近期钓鱼团伙相关样本预警——第三弹

逆向病毒分析 2年前 (2023) admin
432 0 0



事件描述



近期奇安信病毒响应中心在日常运营工作中,发现针对“发票”类关键字的钓鱼事件开始增多。该团伙把装有钓鱼文件的压缩包存放在HFS服务器或疑似共享网盘上,通过邮件、IM等方式,诱导受害者下载执行这些伪装成发票的钓鱼文件。






本报告中截获的钓鱼文件运行后会从黑客的HFS服务器下载并运行经过混淆的远控木马,远控木马具备窃密、远程控制等功能。






经过分析,虽然整体流程和前两弹中的一致,但由于其使用的HFS版本、第二阶段大马等与“第一弹”中的不一致,其持久化方式和使用的壳与“第二弹”亦不相同,因此暂时认定这批样本为第三个黑产团伙。





样本概要




文件名:发票-凭证.exe (初始的钓鱼样本,俗称小马)

样本md5:68e02d004e6de4e3f9426f8ab2649c06

文件名:music.exe,Deuvn.exe (第二阶段样本,俗称大马)

样本md5:86a9ea226fa0dbedd04067626ebb6de2





样本分析



此次样本是加了ASProtect壳的Delphi程序,该程序的主要目的就是诱使点击,进行第二阶段木马的拉起。


回连CC:112.213.117.55: 80,进行下载远控木马。

目标服务器上有多个类似的远控木马,

近期钓鱼团伙相关样本预警——第三弹


此次下载的是文件是:0002.exe,保存为:C:Documents and Settings<UserName> Application DatasNbjdYRIKBmusic.exe,music.exe为MoleBox混淆打包运行后自拷贝到C:WINDOWSsystem32Deuvn.exe,然后拉起自身副本,最后使用cmd命令删除自身:



近期钓鱼团伙相关样本预警——第三弹


Deuvn.exe也就是从目标服务器上下载的远控木马,其回连CC:192.253.237.20接收远控。


创建服务启动自身:

Phiyab Tumno,Stumnf Hiyarstk Mefgxyaq Stlm,C:WINDOWSSystem32Deuvn.exe -auto

针对该远控木马分析:发现其是经过多次混淆加密的文件,第一层是MoleBox壳,脱壳后发现编译特征GetVersion,GetCommandLineA等函数,基本确认到达原始OEP。


进入main函数,发现其又在进行解密PE操作:



近期钓鱼团伙相关样本预警——第三弹 近期钓鱼团伙相关样本预警——第三弹 近期钓鱼团伙相关样本预警——第三弹


解密后PE文件会在内存中被修复然后调用其导出函数Shellex并传入硬编码参数:“192.253.237.20”(目标远控CC)。


不难猜测其是一个开源的远控模块。



近期钓鱼团伙相关样本预警——第三弹


经分析,该远控木马为Gh0st RAT变体。


其大致功能如下:创建服务持久化自身运行;窃密搜集信息并向C2服务器发送;接收远控等。如下所示:



近期钓鱼团伙相关样本预警——第三弹


如下图为Gh0st后门的标配功能,也是本次认定第二阶段后门的决定性证据,这部分功能已经在“第二弹”中介绍过,此处不做赘述。



近期钓鱼团伙相关样本预警——第三弹 近期钓鱼团伙相关样本预警——第三弹 近期钓鱼团伙相关样本预警——第三弹




防护



该家族样本具备较强的免杀能力,目前天擎已支持对样本进行查杀。

近期钓鱼团伙相关样本预警——第三弹





IOCs



HASH:

36af860903d1ed2a00b471a93a15319a

44f50973ac66fd83be9411d6ab53446f

468fb62fc649099a0f36dd1456025b3d

9458bfab1631a8272e3515e36d3b97f9

cc8f445daed29dfcacf9e96ef8a0750c

c6c2ceda15f59ea3d61a1a23a5b0b36f

3a4b8d36c7bee31233dc32c50842dcf5

2cd4c7447f15912a1a151fd0ee7ae3f7

de05f649741c79a7864684b8b1954a2a

65c06d39a4683c018dfab34339216668

245ef358e384f40caf1c178b4825f029

a8af8ddc009da067785bb17489e29c4e






C2:

112.213.117.55

192.253.237.20

27.124.11.108: 1523

27.124.11.222: 1523

45.204.84.84: 1523

103.127.83.61: 1523

192.253.237.20: 1523

192.253.237.35: 1523

192.253.237.90: 1523

202.146.218.59: 1523





附录



奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。


奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。



近期钓鱼团伙相关样本预警——第三弹

原文始发于微信公众号(奇安信病毒响应中心):近期钓鱼团伙相关样本预警——第三弹

版权声明:admin 发表于 2023年4月5日 下午12:00。
转载请注明:近期钓鱼团伙相关样本预警——第三弹 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...