概述
黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中,并诱导财务将钱转到指定的账户中,进而实现获利的目的。
样本分析
当用户双击CHM样本后,将弹出一个Windows警告。
用户点击“是”之后恶意代码开始运行。
基本信息
|
MD5 |
06ed2c30954614fe1e8e9e8bd4619510 |
|
SHA256 |
172dcc050fd15c75b6e03ed55c67871d9197cf4b3b337c89623d2be41b9850c4 |
|
文件类型 |
CHM |
Test.html首先在开头使用JS定义了一个将base64编码转换为二进制流的函数:
随后又定义了stage_1、stage_2和stage_3三个变量的内容及大小:
最后尝试创建一个WScript.Shell对象,用于操作Windows Shell。通过shell读取注册表中的.NET Framework版本号,如果读取失败则将stage_3赋给stage_1,并将版本号设置为v2.0.50727。随后将进程环境变量COMPLUS_Version设置为.NET Framework版本号。尝试将stage_1(经过Base64编码的二进制数据)反序列化为对象。
如果以上步骤中出现任何异常,则尝试将stage_2(经过Base64编码的另一个二进制数据)反序列化为对象,但不会抛出任何异常。
被转化为二进制流的base64字符串在使用BinaryFormatter.Deserialize函数反序列化后将直接执行其中的代码。
阶段一
stage_1的代码如下所示:
Stage_2与stage_3的代码功能相似,首先将一个.NET模块加载进内存:
程序首先添加任务到keyValuePairs字典中,其中键为https://muchengoss.oss-cn-hongkong.aliyuncs.com/ + remotePath,值为”C:Users[当前用户名]Searches”下的一个随机生成的文件夹。+ fileName。将https://muchengoss.oss-cn-hongkong.aliyuncs.com/与“svchost.exe”,“libcef.dll”,“libcef.png”,“decod.exe”,“cache.dat”拼接。
随后调用Shellcode类中的Load2方法加载shellcode。
首先判断系统架构是64位/32位,两种情况分别加载不同的shellcode。
阶段二
Shellcode将动态解密出Urlmon.dll并调用UrlOpenBlockStreamW函数从拼接好的URL字符串远程下载svchost.exe、libcef.dll和libcef.png。
先用Shellexecute open这个文件夹,然后隐藏这个文件夹的窗口
再通过findwindows查找定位这个目录的窗口这个快捷方式文件
最后SendMessage点击运行这个lnk文件。
模拟点击执行的目的是断开进程链,防止EDR监控到后续的行为。
阶段三
Lnk文件的作用是启动svchost.exe。
Svchost.exe中调用libcef.dll的导出函数有十几个,但实际上这些函数的内部都跳转到了sub_691550E0。
阶段四
对sub_691550E0进行分析:
将libcef.png解密成dll文件,并创建新线程开始执行dll中的fuckyou函数:
根据dll中的字符串信息判断,应该是根据Ghost远控源码改造而成。
使用的数据传输协议也是IOCP。
获取计算机的GUID
对一些应用程序进行监控以及用户数据的收集,包括Chrome浏览器、QQ浏览器、火狐浏览器、360安全浏览器、搜狗浏览器、Skype
检测杀软进程并关闭
修改注册表添加自启动
释放file_update文件并将其加载进内存运行
设置UAC访问策略
文件遍历
将自身伪装成Windows update.exe。
键盘记录
获取systeminfo
获取计算机用户名
与ipconfig.cc通信,获取本机IP地址
与C2:103.210.237.33:65422通信
最后保持一分钟发送一次心跳包的频率确认主机存活
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
06ed2c30954614fe1e8e9e8bd4619510
d1a88258376133409e0df56740683d30
0a5b0607f6db1e8c9e3d2ca0da5c8d58
b2d085ab9171d577f8b36cf58090278b
URL
https://muchengoss.oss-cn-hongkong.aliyuncs.com/
https://muchengoss.oss-cn-hongkong.aliyuncs.com/TG.exe
https://muchengoss.oss-cn-hongkong.aliyuncs.com/cache.dat
https://muchengoss.oss-cn-hongkong.aliyuncs.com/decod.exe
https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.dll
https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.png
C2
103.210.237[.]33:65422
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):目标财务!国内黑产团伙开始投递CHM诱饵
