ToB企服应用市场:ToB评测及商务社交产业平台

标题: “银狐”团伙再度出击：利用易语言远控木马实施垂纶攻击 [打印本页]

作者: tsx81428 时间: 2024-9-9 14:29
标题: “银狐”团伙再度出击：利用易语言远控木马实施垂纶攻击
PART ONE 概述

自2023年上半年“银狐”工具被披露以来，涌现了多个使用该工具的黑产团伙。这些团伙主要针对国内的金融、教诲、医疗、高新技术等企事业单位，会合向管理、财政、贩卖等从业人员发起攻击，偷取目的资金和隐私信息。该团伙惯用微信/QQ等即时通信工具、垂纶邮件、垂纶网站等途径投递远控木马，垂纶通常围绕财税、发票、函件、软件安装包等差别主题。鉴于使用该去中心化黑产工具的团伙浩繁，我们将其统称为“银狐”相关团伙。
新华三聆风实验室在近期捕获的某一银狐团伙发起的垂纶攻击活动中，首次检测到该团伙使用了一款由易语言编写的远控木马——"刺客远程"。基于对“银狐”相关团伙攻击活动的持续跟踪监控，发现该团伙擅长使用财税、发票等主题的垂纶邮件，利用自动下载页面流传初始载荷，并习惯将初始载荷文件命名为“setup*****.exe”，在前段时间曾使用毒鼠、魔改gh0st等远控发起了针对财税人员的大规模攻击活动，已有友商公开披露。此次监测到的攻击活动中，该团伙保持了相同的投递方式，但使用了新的远控载荷，不丢脸出该团伙不停变更新的工具来躲避检测。
新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。

PART TWO 攻击方式

攻击者向目的投递以“【新的电子票据待查收】”为主题的经心构造的垂纶邮件，诱导受害者点击，访问攻击者的垂纶网站。

一旦访问此垂纶网站就会自动下载初始载荷到受害者主机上，垂纶网站页面源码如下：

自动下载的初始载荷文件名由“setup+日期”组成：

PART THREE 攻击荷载

捕获到部分最新的攻击载荷文件如下：

PART FOUR 样天职析

1、实行流程
以“setup_20240621.exe”为例，该初始载荷样天职为两个阶段实行，第一阶段除了作为下载器去下载实行第二阶段的远控模块，还会完成母体程序的安装和持久化操作。

2、详细分析

通过对比程序入口点和相关字符串特征判断该样本及后续组件都是由易语言编写，使用黑月编译插件编译。

setup20240621.exe主要功能是从自身解密一个dll，并在内存中加载实行，调用其导出函数“ds145_gf4789_er7y7”。

ds145_gf4789_er7y7.dll会查抄命令行参数，若不带参数，则表示是初次实行，其将当前进程的可实行文件（即setup20240621.exe）复制安装到“%ProgramFiles%\EzNYshQLnQq.exe”，添加上命令行参数“h8r54h”重新运行。

当以参数“h8r54h”运行时，先查抄受害主机上是否有360杀软进程。若有则暂时删除受害主机的路由表信息，待添加服务项和重新运行完成后规复。然后添加服务项实现持久化，服务项名称为“IZukEe CSbpO”，实行路径为“%ProgramFiles%\EzNYshQLnQq.exe Service 0”，带有参数“Service”和“0”，添加完成后启动该服务项。最后使用参数“c2r53h”重新运行。

当以参数“Service”运行时，因程序逻辑上有问题，第二个参数“0”在此无效，其直接使用参数“inject”重新运行。

当以参数“inject”运行时，遍历当前进程，查找可利用的系统进程，但排除“svchost.exe”，获取目的系统进程的可实行文件重新创建一个进程，带上“over”参数，然后通过对此新进程镂空更换成当前恶意进程的PE数据实现注入实行。

只要第一个命令行参数不为“h8r54h”、“Service”、“inject”时，就会开始实行远控模块下载，如前面提到的参数“c2r53h”、“over”。该恶意软件使用bbtcp.dll网络通讯库来实现与控制端之间信息的收发和处置处罚。

其通过向控制端发送“opqrst4840608604244044”来获取远控模块dll。

远控模块在内存中被加载实行，实行其导出函数“ServetGetip”，C2地址和端口及相关信息作为参数传入，相关包罗该远控木马版本号、服务项名称、可实行文件路径等。

ServetGetip拼接作为参数传入的可实行文件名和服务项名作为互斥量名来创建互斥量。

然后收集系统基本信息和被控主机当前状态，包罗用户名、系统版本、主机ip、当前进程列表，桌面文件、打开的窗口列表等，通过上线消息发送给控制端。接着，ServetGetip使用作为参数传入的C2和端口与控制端创建毗连，发奉上线消息，接收下发的命令，并创建线程定期发送心跳包。除心跳包外，上线消息与控制端下发的命令数据都经过zlib压缩再发送。

在该dll中同时发现了其他c2域名：addr.ktsr[.]cc。

在命令接收和处置处罚模块，该dll通常以一个6字节的值代表一个指令，如:

通过关联对比分析，我们发现本次使用的是一款名为“刺客远程”的远控木马。该远控木马最早于2023年6月在Telegram上被公开售卖，今后不停迭代更新，最近一次更新是本年6月，已更新到V13版本。

PART FIVE 防护发起

1.切勿点击未知来源的邮件中的链接和附件；
2.切勿打开在通讯工具（如QQ、微信)中流传的来源不明的各类文件；
3.安装办公软件时，不要从不可信来源下载，应该从官网下载安装；
4.安装并及时更新最新的安全防护软件；
5.定期构造对企事业单位相关财政、贩卖、客服等人员的网络安全培训，提升网络安全意识，低落受害风险。
给各人的福利

零基础入门
对于从来没有接触过网络安全的同砚，我们帮你预备了详细的学习成长路线图。可以说是最科学最系统的学习路线，各人跟着这个大的方向学习准没问题。
1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同砚，我们帮你预备了详细的学习成长路线图。可以说是最科学最系统的学习路线，各人跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限，仅展示部分资料

4️⃣网络安全口试题

5️⃣汇总

全部资料 ⚡️ ，朋侪们如果有需要全套《网络安全入门+进阶学习资源包》，扫码获取~

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)