菲律宾 博彩 色情 远控 大灰狼
【微步在线报告】疑似针对菲律宾博彩业的定向攻击
微步情报局 2019-04-03 18:02:09 2553人浏览

TAG:菲律宾 博彩 色情 远控 大灰狼 香港

TLP:白(报告转发及使用不受限制)

日期:2019-03-28

概要

近日,微步在线威胁情报云监测发现一批利用色情话题传播远控木马的恶意样本,而诱饵 文件名称多涉及菲律宾博彩业相关话题,疑似用于针对当地博彩行业从业人员的定向攻击。具 体情况包括:

 相关木马曾以“马尼拉趴赛抓人现场”、“王美琳裸照曝光”等名称为诱饵,并辅以同类图 片作为图标,具备较强迷惑性和定向性

木马使用白加黑技术躲避检测和查杀,其中利用的白文件为谷歌 Chrome 浏览器组件, 木马则是 gh0st 的变种“大灰狼远控”

木马作者至少于 2018 年 8 月起开始制作投放此类木马,并使用了数十台香港服务器作 为 C&C 地址。

背景

近日,微步在线威胁情报云监测发现一批利用色情话题传播远控木马的恶意样本1,除文件名外,攻击者还精心制作了样本文件的显示图标,具备较强的诱惑性,如下图所示:

image.png

样本分析

本报告以其中一份名为“两个中学生视频流出.exe”为例对此类样本进行分析。原始 文件的基本信息如下所示:

文件类型 page2image46236656PE32 executable (GUI) Intel 80386, for MS Windows
文件大小 page2image529179522766848
MD5 adeb2300482f583d7d2711a71d28b1ec
SHA1 7b8727831fdeb85de2052d03ab5578394b6ff499
SHA256 ad6162fc5bf047be45e471adfb633e69259bd39559c2a589f21bb1e6b9510246page2image52829120
编译时间戳 2019-01-26 18:11:22
PDB路径 E:\360安全浏览器下载\HHHC\Release\HHHC.pdb
该样本执行流程如下所示: 

image.png

image.png

1、样本执行后会在C:\Windows\目录下写入配置文件Hao,内容为端口转发和自启动项注 册表字符串:

Clipboard Image.png

2、将谷歌Chrome浏览器组件“chrome_frame_helper.exe”重命名后写入 “C:\MyYajie\svchotst.exe”路径,并将恶意代码文件命名为“chrome_frame_helper.dll”存 放至C:\Windows\目录中,然后调用regedit.exe将写入的“C:\Windows\Hao”注册表导入到 系统注册表中。

Clipboard Image.png

Clipboard Image.png

3、系统重启后会自动启动Chrome白文件(svchotst.exe),该文件会调用 “chrome_frame_helper.dll”的“StartUserModeBrowserInjection”接口,然后执行三个命 令启用系统自带的TCP端口转发功能,转发本地127.0.0.1:38358到恶意C&C主机103.218.3.137:52099:

Clipboard Image.png

4、“chrome_frame_helper.dll”从内存中解密出后门DLL_1,调用 “StartUserModeBrowserInjection”函数接口:

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

5、DLL_1会使用密钥"Kother599"解密内存中的数据,然后调用“DllFuUpgradrs”函数加 载最终的大灰狼后门DLL_2:

Clipboard Image.png

Clipboard Image.png

6、大灰狼后门通过与C&C服务器103.218.3.137通信,实现文件管理、窗口枚举、屏幕查 看、语音监听、远程执行命令、回传文件等远程控制的功能:

Clipboard Image.png

关联分析

通过样特征关联发现,木马作者自2018年8月以来已利用同样的手法制作了大量木马文 件,除色情话题外,还使用钉钉、TeamViewer、Tor浏览器、美图秀秀和Excel、JPG、PNG等 正常软件、文档作为诱饵。分析发现,这批均使用IP直接作为C&C地址,且绝大部分IP地址 位于香港地区,更新频率较高。

Clipboard Image.png

分析发现,攻击样本使用的文件名多为菲律宾博彩业相关话题,疑似针对当地博彩行业从 业人员的定向攻击,相关文件列表如下:

文件名 page8image52542848编译时间 C&C
马尼拉趴赛抓人现场.exe page8image525932162019/3/9 1:35page8image52594368 154.92.15.135:52099
黄色站点.com 2019/2/7 5:54 103.204.179.81:52099
两个中学生视频流出.exe page8image526460162019/1/26 10:11 103.218.3.137:52099
王美琳裸照曝光.rar page8image526544642019/1/26 10:11 103.218.3.137:52099
注册截图20181220184846.png.com 2018/12/9 12:22 222.186.21.96:38338
威胁指标(IOC)
ip地址(11) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/2 >
Hash(24) 检测结果 关联样本 微步标签 < 1/3 >
dongyue 2019-04-16 16:27:16 回复
gg