内幕曝光!关于我是如何发现APT组织的攻击

百家 作者:顺丰安全应急响应中心 2023-05-25 15:03:05

一、背景

    大家好,我是顺丰的安全研究员PX-04search,和K一样,我也是专注于公司内部的安全事件的响应,攻击手法的研究分析。作为一个安全研究员,我的日常工作充满了挑战和刺激。每天都面对着各种网络安全威胁,而我的职责也是让每个新的攻击事件浮出水面,保护公司的信息资产和系统安全。

    但是就在上周,正当我在办公室悠闲吃着下午茶的时候,公司内部的安全运营平台再次响起了刺耳的高频告警声。
    最初的告警显示的是一个员工终端疑似中毒,正在频繁对外发起恶意域名请求。

    随着事件调查的深入分析,我发现事件远不止终端中毒那么简单,每一条线索都在指向这是一场高度专业化、组织有序的攻击活动。经过深入的调查和取证,最终确定这次攻击与一个2023年开始活跃的APT组织的实体“银狐APT组织”有关。
    没错,我,在公司内网,发现了APT组织“银狐”的攻击!

二、正文

1、团伙分析

    银狐APT又名“谷堕大盗”。

    在2023年上半年活动较为频繁,攻击手法和资源也比较多变,攻击载荷主要以变种Gh0st为主;主要针对国内金融、证券、教育及设计行业,曾通过购买百度搜索引擎广告位、社交软件等传播诱饵文件,进行广撒网式的钓鱼活动,主要目的是为了通过远控实现进一步扩散,窃取用户的个人信息和数据或出售远控点。

2、攻击分析

    通过文件溯源调查分析得知,该文件最早来源于非我司员工。

文件来源小剧场

    【老李是一个淘宝卖家, 当天下午,老李收到客户“坏蛋小峰”私人定制的请求,声称需要定制一件商品,设计图已私下找设计师设计好了,需要加v发给老李。心地纯良的老李当然没有多想,很快就发送了自己的微信并通过了客户的好友申请。

    很快,坏蛋小峰就发来了他的“设计图”,并诱骗老李点击下载他发送的压缩包文件。老李一顿操作猛如虎,点了半天还是没能打开“设计图”。
    于是老李把“设计图”发给了自家媳妇帮忙打开。媳妇疯狂地戳了好几十下鼠标,但脑依旧冷若冰霜。
    媳妇无奈,只能联系最好的顺丰闺蜜帮忙操作下。(正所谓不熟不“坑”)

    毫无意外,闺蜜也没办法打开该“设计图”。

    但闺蜜却因此打开了顺丰安全运营中心的告警铃铛,唤醒了 “为了防止世界被破坏,为了维护宇宙和平”的我。(就是这样,喵~)】

告警追踪:

    通过告警显示,我发现内网员工机器频繁请求外网恶意域名。
    再进一步排查进程日志,我注意到该电脑曾经通过微信下载并两次执行过一个名叫"方案2.zip "的压缩文件。

    这条告警使我心中升起了一股警觉和好奇。这个压缩包里究竟隐藏了什么样的恶意可执行文件?我试图探寻背后的动机和目的。
    于是我开始深入调查这台受感染的电脑,寻找任何线索,任何可以揭示真相的痕迹。
    通过定位并解压中毒电脑上的压缩包,我发现里面包含着一个文件,名叫"5364.exe",这实际上并不是一个方案,而是一个恶意可执行文件!

    我摩拳擦掌,准备与这个恶意程序展开一场斗争,下面是对样本整个利用链的分析过程。

3、样本分析

文件名

@5364.exe

原始文件名

kcleaner.exe

文件说明

垃圾清理

产品名称

Kingsoft Internet Security(金山毒霸)

编译环境

Win32 Visual C++

编译时间

2023-04-28 09:17:31

MD5

6c324e349eae41b4b78f5030ac339d74

样本整体调用示意图:

一阶段:母文件下载使用隐写技术的jpg图片和部分恶意后门程序。
    下载文件:母文件@5364.exe首先调用InternetOpenUrlA,访问brian.jpg恶意文件(阿里云);
创建文件:CreateFileA将brian.jpg文件保存到Public目录;

    隐藏文件:调用GetModuleFileNameA获取当前程序执行路径,获取成功后进行环境校验,同时修改文件属性dwFileAttributes=0x02 隐藏母文件程序,隐藏失败程序退出;

    加载资源:文件隐藏成功后调用LoadStringA函数从资源加载WindowName和ClassName,资源标识符为0x67和0x6d,申请两个长度为0x64的缓冲区位置接收字符;
    注册窗口:调用sub_401AD0函数注册窗口类,指定窗口过程函数sub_402700,注册完成后调用CreateWindowsExA;

    加载载荷:注册完成后等待消息列队回调,进入窗口过程函数sub_402700,读取刚下载的brian.jpg,GetProcAddress函数动态调用VirtualAlloc函数申请内存写入并执行;

    访问资源:在shellcode内部,解密完成后,访问阿里云oss存储桶地址;

    下载资源:从资源地址下载多个恶意程序保存到public目录,并调用ShellExecuteW执行windows.exe;

    下载md.jpg文件,用于window.exe加载的恶意shellcode文件,根据主程序名称下载对应的jpg后门资源(资源不同ioc变化较大),可见服务端包含大量恶意后门资源;

此处省略500行...

二阶段:母文件释放白加黑程序并运行恶意后门。
    释放文件:@5364.exe继续创建目录、释放文件,help.chm、AudioEngine.dll、CCMini.exe,调用CreateFileW在本地首先创建空文件,再由shellcode执行WriteFile函数写入;

落地后的文件目录(包括远端下载和本地释放);

    修改策略:修改浏览器安全策略,将zones\0的值设置为1201,此时浏览器触发脚本下载文件时将不会验证安全性,此功能主要用于隐藏在chm文件中的,恶意javascript脚本下载功能保护;

    启动项:调用Help.chm运行触发注册表启动项写入,运行通过快捷方式触发CCMini.exe;

    CCMini为某易公司的游戏语音程序,附带有效签名,CCMini.exe需要加载AudioEngine.dll调用库函数,此部分主要利用白加黑手法的dll劫持;

    加载dll:在AudioEngine.dll中,首先会判断之前的恶意程序windows.exe是否在运行,如果没在运行,则会创建一个隐藏的控制台来执行dwon1.chm,运行后浏览器触发隐藏在chm文件中的javascript代码,执行文件下载操作;
    当dwon1.chm运行完成后,再次调用cmd程序执行taskkill,关闭主进程hh.exe(正常的windows程序用于加载chm文件);

    触发js: 执行dwon1.chm中隐藏的恶意javascript代码用于重新下载windows.exe、windows.exe资源;

    运行后门:在母程序中brian.jpg被加载后又运行了windows.exe,运行方式与此样本类似,通过注册窗口类运行过程函数,加载9999.jpg文件,并执行了另一个程序window.exe;

window.exe加载md.jpg并运行;

获取信息:Gh0st远控木马变种收集操作系统版本、磁盘内存等系统信息;

    检查杀软:使用CreateToolhelp32Snapshot创建系统进程快照,Process32FirstW/Process32NextW开始遍历进程列表,检查杀毒软件;

检查的杀软列表;

启动项:写入启动项注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run;

请求C2域名;
windows.exe:

window.exe:

攻击者PDB文件信息;

分析结论

    根据C2域名和PDB信息(谷堕又名银狐)可以确定攻击者为银狐APT组织,通过主程序下载云端资源,利用白加黑的手法并结合chm调用javascript触发恶意程序的下载,利用windows窗口函数作为shellcode Loader加载恶意jpg文件,结合图片隐写技术和Gh0st变种木马完成shellcode的加密和执行;

IOC:

  • 121.43.53.64

  • 4-24dll.oss-cn-hangzhou.aliyuncs.com

  • 4-27.oss-cn-hangzhou.aliyuncs.com

  • iamasbcx.asuscomm.com

  • yk.youbi.co

  • C:\Users\谷堕\Desktop\2022远程管理gfi\cangku\W027B2780\inOsClientProject\Release\上线模块.pdb

  • hxxp://139.224.13.184/dwon/?tpl=list&sort=&folders-filter=\&recursive

  • hxxp://139.224.13.184/dwon/window.exe

  • hxxp://139.224.13.184/dwon/window1.exe

  • hxxp://139.224.13.184/dwon/windows.exe

  • hxxp://139.224.13.184/jzq/?tpl=list&sort=&folders-filter=\&recursive

  • hxxp://139.224.13.184/jzq/brian.jpg

  • hxxp://139.224.13.184/jzq/brian3.jpg

  • hxxp://139.224.13.184/libcurl.dll

  • hxxp://crl.globalsign.com/gsorganizationvalsha2g3.crl

  • hxxp://crl.globalsign.com/root.crl

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/dashell/hackbiran9183bai.jpg

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/dashell/hackbiran9244bai.jpg

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoma/9183.exe

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoma/9244.exe

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoshell/gdagew9183ufaeqfga.jpg

  • hxxps://4-10.oss-cn-hangzhou.aliyuncs.com/xiaoshell/gdagew9244ufaeqfga.jpg

  • hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/dwon1.CHM

  • hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/window.exe

  • hxxps://4-24dll.oss-cn-hangzhou.aliyuncs.com/windows.exe

  • hxxps://4-27.oss-cn-hangzhou.aliyuncs.com/9999.jpg

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/cima/1183.exe

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/dashell/hackbrian1183bai.jpg

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag11ew83ufaeqfga.jpg

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag66ew68ufaeqfga.jpg

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/xiaoshell/gdag77ew77ufaeqfga.jpg

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/zhuma/6666zhu.exe

  • hxxps://hackbrian-1317534006.cos.ap-chengdu.myqcloud.com/zhuma/9999zhu.exe

  • hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/AudioEngine.dll

  • hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/dwon.CHM

  • hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/wind

  • hxxps://mfc430.oss-cn-shanghai.aliyuncs.com/window.exe

  • hxxps://ykxml.oss-cn-hangzhou.aliyuncs.com/5364.jpg

  • hxxps://ykxml.oss-cn-hangzhou.aliyuncs.com/9999.jpg

4、狩猎分析

    为了让大家更清晰地了解该APT组织的攻击流程,下面放一张我画的关于该APT组织利用过程的流程图:

三、防范建议

    通过整场事件的分析下来,终于松了口气,这不是一场专门针对我司的APT组织发起的攻击,APT组织只是意外攻击了我司员工并触发了安全运营中心的告警。虽然事件得到了处置,但还是提醒着我们要始终在网络世界中保持警惕,即使是熟悉好友发来的文件,也要再三甄别后再打开。为了避免类似的情况再次发生,我们应该牢记以下几个建议:
1、谨慎点击链接或下载文件:要谨慎点击来自未知或可疑来源的链接或文件,特别是通过电子邮件、社交媒体或即时消息发送的链接或文件。
2、不信任未经验证的下载源:要谨慎下载软件、应用程序和文件,尽量从官方或可信任的来源进行下载,并核实下载文件的完整性和数字签名。
3、安装可信的安全软件:需确保终端设备上安装了可信的防病毒软件和防火墙,并保持其更新至最新版本。
4、增强安全意识:加强网络安全意识培养,学习如何识别和应对常见的网络攻击手段,如钓鱼、社交工程等。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接