別眨眼網

選單

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

2022-05-15由 90後駭客迷技術宅 發表于 科技

文章來源

奇安信威脅情報中心

概述

近期,奇安信病毒響應中心在日常的樣本運營中,發現了一起針對區塊鏈虛擬貨幣交易平臺的定向攻擊,鑑於誘餌極具誘惑性,並且該定向攻擊幕後團伙此前也被曝光過,鑑於攻擊手法已經升級,我們對此進行了分析,並披露了此次攻擊。

樣本分析

Excel的檔名為:mxc客服人員色誘客戶侵吞平臺財產。xls

該樣本的VT報毒結果如下:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

剛開啟的介面如下:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

點選後的截圖:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

透過mshta執行hta檔案:

Null。hta的內容如下,被執行起來後會請求一個github的地址:https://raw。githubusercontent。com/pick90/hit/master/1。txt

獲取資料並透過InstallUtil。exe執行下載的C#編譯的exe檔案:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

該檔案的檔案描述為age。png,編譯時間為:2019-10-30 11:37:12

會透過powershell執行下面的惡意程式碼:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

惡意程式碼解密後,會去請求https://n-trip。com/index。png,下載下一階段的指令碼執行:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

該png是一個加密的檔案,經過 base64解碼後,在進行rc4解密,rc4的金鑰是前16位元組:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

解密後的資料是powershell:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

如果有360和QQ電腦管家,會透過事件過濾的形式實現開機啟動,建立的filter的名字為:TimerFilter;如果不存在上述防毒軟體,就直接透過系統dll劫持實現持久化,劫持的dll名字為“wlbsctrl。dll”:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

透過wusa的方式bypass UAC,然後釋放wlbsctrl。dll”到system32下的:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

下圖是wlbsctrl。dll的程式碼,在dllmain裡會透過InstallUtil。exe載入A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62。dat這個檔案,而這個檔案就是rat變數的內容解密後釋放的檔案:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

Rat的變數經過2層base64解密後,是一個C#編譯的exe檔案,該exe檔案也是透過InstallUtil。exe載入:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

該exe檔案會執行powershell命令:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

執行的powershell命令解密後如下:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

最後會載入cobaltstrike的Loader,請求url(https://slay。008ex。com/NhRT)獲取beacon。dll實現遠端控制。

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

回聯的地址:

這次攻擊者出現的所有的exe檔案,整理表格如下:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

域名資訊

域名註冊時間:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

承載第一階段的Github賬號的註冊時間是2019年9月25日,在9月26號開始提交一些webshell相關的程式碼,懷疑攻擊者是想透過網站的漏洞下載webshell到服務的web目錄下;為了避免被發現,才使用了github的方式。

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

9月26號曾多次提交名字為1。txt的webshell程式碼:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

而10月29號,攻擊者把一直提供webshell下載服務的1。txt,修改成了木馬使用的payload:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

攻擊者應該是平時做滲透的,最近想透過定向攻擊的方式拿到一些重要的目標。

而就在剛剛(2019年11月14日),攻擊者又更新了下木馬使用的payload:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

從該payload裡解密出來的木馬的編譯時間就在11月14日,而該樣本在VT上是0檢出的:

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

關聯分析

在對域名bill。008ex。com解析的IP: 192。52。167。189進行關聯分析的過程中;

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

我們發現在該ip端的同一網段存在另一個可疑ip192。52。167。185 。

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

從平臺來看,其恰好關聯到了騰訊御見威脅情報中心的一篇《針對某區塊鏈數字加密幣交易平臺的APT攻擊》報告

https://mp。weixin。qq。com/s/F7A9hxucQS-82VcE7xCVmg

其中

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

使用的IP地址。

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

但是當時該團伙沒有使用github的形式進行樣本獲取,而且本次的域名都是動態域名,該團伙被曝光後,8月30日就申請了008ex。com這個域名作為下次攻擊的C2,並於9月25日註冊github賬號,而且這次攻擊中使用的2個非動態域名都申請了隱私保護。

總結

本次針對區塊鏈平臺的針對性攻擊,並結合此前的攻擊,不難認為,該攻擊組織具備黑產屬性,並且在隱藏自身做的非常到位,無論是使用Github進行木馬下載,還是最後釋放的Cobaltstrike遠控都讓人難以進一步追蹤。

奇安信病毒響應中心將持續追蹤該黑產團伙,相關載荷和木馬均可被奇安信全線產品查殺。

值得一提的是,奇安信威脅情報中心Alpha威脅分析平臺企業版目前解鎖新功能,可以查詢關於每個IOC物件(域名,IP,URL,Hash)對應的TTP資訊中的Technologic,只為了更方便客戶知曉整個域名的具現化描述。

有需求請發郵件聯絡ti_support@qianxin。com

針對虛擬貨幣交易平臺的定向攻擊:以客服色誘為誘餌

IOCs

https://download.008ex.com/auth.log

https://n-trip.com/index.png

https://slay.008ex.com/NhRT

slay.008ex.com,/c/msdownload/update/others/2016/12/29136388_,

bill.008ex.com,/c/msdownload/update/others/2016/12/29136388_,

jan.008ex.com,/c/msdownload/update/others/2016/12/29136388_

bill.008ex.com

download.008ex.com

download.008ex.com

jan.008ex.com

slay.008ex.com

gfem.n-trip.com

sbar.n-trip.com

轉載來源於 奇安信威脅情報中心 FreeBuf.COM

TAG: com008exexe檔案dll

相關推薦