“游蛇”黑产团伙近期钓鱼攻击活动分析

表 1‑1 攻击活动概览

为有效防御此类攻击，提升安全防护水平，安天建议个人及企业采取如下防护措施：

2.1 个人防护

2.2 企业防护

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对该恶意软件的有效查杀。

图 2‑1 安天智甲实现对用户系统的有效防护

在此次攻击活动中，该团伙投放的恶意程序利用图标伪装成图片文件，运行后使用WMI查询CPU温度以检测当前环境是否为虚拟机，检测通过后从C2服务器中获取多个载荷文件。该恶意程序利用其中的Videos.jpg掩饰其恶意行为，让用户误认为自己打开的确实是一个图片文件。

图 3‑1 攻击流程图

4.1 恶意文件下载器（清单文件.exe）

清单文件.exe利用图标伪装成图片文件。

图 4‑1 伪装成图片文件

该程序运行后，使用WMI查询CPU当前温度，从而检测当前环境是否为虚拟机，若不能够成功查询则结束当前进程。检测通过后在C:\ProgramData中创建install.inf文件作为感染标识。

图 4‑2 查询CPU温度

创建install.inf文件后，该程序从C2服务器中获取载荷文件并进行指定的操作，最终删除36.exe。

图 4‑3 获取载荷文件

4.2 36.exe

36.exe中含有名为“TXT”的资源，其中包含经过混淆处理的Shellcode。

图 4‑4 “TXT”资源

该程序将“TXT”资源内容写入C:\1.txt文件中，读取并转换为Shellcode写入内存中执行。

图 4‑5 执行Shellcode

该Shellcode解码并执行一个可执行程序，该程序遍历当前系统中运行的进程，检查是否存在360Tray.exe进程，随后尝试更改权限并最终为C:\ProgramData\Videos.exe创建计划任务。

图 4‑6 创建计划任务

4.3 Videos.exe

Videos.exe从C2服务器中获取载荷文件并执行。

图 4‑7 获取载荷文件并执行

4.4 WinService.exe

WinServices.exe读取C:\ProgramData\service.log文件的内容，将其转换为Shellcode并写入内存中执行。

图 4‑8 执行Shellcode

该Shellcode中含有最终的DLL文件，调用该DLL文件的导出函数对其进行加载。

图 4‑9 调用导出函数

4.5 最终载荷（Gh0st远控木马变种）

最终执行的DLL是Gh0st远控木马变种，使用创建服务、添加至开机启动文件夹两种方式实现持久化，创建的服务名称为“Rsccea qocyaugm”。

图 4‑10 实现持久化

运行时，按照“IP:端口:服务名称”的格式创建互斥量，随后与C2服务器进行通信，并使用指定的XOR算法对接收的消息进行解密。

图 4‑11 解密接收的消息

该DLL具有下载执行其他文件、监控剪贴板、指定路径文件窃密、键盘记录、远程控制等多种功能。

图 4‑12 其他功能

针对攻击者投递远控木马的完整过程，安天梳理本轮攻击事件对应的ATT&CK映射图谱如下图所示：

图 5‑1 技术特点对应ATT&CK的映射

攻击者使用的技术点如下表所示：

[1] “游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析