事件概述
近日監測到一個僞裝成國外社交軟體“Telegram”官網的釣魚活動。該釣魚網站可通過通路者的浏覽器辨別下發不同的惡意後門程式。通過相關溯源分析我們發現本次攻擊活動與黑灰産團夥“金眼狗”存在極大關聯。
本次攻擊活動流程如下圖所示:
組織背景
金眼狗組織是一個主要針對東南亞地區博彩推廣相關人員的黑灰産團夥。該組織最早于2019年由奇安信安全團隊披露,且在此後的幾年時間裡多次作案,作案目标主要以經濟利益為驅動力,黑産業務涉及竊密、挖礦、DDoS等多個領域。
樣本分析
截止本文發稿,僞裝成Telegram官網的釣魚頁面仍處于正常通路狀态,該頁面可向目标使用者提供不同版本的中文版Telegram安裝程式。這也側面反映出本次攻擊活動主要針對使用中文的使用者群體。
下載下傳後的Windows安裝包不帶數字證書簽名,且安裝完成後會在使用者“%AppData%”目錄下建立一個以“TG-”開頭的檔案目錄:
随後在桌面建立一個虛假的TG快捷方式,誘導使用者點選,通過該方式可有效阻止沙箱等非互動系統的檢測操作:
Telegram.lnk指令行如下所示:
| 混淆:%AppData%\TG-B51AfF8C018c\appU.exe appU.dll,OpenURL appr.lnk 正常:%AppData%\TG-B51AfF8C018c\RUNDLL.EXE URL.DLL,OpenURL appr.lnk |
appr.lnk檔案使用相同套路進行混淆:
| 混淆:%AppData%\TG-B51AfF8C018c\appR.exe /s /n /u /i:appR.dat appR.dll 正常:%AppData%\TG-B51AfF8C018c\regsvr32.exe /s /n /u /i:appR.dat scrobj.dll |
appR.dat是一個包含js混淆腳本的xml檔案(通過進行混淆)
其主要功能是拷貝TG目錄下的“KB1”和“KB2”檔案到系統啟動目錄,實作持久化:
每次系統啟動時,兩個lnk檔案都會分别執行%Public%\reloc路徑下的利用程式,在該利用鍊中,金眼狗使用了“雙DLL側加載”技術執行後門程式。相對于傳統的DLL側加載技術,該方式多l一個中間環節,用于延長程序利用鍊與載荷執行的時間(套娃)。
SILan.exe與autorun.exe均屬于正常程式。
SILan.exe執行後會以子程序方式調用autorun.exe,然後再加載同目錄下的language.dll,該dll檔案作為Loader加載templateG.txt檔案,在記憶體中解密出Shellcode,最終反射加載ServerDll.dll後門執行。ServerDll.dll是一個包含多個後門功能的遠端控制(RAT),惡意代碼由 “Fuck” 導出函數執行。
後門執行時首先擷取計算機名,然後建立系統資料庫鍵值用于存儲配置資訊。如果擷取計算機名失敗則使用“UnKnow”作為路徑,随後寫入目前系統時間,用于辨別後門安裝日期。最後通過++運算,建立互斥體保證單執行個體運作。
| 系統資料庫:HKEY_CURRENT_USER\SOFTWARE\[ComputerNameor UnKnow] |
除了“Time”系統資料庫鍵外還有如下鍵值:
| 鍵名 | 描述 |
| Time | 辨別後門安裝日期 |
| CopyC | 更新C2位址 |
| ARPD | isARDll、PluginMe、getDllName,以‘|’分隔 |
| ZU | 擷取Extensions(以太坊錢包)插件資訊 |
| Remark | Hostname |
讀取“CopyC”系統資料庫資料,如果成功則使用Base64和Xor 0x5解密C2位址,否則使用寫死C2位址:“v2.pic447.com:45500”
建立線程執行其餘後門操作,該後門程式主要包含如下惡意功能:
| 指令 | 功能描述 |
| 0x0 | 關機、重新開機 |
| 0x1 | 設定全局辨別 |
| 0x2 | 設定系統資料庫鍵值 “Remark” |
| 0x3 | 設定系統資料庫鍵值 “ZU” |
| 0x4 | 清除事件日志 |
| 0x5 | 擷取Extensions(以太坊錢包)插件資訊 |
| 0x6 | 在“WinSta0\\Default”桌面下建立指定程序 |
| 0x8 | 使用ShellExecute執行指令(視窗顯示) |
| 0x9 | 使用ShellExecute執行指令(視窗隐藏) |
| 0x70 | 擷取剪貼闆資料 |
| 0x71 | 設定剪貼闆資料 |
| 0x7D | 使用ShellExecute執行CMD指令(視窗隐藏) |
| 0x7E | 建立檔案資料并執行 |
| 0x80 | 設定系統資料庫鍵值 “CopyC” |
| 0x23,0x25,0x65-0x6F,0x7F | 檢查getDllName、isCSDll、PluginMe、ARPD、isARDll |
組織關聯
通過多個次元的關聯分析,我們以較高可信度将本次攻擊活動歸納為東南亞黑灰産團夥金眼狗組織。
例如,在初始載荷投遞階段該組織已經不是第一次利用Telegram網站進行釣魚活動。此外本次攻擊活動中的xml檔案與此前金眼狗組織在曆史攻擊活動中使用的檔案内容高度重合,差別是早期樣本使用VBScript作為腳本解釋語言,且腳本代碼未做加密混淆處理。有意思的是XML辨別符與描述資訊中的“Bandit”内容,可以說是相當直白了。
最終階段執行的後門載荷“ServerDll.dll”,在該組織曆史攻擊事件中也曾出現過。早期版本使用的是.NET平台。并且兩者都有從系統資料庫中存儲配置資訊,讀取C2的操作。
IOC
103.116.15.2
v2.pic447[.]com
https://www.telegramos[.]org/
更多IOC也可通過聯系我們擷取~
防護建議
個人使用者也可根據如下項目進行風險自查:
| 1、檢查系統開始啟動檔案夾中是否存在可疑啟動檔案 2、檢視使用者“%AppData%”目錄下是否存在以“TG-”開頭的檔案目錄 3、檢視“%Public%”目錄下是否存在可疑檔案夾,以及程式利用鍊 4、檢視裝置網絡流量,排查可疑C2或IP位址通訊(v2.pic447[.]com:45500) 5、排查是否存在如下系統資料庫項與相關鍵值内容:HKEY_CURRENT_USER\SOFTWARE\[ComputerName or UnKnow] |
from https://www.freebuf.com/articles/mobile/367405.html