国庆假期期间,想必大家的朋友圈又是被各种出国游刷屏,巴厘岛潜水、普吉岛冲浪、印度尼西亚看bromo火山……对于一些没有机会出国旅行的朋友来说,通过浏览国际网站,也成为了他们了解世界的一种方式。然而,你有没有想过,你的漫游行为,可能被人盯上了,这些人正通过这些软件的后门窥探你的隐私,甚至窃取你的个人信息。
一、本文关注点
-
攻击者利用SEO提高搜索排名,短时间内曾排名到百度clash搜索的前三名
-
Winos4.0后门的使用以及RPC相关手法的出现,与银狐有较高相似度
-
一些有趣的反沙箱手法,以及利用Restart Manager对防病毒软件进行削弱
-
在归因分析过程中,关联到同源的Operation Dragon Breath后门,在下篇中分享
二、文件释放流程简图
三、加载过程
加载完成后进行base16解密,将Payload十六进制字符还原成字节;
检查PE文件标识,申请内存并写入Payload数据,重定位修复PE文件;
修复完成后,遍历导出表函数,循环匹配SignalChromeElf函数名称;
通过自实现函数935230完成函数指针获取,完成反射调用;
进入SignalChromeElf函数内部,此处是加载器代码和一系列的环境检查和防御绕过操作;
1、权限提升
验证当前程序令牌是否具有管理员权限,尝试以管理员权限启动;
若程序权限不足,10002AC0函数会尝试执行runas命令进行权限提升;
2、环境验证
首先创建互斥体并对进程名称验证,若存在任意一个,则视为加载器或后门已经运行,退出当前进程;
建立网络连接,请求百度域名,解析返回包中的Date字段并完成时间戳格式转换;
通过HEAD方法请求,得到互联网当前时间(攻击者喜欢通过各种合法域名或接口代替NTP时间获取)
若与本地存在较大时间差则弹窗退出程序,主要用于对抗沙箱加速;
3、后门及持久化
首先分别创建几个长度不同的随机字符串,用于后续命名后续存放相关组件的目录;
进行预定义路径字符拼接和创建,包括C盘根目录、ProgramData、Public子目录;
创建过程中会释放squic.ss过渡文件,此文件中包含lnk和部分程序数据,通过再次读取释放完整后门组件;
在C:ProgramDataMylnk中写入dick.lnk文件,通过COM接口调用wsShell对象来运行;
MachineID:desktop-c5udfqv、win-20240812dkl
后门组件所在的路径会创建1.lnk用于注册表持久化,运行完成后自动删除;
%windir%system32reg.exe add "HKCUSoftwareMicrosoftWindowsCurrentVersionRun" /v GoogleUpdata_Service /d "C:programdataMylnkdick.lnk" /f
4、防御削弱
此部分代码比较有趣,首先扫描360tray.exe杀软进程,若存在则会启动另一个已释放的名为vgc.exe的程序;
vgc.exe实际是一个仅会弹错误窗口的白进程,但后续会进行一系列操作来扫描这个窗口,并将窗口属性修改为隐藏样式;如果过程中此窗口被自动确认或者关闭,那么整个程序将停止运行(某些沙箱已经具备自动点击能力)
接着使用 Restart Manager 机制完成对360tray.exe进程的关闭(12.0及以下版本有效),此方法是为数不多的R3 Kill技术,属于API滥用;RM是Windows操作和优化系统资源的一种机制(详细参考Win32文档)
RmRegisterResources-> RmGetList-> RmShutdown-> RmEndSession此技术常出现在勒索软件中,例如Conti、Lockbit、BlackSuit 等,用于解除正被应用程序占用的待加密文件;
使用RmRegisterResources函数,将杀毒软件或需要解锁的文件路径以资源形式注册到会话中;
注册完成后使用RmGetList获取结构体信息,同时注册表中也会新增部分Session信息,可考虑作为监控项;
最后调用RmShutdown函数来关闭所有与注册资源相关的进程,会话结束后注册表会自动清理;
5、防御绕过
如果RM关闭360杀软失败,会创建防火墙屏蔽规则并释放另一组Agicer.exe白加黑持久化组件;
首先增加两条策略用于关闭出入站流量,用于屏蔽本地杀软与云引擎的通信;
使用COM对象创建IHxHelpPaneServer接口,通过Execute方法调用白加黑进程启动后门,实现断链操作;
利用RPC接口重新注册并创建持久化任务,以绕过注册表拦截,后门程序启动后解除防火墙规则;
6、后门远控
白加黑组件运行后EduWebContainer.dll读取并解密Ensup.log得到Payload载荷;
载荷为Winos4.0的上线模块.dll,申请内存并调用同名SignalChromeElf函数运行;
|p1:地址1|o1:端口1|t1:通信1|p2:地址2|o2:端口2|t2:通信2|p3:地址3|o3:端口3|t3:通信3|dd:等待|cl:重连|fz:分组|bb:版本|bz:备注|jp:键盘|sx:沙箱|bh:保护|ll:流量|dl:入口|sh:守护|kl:傀儡|bd:特别|
通信协议
// 外层协议struct Packet{struct Header{PBYTE nBufLen; // 载荷大小PBYTE password[10]; // 算法密钥}LPBYTE Param[0]; // 通信内容}// 加密算法for (int i = 0, j = 0; i < (int)nSize; i++){((char*)m_pPtr)[i] ^= (password[j++]) % 456 + 54;if (i % (10) == 0)j = 0;}
载荷完成初始化后,解密的C2配置如下:
|p1:154.213.71.4|o1:6666|t1:1|p2:154.213.17.4|o2:8888|t2:1|p3:154.213.71.4|o3:88|t3:1|dd:1|cl:1|fz:|
7、更新迭代
在后续迭代样本中,新增通过msi安装包程序调用加载器dll的手法,且为进一步伪装,内置正常的exe安装程序;
进一步加强了对Ensup.log的加密算法, 对文件内容进行块级异或解密;
@echo offreg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v EnableLUA /t REG_DWORD /d 0 /fecho UAC has been disabled. Please restart your computer for the changes to take effect.pause
四、组织归因
结合微步情报与我们的判断,此组织很可能属于银狐的一个新分支,攻击手法与历史样本对比有一定差距,且活动时间较短;在拓线分析过程中我们发现,同个跳转域名下的资源出现了Operation Dragon Breath(xxx-Q-27)组织样本,虽然手法不同,但不排除两个组织有一定关联性。
五、终端检测
微步的OneSEC可识别此类后门的内存加载和异常行为,并具备威胁情报云端同步的能力;
六、情报分析
拓线过程中发现大量的高相似度后门,此类样本从8月开始出现,但很多变种类型实际未上传或公开;
可以通过Graph来下载标准STIX格式的情报信息。
https://www.virustotal.com/graph/g2e3b92a090654263bbf0a09294779dd8c61eceb9de554013965cd29a26b5c1c8
七、活跃IOC
-
154.213.71.4 -
154.26.210.70 -
202.146.220.95 -
7382cc5fb9894a1d23eee4f8f7e19494 -
8d5d6bfe0000f45614808a0d30c62f79 -
617cd6206a0745cd6aae92b09f8b4c2a -
820ed38e2e029516e35ae689df6bc385 -
09a6aad885646cae85c53b69a11907bf -
https://clash-apps[.]com -
https://www.heimao-134[.]com/pCpHh33mb8 -
https://www.heimao-134[.]com/MIQpyvCGj5 -
https://www.heimao-134[.]com/MbKjIECsfb -
https://www.heimao-134[.]com/4xJSKVzrUX -
https://down.baofupay[.]bond/v2rayN-LLa.zip -
https://mady.6yov49bw[.]icu/i4_setups_gw_cYdvI.zip -
https://i4pc[.]top/i4Tools8_v8.28_Setup_x64.zip -
https://softsdownsss.oss-ap-northeast-1.aliyuncs[.]com/aisi.msi -
https://softs-downloads.oss-ap-southeast-1.aliyuncs[.]com/Clash.for.Windows.Setup.0.20.39.msi
原文始发于微信公众号(顺丰安全应急响应中心):你在“漫游”看世界,他们却在小窗口里窥视着你【上】
