文章來源
奇安信威脅情報中心
概述
近期,奇安信病毒響應中心在日常的樣本運營中,發現了一起針對區塊鏈虛擬貨幣交易平臺的定向攻擊,鑑於誘餌極具誘惑性,並且該定向攻擊幕後團伙此前也被曝光過,鑑於攻擊手法已經升級,我們對此進行了分析,並披露了此次攻擊。
樣本分析
Excel的檔名為:mxc客服人員色誘客戶侵吞平臺財產。xls
該樣本的VT報毒結果如下:
剛開啟的介面如下:
點選後的截圖:
透過mshta執行hta檔案:
Null。hta的內容如下,被執行起來後會請求一個github的地址:https://raw。githubusercontent。com/pick90/hit/master/1。txt
獲取資料並透過InstallUtil。exe執行下載的C#編譯的exe檔案:
該檔案的檔案描述為age。png,編譯時間為:2019-10-30 11:37:12
會透過powershell執行下面的惡意程式碼:
惡意程式碼解密後,會去請求https://n-trip。com/index。png,下載下一階段的指令碼執行:
該png是一個加密的檔案,經過 base64解碼後,在進行rc4解密,rc4的金鑰是前16位元組:
解密後的資料是powershell:
如果有360和QQ電腦管家,會透過事件過濾的形式實現開機啟動,建立的filter的名字為:TimerFilter;如果不存在上述防毒軟體,就直接透過系統dll劫持實現持久化,劫持的dll名字為“wlbsctrl。dll”:
透過wusa的方式bypass UAC,然後釋放wlbsctrl。dll”到system32下的:
下圖是wlbsctrl。dll的程式碼,在dllmain裡會透過InstallUtil。exe載入A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62。dat這個檔案,而這個檔案就是rat變數的內容解密後釋放的檔案:
Rat的變數經過2層base64解密後,是一個C#編譯的exe檔案,該exe檔案也是透過InstallUtil。exe載入:
該exe檔案會執行powershell命令:
執行的powershell命令解密後如下:
最後會載入cobaltstrike的Loader,請求url(https://slay。008ex。com/NhRT)獲取beacon。dll實現遠端控制。
回聯的地址:
這次攻擊者出現的所有的exe檔案,整理表格如下:
域名資訊
域名註冊時間:
承載第一階段的Github賬號的註冊時間是2019年9月25日,在9月26號開始提交一些webshell相關的程式碼,懷疑攻擊者是想透過網站的漏洞下載webshell到服務的web目錄下;為了避免被發現,才使用了github的方式。
9月26號曾多次提交名字為1。txt的webshell程式碼:
而10月29號,攻擊者把一直提供webshell下載服務的1。txt,修改成了木馬使用的payload:
攻擊者應該是平時做滲透的,最近想透過定向攻擊的方式拿到一些重要的目標。
而就在剛剛(2019年11月14日),攻擊者又更新了下木馬使用的payload:
從該payload裡解密出來的木馬的編譯時間就在11月14日,而該樣本在VT上是0檢出的:
關聯分析
在對域名bill。008ex。com解析的IP: 192。52。167。189進行關聯分析的過程中;
我們發現在該ip端的同一網段存在另一個可疑ip192。52。167。185 。
從平臺來看,其恰好關聯到了騰訊御見威脅情報中心的一篇《針對某區塊鏈數字加密幣交易平臺的APT攻擊》報告
https://mp。weixin。qq。com/s/F7A9hxucQS-82VcE7xCVmg
其中
使用的IP地址。
但是當時該團伙沒有使用github的形式進行樣本獲取,而且本次的域名都是動態域名,該團伙被曝光後,8月30日就申請了008ex。com這個域名作為下次攻擊的C2,並於9月25日註冊github賬號,而且這次攻擊中使用的2個非動態域名都申請了隱私保護。
總結
本次針對區塊鏈平臺的針對性攻擊,並結合此前的攻擊,不難認為,該攻擊組織具備黑產屬性,並且在隱藏自身做的非常到位,無論是使用Github進行木馬下載,還是最後釋放的Cobaltstrike遠控都讓人難以進一步追蹤。
奇安信病毒響應中心將持續追蹤該黑產團伙,相關載荷和木馬均可被奇安信全線產品查殺。
值得一提的是,奇安信威脅情報中心Alpha威脅分析平臺企業版目前解鎖新功能,可以查詢關於每個IOC物件(域名,IP,URL,Hash)對應的TTP資訊中的Technologic,只為了更方便客戶知曉整個域名的具現化描述。
有需求請發郵件聯絡ti_support@qianxin。com
IOCs
https://download.008ex.com/auth.log
https://n-trip.com/index.png
https://slay.008ex.com/NhRT
slay.008ex.com,/c/msdownload/update/others/2016/12/29136388_,
bill.008ex.com,/c/msdownload/update/others/2016/12/29136388_,
jan.008ex.com,/c/msdownload/update/others/2016/12/29136388_
bill.008ex.com
download.008ex.com
download.008ex.com
jan.008ex.com
slay.008ex.com
gfem.n-trip.com
sbar.n-trip.com
轉載來源於 奇安信威脅情報中心 FreeBuf.COM