| 关键词: 后门 执行 注册表 文件 使用 混淆 组织 目录 活动 攻击 | ||||||||||||||||||||||||||||||||||||||||||||||||
事件概述近日监测到一个伪装成国外社交软件“Telegram”官网的钓鱼活动。该钓鱼网站可通过访问者的浏览器标识下发不同的恶意后门程序。通过相关溯源分析我们发现本次攻击活动与黑灰产团伙“金眼狗”存在极大关联。 本次攻击活动流程如下图所示: ![]() 组织背景金眼狗组织是一个主要针对东南亚地区博彩推广相关人员的黑灰产团伙。该组织最早于2019年由奇安信安全团队披露,且在此后的几年时间里多次作案,作案目标主要以经济利益为驱动力,黑产业务涉及窃密、挖矿、DDoS等多个领域。 样本分析截止本文发稿,伪装成Telegram官网的钓鱼页面仍处于正常访问状态,该页面可向目标用户提供不同版本的中文版Telegram安装程序。这也侧面反映出本次攻击活动主要针对使用中文的用户群体。 ![]() 下载后的Windows安装包不带数字证书签名,且安装完成后会在用户“%AppData%”目录下创建一个以“TG-”开头的文件目录: ![]() 随后在桌面创建一个虚假的TG快捷方式,诱导用户点击,通过该方式可有效阻止沙箱等非交互系统的检测操作: ![]() Telegram.lnk命令行如下所示:
appr.lnk文件使用相同套路进行混淆:
appR.dat是一个包含js混淆脚本的xml文件(通过jsjiami.com进行混淆) ![]() 其主要功能是拷贝TG目录下的“KB1”和“KB2”文件到系统启动目录,实现持久化: ![]() 每次系统启动时,两个lnk文件都会分别执行%Public%\reloc路径下的利用程序,在该利用链中,金眼狗使用了“双DLL侧加载”技术执行后门程序。相对于传统的DLL侧加载技术,该方式多l一个中间环节,用于延长进程利用链与载荷执行的时间(套娃)。 ![]() SILan.exe与autorun.exe均属于正常程序。 SILan.exe执行后会以子进程方式调用autorun.exe,然后再加载同目录下的language.dll,该dll文件作为Loader加载templateG.txt文件,在内存中解密出Shellcode,最终反射加载ServerDll.dll后门执行。ServerDll.dll是一个包含多个后门功能的远程控制(RAT),恶意代码由 “Fuck” 导出函数执行。 ![]() 后门执行时首先获取计算机名,然后创建注册表键值用于存储配置信息。如果获取计算机名失败则使用“UnKnow”作为路径,随后写入当前系统时间,用于标识后门安装日期。最后通过++运算,创建互斥体保证单实例运行。
![]() 除了“Time”注册表键外还有如下键值:
读取“CopyC”注册表数据,如果成功则使用Base64和Xor 0x5解密C2地址,否则使用硬编码C2地址:“v2.pic447.com:45500” ![]() 新建线程执行其余后门操作,该后门程序主要包含如下恶意功能:
组织关联通过多个维度的关联分析,我们以较高可信度将本次攻击活动归纳为东南亚黑灰产团伙金眼狗组织。 例如,在初始载荷投递阶段该组织已经不是第一次利用Telegram网站进行钓鱼活动。此外本次攻击活动中的xml文件与此前金眼狗组织在历史攻击活动中使用的文件内容高度重合,区别是早期样本使用VBScript作为脚本解释语言,且脚本代码未做加密混淆处理。有意思的是XML标识符与描述信息中的“Bandit”内容,可以说是相当直白了。 ![]() 最终阶段执行的后门载荷“ServerDll.dll”,在该组织历史攻击事件中也曾出现过。早期版本使用的是.NET平台。并且两者都有从注册表中存储配置信息,读取C2的操作。 ![]() IOC103.116.15.2 v2.pic447[.]com https://www.telegramos[.]org/ 更多IOC也可通过联系我们获取~ 防护建议个人用户也可根据如下项目进行风险自查:
| ||||||||||||||||||||||||||||||||||||||||||||||||
| 本文出处: https://www.toutiao.com/article/7240623597335806522/ | ||||||||||||||||||||||||||||||||||||||||||||||||
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|