黑产团伙利用SEM渠道投放CS远控木马

逆向病毒分析 1年前 (2023) admin
327 0 0

近期毒霸安全团队监测到Cobalt Strike远控告警激增,数小时内高达百起。Cobalt Strike作为一款后渗透工具,一般用于定向攻击特定目标,较少出现大范围感染。溯源发现这些用户从仿冒的SEM落地页:“http://zky[.]hfyswlkj[.]top”下载了名为:“百度云盘安装包.exe”,”网盘安装包.exe”,”钉钉安装包.exe”的恶意程序。通过关键字:“百度网盘下载”,”钉钉下载”,”office”, “pdf”等在搜索引擎上找到多个页面一致的最新SEM仿冒站点,且排行在第一位置,下载的都为携带远控的恶意程序,但未发现包含Cobalt Strike。

黑产团伙利用SEM渠道投放CS远控木马

深入告警数据挖掘发现存在时间点的聚集,当时用户访问的SEM落地页只在特定的时间段才能下载到携带Cobalt Strike的恶意程序。传播时间点共出现3次,每次持续时间在1~2小时左右,可以看出黑产团伙在小范围测试。

黑产团伙利用SEM渠道投放CS远控木马

下载的恶意程序使用pyinstaller打包器打包,并使用vmprotect和themida强壳保护,解包后的核心pyd模块也同样使用强壳保护对抗分析。原始安装包还拥有有效的数字签名,这也使得它的免杀效果大幅提升。运行后最终会执行Cobalt Strike 的Http Stager Shellcode,再拉取beacon后门模块在内存中执行,最新版本还同时携带了”大灰狼“远控模块。

样本分析

7月27日传播的样本使用themida加壳,且添加无效签名。

黑产团伙利用SEM渠道投放CS远控木马

7月31日和8月1日传播的具有有效数字签名:”CleverSoar Electronic Technology Co., Ltd.”

黑产团伙利用SEM渠道投放CS远控木马

以有签名为例,样本使用pyinstaller打包,解包后内部核心功能编译成pyd,并使用vmp加壳保护。运行后会复制自身到临时目录下为”d2dAdawdc30u9ex.exe”再执行,随后在内存中释放出两段shellcode, 一个用于加载CS beacon, 另一个加载”大灰狼”远控。整个流程如下:

黑产团伙利用SEM渠道投放CS远控木马

CS stager与C2:”http://update[.]youjucan[.]com:2271/jquery-3.3.1.slim.min.js”通讯下载beacon模块,CS服务端配置了staging process(分段过程)模仿jQuery请求,Beacon payload被混合到jQuery javascript文本块中。

黑产团伙利用SEM渠道投放CS远控木马

payload执行后自解密出beacon模块,但beacon模块被特殊处理,代码段、导入表函数名和导入dll名都被异或加密,加载器加载时会动态解密修复,并去除pe头,防止内存扫描。

黑产团伙利用SEM渠道投放CS远控木马

除了加载CS外还有一个分支负责内存加载”大灰狼”远控变种,而在7月25日的版本中并未发现。“大灰狼”使用的是外部流传较广的 “V9.5″版本,通讯C2:”xy1.youjucan[.]com”。

黑产团伙利用SEM渠道投放CS远控木马


IOC:

    C2:

     zky.hfyswlkj[.]top

     update.youjucan[.]com:2271

     xy1.youjucan[.]com

    143.92.53.167

    md5:

    e242ca6cc42037a611704d1a3d44aa6a

    cf275313b61ff8a499b7b663edad1571

    117164443ecd1475bd76b22b32eb7012

    aca89aff6f48217465078cb4105bdc67



原文始发于微信公众号(鹰眼威胁情报中心):黑产团伙利用SEM渠道投放CS远控木马

版权声明:admin 发表于 2023年8月7日 下午8:48。
转载请注明:黑产团伙利用SEM渠道投放CS远控木马 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...