1.概述

?

安天CERT在2023年3月24日發(fā)布的《利用云筆記平臺投遞遠(yuǎn)控木馬的攻擊活動分析》[1]中介紹了一起攻擊活動，根據(jù)多個樣本的PDB路徑以及托管在云筆記平臺中的文件夾名稱等信息，我們將該攻擊活動與友商發(fā)現(xiàn)的“谷墮大盜”[2]（又名“銀狐”[3]）黑產(chǎn)團(tuán)伙聯(lián)系在一起。

通過對相關(guān)攻擊活動進(jìn)行梳理，安天CERT發(fā)現(xiàn)該團(tuán)伙前期利用釣魚網(wǎng)站、社交軟件等傳播誘餌文件，進(jìn)行廣撒網(wǎng)式的釣魚活動。為了獲取更大的經(jīng)濟(jì)利益，該團(tuán)伙今年開始重點(diǎn)針對金融、證券等行業(yè)投遞惡意程序，獲得對相關(guān)行業(yè)從業(yè)人員主機(jī)的控制權(quán)后，冒充受害者身份對受害主機(jī)中的微信進(jìn)行遠(yuǎn)程操作，利用微信群組對惡意程序進(jìn)行更廣泛的傳播。為了對抗終端安全產(chǎn)品，該團(tuán)伙傳播的誘餌文件運(yùn)行后，主要采用3種方式加載下一階段的惡意載荷：利用“白加黑”的方式加載惡意DLL文件、從公共服務(wù)平臺中獲取托管的惡意文件、從攻擊者服務(wù)器中獲取加密的惡意文件。該團(tuán)伙投放多種遠(yuǎn)控木馬，包括基于Gh0st遠(yuǎn)控木馬的變種、“Xidu”遠(yuǎn)控木馬[4]及其變種、Fatal遠(yuǎn)控木馬等，利用遠(yuǎn)控木馬獲得受害主機(jī)的控制權(quán)，并駐留在受害主機(jī)中，以此實(shí)現(xiàn)對目標(biāo)的長期控制。經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

?

2.關(guān)聯(lián)分析

?

根據(jù)捕獲的樣本，我們發(fā)現(xiàn)該黑產(chǎn)團(tuán)伙將惡意載荷托管于創(chuàng)建的多個分享鏈接中，最早創(chuàng)建時間為2022年1月21日。

表2?1 黑產(chǎn)團(tuán)伙利用云筆記平臺創(chuàng)建的分享鏈接

攻擊者所托管的惡意載荷相似，其核心都是利用惡意載荷中的可執(zhí)行程序加載第一階段的DLL文件，獲取、解密Shellcode并釋放最終的Gh0st遠(yuǎn)控木馬變種。

根據(jù)多個樣本的PDB路徑以及托管在云筆記平臺中的文件夾名稱等信息，我們將該攻擊活動與友商發(fā)現(xiàn)的“谷墮大盜”（又名“銀狐”）黑產(chǎn)團(tuán)伙聯(lián)系在一起。

3.“谷墮大盜”（又名“銀狐”）黑產(chǎn)團(tuán)伙攻擊特點(diǎn)

?

對近期相關(guān)的攻擊活動進(jìn)行梳理后，我們對該黑產(chǎn)團(tuán)伙目前所使用的攻擊特點(diǎn)進(jìn)行了總結(jié)。

3.1?傳播方式

該黑產(chǎn)團(tuán)伙主要利用兩種方式傳播初始的誘餌文件：

1.????? 購買搜索引擎關(guān)鍵詞推廣偽造成下載站的釣魚網(wǎng)站，從而誘導(dǎo)用戶下載執(zhí)行誘餌文件；

2.????? 利用微信等社交軟件發(fā)送偽裝成應(yīng)用程序或者文檔的誘餌文件。

獲取對失陷主機(jī)的控制權(quán)后，該黑產(chǎn)團(tuán)伙收集受害者的相關(guān)信息，冒充受害者身份對受害主機(jī)的微信進(jìn)行遠(yuǎn)程操作，使惡意程序得到進(jìn)一步的擴(kuò)散。

3.2?惡意載荷加載方式

為了對抗終端安全產(chǎn)品，該團(tuán)伙傳播的誘餌文件運(yùn)行后，主要采用3種方式加載下一階段的惡意載荷：利用“白加黑”的方式加載惡意DLL文件、從公共服務(wù)平臺中獲取托管的惡意文件、從攻擊者服務(wù)器中獲取加密的惡意文件。

3.2.1?利用“白加黑”的方式加載惡意DLL文件

誘餌文件運(yùn)行后，在指定路徑中釋放一批文件，執(zhí)行其中正常的可執(zhí)行程序，利用“白加黑”的方式加載惡意DLL文件，解密Shellcode并加載最終的遠(yuǎn)控木馬。

3.2.2?從公共服務(wù)平臺獲取托管的惡意文件

誘餌文件運(yùn)行后，從公共服務(wù)平臺獲取惡意文件，從而加載最終的遠(yuǎn)控木馬。

利用云筆記平臺托管惡意載荷

該黑產(chǎn)團(tuán)伙將惡意載荷以壓縮包文件的形式托管于云筆記平臺中，利用其中的惡意程序加載惡意DLL文件解密Shellcode，最終釋放基于Gh0st遠(yuǎn)控木馬的變種。

?

利用公共圖床托管隱寫圖片

該黑產(chǎn)團(tuán)伙將Shellcode隱寫到圖片中，并上傳至存放圖片的公共圖床中，誘餌文件下載該圖片并在內(nèi)存中進(jìn)行解密，最終釋放基于Gh0st遠(yuǎn)控木馬的變種。

?

3.2.3?從攻擊者服務(wù)器中獲取加密的惡意文件

誘餌文件運(yùn)行后，從該黑產(chǎn)團(tuán)伙控制的服務(wù)器中獲取加密壓縮包或者加密文件，利用指定的解壓密碼或自定義的解密方法進(jìn)行解密，從而加載最終的遠(yuǎn)控木馬。

?

3.3?最終惡意載荷

通過對多批樣本進(jìn)行分析，我們發(fā)現(xiàn)該黑產(chǎn)團(tuán)伙最終投遞多種遠(yuǎn)控木馬，包括基于Gh0st遠(yuǎn)控木馬的變種、“Xidu”遠(yuǎn)控木馬及其變種、Fatal遠(yuǎn)控木馬等。這些遠(yuǎn)控木馬均具有信息數(shù)據(jù)收集、鍵盤記錄、下載執(zhí)行文件、遠(yuǎn)程操控等惡意功能。該團(tuán)伙利用多種遠(yuǎn)控木馬獲得受害主機(jī)的控制權(quán)，并駐留在受害主機(jī)中，以此實(shí)現(xiàn)對目標(biāo)的長期控制。

4.安天智甲有效防御

?

安天在發(fā)現(xiàn)該黑產(chǎn)團(tuán)伙的攻擊行為后第一時間啟動響應(yīng)，并對安天的終端安全產(chǎn)品“智甲終端防御系統(tǒng)（以下簡稱‘智甲’）”進(jìn)行防御能力驗(yàn)證，經(jīng)過測試智甲可以有效防御本次事件中黑產(chǎn)團(tuán)伙所利用的攻擊載荷，但考慮到黑產(chǎn)團(tuán)伙可能后續(xù)會研制變種病毒進(jìn)行新一輪攻擊，建議智甲用戶將系統(tǒng)升級至最新版本。

在本次事件中，智甲依托安天自主研發(fā)的威脅檢測引擎，結(jié)合3種能力實(shí)現(xiàn)了對攻擊載荷的防御：

?

1.?黑白雙控機(jī)制，安全防護(hù)不留“死角”

某些終端防病毒產(chǎn)品會將帶有簽名或者白文件調(diào)用的程序默認(rèn)放行，但此種機(jī)制會被攻擊者利用實(shí)現(xiàn)“免殺”，比如本次事件中攻擊者就采用“白加黑”的執(zhí)行方式加載惡意DLL文件。智甲采用“黑白雙控”機(jī)制，不僅針黑文件進(jìn)行防護(hù)，針對白文件的敏感行為也同樣會進(jìn)行管制，此次事件中智甲監(jiān)控到使用系統(tǒng)文件啟動的病毒文件行為時，由于白文件啟動對象為非可信文件，因此智甲對該行為依然會進(jìn)行監(jiān)控和防護(hù)，通過黑白雙控機(jī)制智甲可以有效應(yīng)對當(dāng)前“白加黑”這一攻擊者常用躲避查殺的手段。

?

2.?實(shí)時防護(hù)，第一時間遏制威脅

智甲具有內(nèi)核級防御能力，可以對病毒的執(zhí)行、篡改、破壞等行為第一時間進(jìn)行感知和檢測，在攻擊行為未生效前即可進(jìn)行攔截，保證系統(tǒng)和用戶數(shù)據(jù)不被破壞。而某些安全產(chǎn)品雖然具有一定病毒查殺能力，但并不具備內(nèi)核級防護(hù)能力，即使能夠檢測出病毒也無法進(jìn)行及時攔截，當(dāng)用戶發(fā)現(xiàn)已為時已晚。

3.?內(nèi)存異常檢測，精準(zhǔn)查殺內(nèi)存木馬

智甲通過虛擬化技術(shù)，可以發(fā)現(xiàn)內(nèi)存環(huán)境中的改寫行為，針對異常的改寫行為會提取內(nèi)存數(shù)據(jù)特征使用安天AVL-SDK威脅檢測引擎進(jìn)行檢測，從而通過內(nèi)存分析確認(rèn)存在惡意shellcode代碼，本次事件中智甲有效發(fā)現(xiàn)攻擊者利用惡意圖片在內(nèi)存中釋放遠(yuǎn)控木馬行為。

安天智甲終端防御系統(tǒng)面向安全管理人員提供統(tǒng)一管理平臺，用戶可在管理平臺查看到網(wǎng)內(nèi)發(fā)生的各類安全事件詳情，并可一鍵批量完成威脅事件處置。

5.總結(jié)

?

“谷墮大盜”（又名“銀狐”）黑產(chǎn)團(tuán)伙目前仍在對誘餌文件及遠(yuǎn)控木馬的惡意功能模塊進(jìn)行更新，并購買搜索引擎關(guān)鍵詞推廣偽造成下載站的釣魚網(wǎng)站、利用社交軟件中的群組發(fā)送偽裝成應(yīng)用程序或者文檔的惡意程序。

在此建議用戶在下載應(yīng)用軟件時認(rèn)準(zhǔn)官方網(wǎng)站，并且不要輕易相信搜索引擎推廣的廣告鏈接；不要輕易打開聊天群組、論壇、郵件中未經(jīng)安全檢測的文件。目前該黑產(chǎn)團(tuán)伙仍保持高度活躍,安天將持續(xù)關(guān)注其后續(xù)活動。

?

參考鏈接：

[1]?利用云筆記平臺投遞遠(yuǎn)控木馬的攻擊活動分析

https://www.antiy.cn/research/notice&report/research_report/20230324.html

[2]?“谷墮大盜”最新樣本分析

https://mp.weixin.qq.com/s/sFKNKZy9HoArZLAuSNBIIQ

[3] 警惕新黑產(chǎn)“銀狐”大規(guī)模社工攻擊金融、政企、教育等行業(yè)

https://mp.weixin.qq.com/s/DSA58emW0ZtGoyoEgufBJw?

[4] 后門病毒利用“白加黑”躲避查殺可隨意操控用戶電腦

https://mp.weixin.qq.com/s/y0jLawhtJQBMoZNqUbXZCw