利用云笔记平台投递远控木马的黑产团伙分析

时间 :  2023年03月30日  来源:  安天CERT

1.概述


安天CERT在2023年3月24日发布的《利用云笔记平台投递远控木马的攻击活动分析》[1]中介绍了一起攻击活动,根据多个样本的PDB路径以及托管在云笔记平台中的文件夹名称等信息,我们将该攻击活动与友商发现的“谷堕大盗”[2](又名“银狐”[3])黑产团伙联系在一起。

通过对相关攻击活动进行梳理,安天CERT发现该团伙前期利用钓鱼网站、社交软件等传播诱饵文件,进行广撒网式的钓鱼活动。为了获取更大的经济利益,该团伙今年开始重点针对金融、证券等行业投递恶意程序,获得对相关行业从业人员主机的控制权后,冒充受害者身份对受害主机中的微信进行远程操作,利用微信群组对恶意程序进行更广泛的传播。

为了对抗终端安全产品,该团伙传播的诱饵文件运行后,主要采用3种方式加载下一阶段的恶意载荷:利用“白加黑”的方式加载恶意DLL文件、从公共服务平台中获取托管的恶意文件、从攻击者服务器中获取加密的恶意文件。该团伙投放多种远控木马,包括基于Gh0st远控木马的变种、“Xidu”远控木马[4]及其变种、Fatal远控木马等,利用远控木马获得受害主机的控制权,并驻留在受害主机中,以此实现对目标的长期控制。

经验证,安天智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。

2.关联分析


根据捕获的样本,我们发现该黑产团伙将恶意载荷托管于创建的多个分享链接中,最早创建时间为2022年1月21日。

表2‑1 黑产团伙利用云笔记平台创建的分享链接

用户名称

文件夹名称

创建时间

分享链接

quanshiyu2022

GUDUO

2022-1-21

https[:]//note.**.com/**/index.html?id=

cfae45c9e7cc8a7734b72abe98235dd1&type=notebook&_time=1642761034339

vip0418123000

签名正版

2022-3-29

https[:]//note.**.com/**/index.html?id=

f83f6c6da089d58ea8538c71344b8e64&type=notebook&_time=1648556707433

quanshiyu2022

XSD

2023-1-23

https[:]//note.**.com/**/index.html?id=

3865a47559efe2bcbe0fedf89106d323&type=notebook&_time=1674487336507

quanshiyu2022

XSD

2023-2-26

https[:]//note.**.com/**/index.html?id=

3865a47559efe2bcbe0fedf89106d323&type=notebook&_time=1677420095103

攻击者所托管的恶意载荷相似,其核心都是利用恶意载荷中的可执行程序加载第一阶段的DLL文件,获取、解密Shellcode并释放最终的Gh0st远控木马变种。

图2‑1 部分恶意载荷

根据多个样本的PDB路径以及托管在云笔记平台中的文件夹名称等信息,我们将该攻击活动与友商发现的“谷堕大盗”(又名“银狐”)黑产团伙联系在一起。

图2‑2 样本PDB路径信息

3.“谷堕大盗”(又名“银狐”)黑产团伙攻击特点


对近期相关的攻击活动进行梳理后,我们对该黑产团伙目前所使用的攻击特点进行了总结。

3.1 传播方式

该黑产团伙主要利用两种方式传播初始的诱饵文件:

1. 购买搜索引擎关键词推广伪造成下载站的钓鱼网站,从而诱导用户下载执行诱饵文件;

2. 利用微信等社交软件发送伪装成应用程序或者文档的诱饵文件。

获取对失陷主机的控制权后,该黑产团伙收集受害者的相关信息,冒充受害者身份对受害主机的微信进行远程操作,使恶意程序得到进一步的扩散。

3.2 恶意载荷加载方式

为了对抗终端安全产品,该团伙传播的诱饵文件运行后,主要采用3种方式加载下一阶段的恶意载荷:利用“白加黑”的方式加载恶意DLL文件、从公共服务平台中获取托管的恶意文件、从攻击者服务器中获取加密的恶意文件。

3.2.1 利用“白加黑”的方式加载恶意DLL文件

诱饵文件运行后,在指定路径中释放一批文件,执行其中正常的可执行程序,利用“白加黑”的方式加载恶意DLL文件,解密Shellcode并加载最终的远控木马。

图3‑1 利用“白加黑”的方式加载恶意载荷

3.2.2 从公共服务平台获取托管的恶意文件

诱饵文件运行后,从公共服务平台获取恶意文件,从而加载最终的远控木马。

图3‑2 从公共服务平台获取恶意载荷

利用云笔记平台托管恶意载荷

该黑产团伙将恶意载荷以压缩包文件的形式托管于云笔记平台中,利用其中的恶意程序加载恶意DLL文件解密Shellcode,最终释放基于Gh0st远控木马的变种。

图3‑3 利用云笔记平台托管恶意载荷

利用公共图床托管隐写图片

该黑产团伙将Shellcode隐写到图片中,并上传至存放图片的公共图床中,诱饵文件下载该图片并在内存中进行解密,最终释放基于Gh0st远控木马的变种。

图3‑4 利用公共服务托管隐写图片

3.2.3 从攻击者服务器中获取加密的恶意文件

诱饵文件运行后,从该黑产团伙控制的服务器中获取加密压缩包或者加密文件,利用指定的解压密码或自定义的解密方法进行解密,从而加载最终的远控木马。

图3‑5 从攻击者服务器中获取加密的恶意载荷

3.3 最终恶意载荷

通过对多批样本进行分析,我们发现该黑产团伙最终投递多种远控木马,包括基于Gh0st远控木马的变种、“Xidu”远控木马及其变种、Fatal远控木马等。这些远控木马均具有信息数据收集、键盘记录、下载执行文件、远程操控等恶意功能。该团伙利用多种远控木马获得受害主机的控制权,并驻留在受害主机中,以此实现对目标的长期控制。

4.安天智甲有效防御


安天在发现该黑产团伙的攻击行为后第一时间启动响应,并对安天的终端安全产品“智甲终端防御系统(以下简称‘智甲’)”进行防御能力验证,经过测试智甲可以有效防御本次事件中黑产团伙所利用的攻击载荷,但考虑到黑产团伙可能后续会研制变种病毒进行新一轮攻击,建议智甲用户将系统升级至最新版本。

在本次事件中,智甲依托安天自主研发的威胁检测引擎,结合3种能力实现了对攻击载荷的防御:

1. 黑白双控机制,安全防护不留“死角”

某些终端防病毒产品会将带有签名或者白文件调用的程序默认放行,但此种机制会被攻击者利用实现“免杀”,比如本次事件中攻击者就采用“白加黑”的执行方式加载恶意DLL文件。智甲采用“黑白双控”机制,不仅针黑文件进行防护,针对白文件的敏感行为也同样会进行管制,此次事件中智甲监控到使用系统文件启动的病毒文件行为时,由于白文件启动对象为非可信文件,因此智甲对该行为依然会进行监控和防护,通过黑白双控机制智甲可以有效应对当前“白加黑”这一攻击者常用躲避查杀的手段。

2. 实时防护,第一时间遏制威胁

智甲具有内核级防御能力,可以对病毒的执行、篡改、破坏等行为第一时间进行感知和检测,在攻击行为未生效前即可进行拦截,保证系统和用户数据不被破坏。而某些安全产品虽然具有一定病毒查杀能力,但并不具备内核级防护能力,即使能够检测出病毒也无法进行及时拦截,当用户发现已为时已晚。

3. 内存异常检测,精准查杀内存木马

智甲通过虚拟化技术,可以发现内存环境中的改写行为,针对异常的改写行为会提取内存数据特征使用安天AVL-SDK威胁检测引擎进行检测,从而通过内存分析确认存在恶意shellcode代码,本次事件中智甲有效发现攻击者利用恶意图片在内存中释放远控木马行为。

安天智甲终端防御系统面向安全管理人员提供统一管理平台,用户可在管理平台查看到网内发生的各类安全事件详情,并可一键批量完成威胁事件处置。

图4‑2 智甲系统管理平台

5.总结


“谷堕大盗”(又名“银狐”)黑产团伙目前仍在对诱饵文件及远控木马的恶意功能模块进行更新,并购买搜索引擎关键词推广伪造成下载站的钓鱼网站、利用社交软件中的群组发送伪装成应用程序或者文档的恶意程序。

在此建议用户在下载应用软件时认准官方网站,并且不要轻易相信搜索引擎推广的广告链接;不要轻易打开聊天群组、论坛、邮件中未经安全检测的文件。目前该黑产团伙仍保持高度活跃,安天将持续关注其后续活动。

参考链接


[1] 利用云笔记平台投递远控木马的攻击活动分析
https://www.antiy.cn/research/notice&report/research_report/20230324.html
[2] “谷堕大盗”最新样本分析
https://mp.weixin.qq.com/s/sFKNKZy9HoArZLAuSNBIIQ
[3] 警惕新黑产“银狐”大规模社工攻击金融、政企、教育等行业
https://mp.weixin.qq.com/s/DSA58emW0ZtGoyoEgufBJw
[4] 后门病毒利用“白加黑”躲避查杀可随意操控用户电脑
https://mp.weixin.qq.com/s/y0jLawhtJQBMoZNqUbXZCw