地址：

近一个月就存在活跃多条钓鱼资产，且模拟了多种类型的软件下载页面。

同时这些钓鱼资产中除了攻击者自建网站外，攻击者还使用Google Docs做钓鱼页面，相比于自建网站，使用Google的域名可以绕过电子邮件中静态链接扫描程序，并且难以溯源。

附录-部分IOC

C2

43.135.163.43:9600

1.32.249.43:10800

27.124.47.237:8600

169.150.222.238:36061

Phishing  

youdaoensk.xyz

youdaodfk.xyz

vibersds.xyz

aisiaz.site

trofmds.com

youdaoesi.xyz

aisizs.xyz

meituxx.xyz

youdaofe.xyz

wpsnf.xyz

youdaoendk.xyz

todtgk.top

leidianuk.xyz

telogiam.top

tefgedmg.top

off1c1e.top

csgo666.top

wuyoujiema1.com

sougouu.top

sogoff.xyz

Malware

hzj66.vip

iloveyou.agency

mqkfxt.top

meiqia.world

wpoff.top

sogollq.top

eyy250.top

sgsrf.top    

sgllq.top

ppfcc.xyz

Hash

b427f787b812ec1d93bf5e0506aec802b4e84f2929f9647637bc9faad384ccc9

a46b0711b3d53619360643b27dfcc4c542c12dea977ed3f77ed370c6ae72c1da

7a3c4be9406e94cb80a9a7a65e8e7d69ec685d1afc0668cf5d10989689fad07a

099ac5fc62e2293136fd4bfd3902b03878218460e1025a6583aad6b5a5c61818

2b581f519777db9fc7b480743473003735c54e248cc60c3c2d7048759322ac00

05adf29950a88a7ec7571c087c2aaf63987de401e6b8240827c40d9979c2178c

e2ce527f83bb55509bb4f19822f38cdb0fbf26726717b2f22d3b002d0cf60fed

013285971960f329c2a0880b816262aa58178409eb66b9e2b6fd0237ac3e3ff0

d08bb1072b8a1524f5a6624e80e716c9f44287275b0026578b0883e0d0f25b0d

附录-行动建议

威胁处置

• 检查C:ProgramData目录下是否存在异常的数字文件；

• 在任务管理器-启动中查看是否存在未知的启动项。

安全加固

• 及时更新系统/应用程序补丁或版本；
• 建立办公软件库，严格把控第三方软件下载渠道；

• 及时排查威胁检测设备告警、处置相关威胁。

           

- END -

原文始发于微信公众号（微步在线研究响应中心）：银狐黑吃黑：利用伪造 MSI 安装包攻击黑产从业者