记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

黑产团伙金指狗技术升级,使用Nday漏洞发动组合拳攻击

2020-11-16 10:32

概述

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现之前披露过的金指狗木马架构又转入活跃状态,更新了漏洞组件,在执行链中首次出现了该团伙使用的新型Loader程序,该架构主要出现在全球华语地区。

新版本的木马架构依旧延续了良好的免杀效果,使用Total VideoPlayer栈溢出漏洞执行后续shellcode,抛弃以往使用的Photodex ProShow Producer软件栈溢出漏洞,从被修改过的带有数字签名的文件中解密数据,经过几轮内存加载后最终运行大灰狼远控,远程控制受害者电脑。

由于本次使用的栈溢出漏洞并未被厂商纳入监测范围,故奇安信病毒响应中心判断危害较大,为防止威胁进一步扩散,奇安信病毒响应中心负责任地对该木马架构进行披露和分析。

样本分析

执行流程如下

样本信息如下:

文件名

MD5

Packer/compiler

类型

月会员充值亏损报表.rar

cde0a6831c6e4908acbcc84bc481a6e6

None

rar文件

VT查杀效果如下,从上传到现在已经过去了一个多月,但VT上只有三家报毒。

诱饵文件如下:

压缩包内容如下:

解压后显示如下,其余文件被隐藏:

各组件功能如下

文件名

MD5

功能

月会员充值亏损报表.com

de2052aae5a5915d09d9d1ede714865c

带有漏洞的Total Video Player播放程序

TVPSkin.dll

66759c30143666d21dd98351df325c76

漏洞程序运行组件

TVPPlayList.dll

984527c34129e7c36ae4d2b770de2f16

漏洞程序运行组件

hskin.dll

1de37ff829502f5cdeffd86e5ddc5351

漏洞程序运行组件

LastPlayList.m3u

a66260d226264bab3a25d59b6b8ab557

漏洞程序运行组件

Settings.ini

280a4374ac1aeee3588d4d98625dca7b

漏洞触发文件

lnk.dll

f599e859f387d445c8133a9ed21ad423

Lnk文件指向Total Video Player播放程序

X

3509d5d195e850726e60eb445a3828be

第二阶段Shellcode

A

f2c70621b609d53eed0f7324de020726

经过修改带有数字签名的文件

gifa

3a0464f9e8dd31fb47d4c8dfc9959393

加密存放的CopyLoader

jpg

e6c6c42d044e208ab3696d585e34d75b

诱饵文件

月会员充值亏损报表.com实际上为带有漏洞的Total Video Player主程序

攻击者将其改名为com后缀的目的是为了掩盖播放器的图标,在exploitDB上可以看到该软件存在多个漏洞,本次活动所使用的为Settings.ini配置文件导致栈溢出

Settings.ini文件内容如下

在主程序执行过程中会读取Settings.ini 中[AssociateType]的值用于让加载play back模块使执行流到达漏洞所在位置

漏洞出现在主程序初始化界面的过程中

会读取Settings.ini文件中的[Support Groups]的值,作为参数传入402D80中

调用不安全的函数sprintf将[Support Groups]的值写入栈,而且并没有对V3 的值进行有效的验证从而导致了当V3等于-1时执行delete函数时触发异常导致shellcode执行,非常经典的栈溢出漏洞。

覆盖的SEH如下

会跳转到hskin.dll模块中,pop两次后执行后续的shellcode

动态获取API后,读取同目录下的X文件并执行第二阶段shellcode

接着读取同目录下的经过修改并带有数字签名的A文件,经过简单的异或操作揭秘出一个PE文件

MD5

Packer/compiler

timestamp

1afec41adcb1baaea66431748c0c1f5d

VC

08/26/2020 04:59:10am

我们将其命名为gifaLoader,读取同目录下的gifa文件并解密

之后进行进程替换,替换后的PE如下

MD5

Packer/compiler

timestamp

55d5b22553748c3cbe7eaeccb6a06308

VC

08/29/2020 04:06:32am

为该组织常用的CopyLoader,第一次执行时将相关组件复制到C:\Users\Public\keleba\或者C:\Users\Public\Downloads\目录下。

弹出诱饵文件

当以C:\Users\Public\keleba\下的svchost.exe启动时会进入反射式DLL注入流程,内存加在另一个PE

PE信息如下:

MD5

Packer/compiler

timestamp

ed557845b1f1df8508f5f7c124e61f4c

VC

09/02/2018 06:33:50am

样本为经过修改的大灰狼远控,运行时会还会将cmd.exe重命名为QQgame.exe移动到C:\Users\Public\keleba\目录下并启动,进行伪装,之后创建线程在线程中启动远控模块

C2:202.61.84.30:8880

关联分析

通过关联,我们找到了该金指狗投放的其余样本

文件名

MD5

Packer/compiler

ITW

갛홍.exe

c66c5ee7edb694ad5b9775f0a7047656

SFX

dsp

b2d875e1d4a1372ee375fbd9a31503e7

Zip

www.xssmsyk.com:99/dsp

均使用了老的漏洞组件即利用Photodex ProShow Producer的栈溢出漏洞

其中名为Dsp的压缩包还包含了一层DLL-SideLoading执行链,增加了网络验证流程。

白签名的暴风影音5播放器加载StormPlayer.dll

会读取并解密同目录下的RW.txt文件

解密逻辑与样本分析部分的解密逻辑对比

解密的PE如下:

MD5

Packer/compiler

timestamp

8c665c98e8ed185f9877faaaeaab6f7c

VC

07/20/2020 08:32:40am

检测与C2的连通性之后拼接URL

URL如下:

www.xssmsyk.com:99/XiaoMaYZ/getinfo.asp?name=12704408365DSP&password=12704408365DSP

判断返回的数据是否包含“12704408365DSP”字符串

如果包含则调用ShellExecuteA执行Lnk文件

Lnk文件指向SX\ProShowProducer\CodeAlert.exe,该文件是带有漏洞的Photodex ProShowProducer软件,之后进入漏洞利用流程与上述类似

C2:

118.107.43.58:1527

106.54.88.79:1527

归属分析

本次活动漏洞利用第二阶段shellcode与上半年活动的对比

经过修改带有数字签名的文件A对比

CopyLoader对比

故我们将本次活动与金指狗团伙关联在一起,除此之外我们还发现执行链中没有持久化的行为,只是在下载目录下释放Lnk文件,这可能意味着该团伙并没有掌握过启动的方法,

在压缩包中还发现了名为Z和gifz的文件,经过手动解密gifz后发现是将CopyLoader的变种,取消了复制的功能,以上两个文件并不会被调用,可能是攻击者进行测试的文件打包时忘了删除

总结

今年以来随着金眼狗、金指狗等高级黑产团伙的活跃,将黑产对抗提高到一个新高度,从攻防角度来讲,我们认为,这种现象的出现与流行,就要求国内安全厂商必须不断提升自身产品水平。与此同时,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

IOC

文件Hash:

cde0a6831c6e4908acbcc84bc481a6e6

1afec41adcb1baaea66431748c0c1f5d

55d5b22553748c3cbe7eaeccb6a06308

ed557845b1f1df8508f5f7c124e61f4c

c66c5ee7edb694ad5b9775f0a7047656

b2d875e1d4a1372ee375fbd9a31503e7

8c665c98e8ed185f9877faaaeaab6f7c

C2:

118.107.43.58:1527

106.54.88.79:1527

202.61.84.30:8880

www.xssmsyk.com

声明:本文来自奇安信威胁情报中心,版权归作者所有。


知识来源: https://www.secrss.com/articles/27069

阅读:62152 | 评论:0 | 标签:漏洞 攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“黑产团伙金指狗技术升级,使用Nday漏洞发动组合拳攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云