谷堕大盗黑产组织最新攻击样本详细分析

admin 2024年10月23日08:53:46评论13 views字数 1466阅读4分53秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14049


先知社区 作者:熊猫正正


笔者最近跟踪到一例谷堕大盗黑产组织最新的攻击样本,该攻击样本中使用了多种对抗技术,对该样本进行详细分析。


详细分析

1.样本的编译时间为2024年3月4日,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

2.发起URL连接请求,获取黑客远程服务器shellcode代码,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

3.从远程服务器读取到shellcode代码,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

4.通过VirtualAlloc分配内存空间,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

5.将获取的shellcode代码拷贝到该内存空间当中,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

6.跳转到shellcode代码,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

7.shellcode代码调用VirtualAlloc分配内存空间,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

8.然后将shellcode代码中包含的恶意模块代码拷贝到该内存空间中,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

9.恶意模块导出函数,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

10.shellcode代码调用执行恶意模块的SCTakes_L导出函数,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

11.恶意模块使用了多种对抗技术,包含反调试和反虚拟机技术,通过BeingDebugged、NtGlobalFlag、ZwQueryInformationProcess等技术反调试,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

12.获取系统CPU温度,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

13.获取系统风扇转速,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

14.获取主机硬件信息,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

15.获取系统电源状态,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

16.进程提权操作,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

17.读取模块资源数据,在相应的目录下生成EXE和DLL恶意文件,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

18.恶意模块资源数据,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

19.生成EXE和DLL恶意文件,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

20.生成的文件,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

21.从黑客服务器下载对应的恶意模块数据,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

22.读取服务器上对应的exehook2.dll模块数据,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

23.将模块数据写入到生成的sqm.dat文件,并创建相应的计划任务,调用执行EXE程序,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

24.生成的sqm.dat文件,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

25.sqm.dat文件内容,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

26.EXE恶意程序,调用DLL模块的导出函数,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

27.DLL恶意模块的导出函数,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

28.读取目录下的sqm.dat数据到内存当中,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

29.将读取的内存拷贝到分配的内存空间并解密,解密之后为去掉了MZ标志的恶意payload模块,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

30.然后跳转到解密后恶意模块执行,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

31.解密后的恶意模块为谷堕大盗黑产组织的上线模块,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

该上线模块版本信息为2024年2月,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

远程服务器IP地址为154.12.84.33,如下所示:

谷堕大盗黑产组织最新攻击样本详细分析

通过分析可以确认该攻击样本应该为谷堕大盗黑产组织的最新攻击样本。


威胁情报

谷堕大盗黑产组织最新攻击样本详细分析


总结结尾

此次发现的谷堕大盗黑产组织最新的攻击样本,增加了大量的反虚拟机,反调试技术,安全对抗会一直持续存在,并不断升级,有攻必有防,攻与防就是矛与盾的关系,安全研究人员需要持续不断的提升自己的安全能力。


安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家持续关注,获取全球最新的黑客组织攻击事件威胁情报。


谷堕大盗黑产组织最新攻击样本详细分析

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究


原文始发于微信公众号(安全分析与研究):谷堕大盗黑产组织最新攻击样本详细分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月23日08:53:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷堕大盗黑产组织最新攻击样本详细分析https://cn-sec.com/archives/3304480.html

发表评论

匿名网友 填写信息