安全分析与研究
专注于全球恶意软件的分析与研究
忧郁的眼神,唏嘘的须根,神乎其技的分析大法……
前言
黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动,该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站,通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站,并点击下载更新脚本,安装各种恶意软件。
近日,笔者捕获到黑客组织利用SocGholish框架进行新一轮攻击活动,并对该攻击活动进行了详细分析。
攻击流程
攻击流程图,如下所示:
详细分析
1.虚假Chrome网站内嵌恶意JS脚本代码,如下所示:
2.提示受害者需要下载更新Chrome程序,点击下载之后,会下载相应的恶意脚本,如下所示:
3.解压之后,如下所示:
4.恶意JS脚本会从远程服务器下载恶意代码,如下所示:
5.通过上面的URL从远程服务器下载另外一个JS恶意脚本,如下所示:
6.下载的Chrome更新脚本通过增加大量的注释来混淆恶意代码,如下所示:
7.去混淆之后,该恶意脚本通过URL从远程服务器下载一个BAT脚本,如下所示:
8.下载的恶意BAT脚本,会生成并调用其他三个BAT恶意脚本,如下所示:
9.生成的三个恶意文件,如下所示:
10.三个恶意脚本会下载其他程序,下载的程序,如下所示:
11.调用恶意脚本,利用下载的解压工具解压恶意程序,如下所示:
12.解压的恶意程序是一款商用的RAT远控NetSupport Manager,拥有正常的数字签名,如下所示:
13.同时将该商业RAT远控设置为开机自启动,如下所示:
14.RAT远控配置文件服务器IP地址和端口为94.158.247.23:5050,如下所示:
到此,该攻击活动分析完毕,此攻击活动不仅用于安装商业远控木马进行APT攻击活动,也可用于勒索病毒黑客组织进行定向勒索攻击活动,还可用于一些供应链攻击场景,需要提高警惕,持续保持关注。
IOCS
总结
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,这些攻击活动主要包含:勒索攻击、APT窃密攻击等,笔者最近几年专注于针对勒索病毒黑客组织、APT定向攻击黑客组织、以及各种黑灰产黑客组织进行跟踪分析和研究,发现这些组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,而且非常活跃,持续不断地更新攻击样本,采用新的攻击技术。
笔者在此前的文章中已经多次提到,安全是一个过程,而不是一个结果,安全没有结果,这就是安全行业与IT行业里面其他都不相同的一个特点,攻与防双方都在不断提升自己的安全能力,安全的核心就是人与人的对抗,人与人之间就是安全技术的对抗,例如今天你解决了这个安全问题,明天黑客就会使用新的攻击手法,你又得去解决新出现的问题,今天你能杀掉这类攻击样本,明天黑客就会改进自己的攻击样本,所以安全就是一个持续不断、对抗不断升级的过程,这就是安全行业的特点。
基于上面这个特点,所以浮燥的人很难在安全行业里面长久生存下去,能够在安全行业做十几年,几十年的都是那些真正热爱安全,不断保持学习,不断进步,持续积累的人,这就是做安全需要付出的代价,安全就是一条“不归路”,只有你真的热爱安全行业,喜欢研究安全技术,并乐于花时间研究各种真实的黑客组织的攻击活动和攻击技术,脚踏实地,持续深入的学习和研究,不断提升自己的专业能力,未来才能在这个行业长久走下去,笔者前几天看了一篇文章,里面的一段话:
和其他的IT技术不一样,网络安全无论攻防两端,都是一个高速动态发展、持续提高的过程,“防得了一时,防不了一世”。没有绝对的安全,也没有永远的安全,只有相对暂时的安全。网络安全面对的是全世界智商最高的犯罪分子,我们不能低估我们的对手,也不能高估自己的能力。因此,网络安全是一个持续进化的旅程,而不是一个持续稳定的结果。
这个作者与笔者的观念基本一致,未来黑客会研究和采用更高级的攻击手法,使用更高级的攻击样本和攻击技术,会开发更为复杂的恶意软件,会使用更隐藏的免杀植入方式,会挖掘更多新的安全漏洞,安全对抗没有终点,如果想在安全行业走的更远,就踏踏实实不断提升自己的能力,黑客组织都在进步,安全从业人员更需要持续不断的进步,才能抵御未来各种网络安全攻击,而且未来高端的安全对抗会越来越激烈,安全厂商和安全研究人员需要持续不断的提升自己的安全能力。
笔者一直从事与恶意软件威胁情报APT等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),通过跟踪分析和研究全球范围内最新的各种真实的安全攻击事件、攻击样本、漏洞利用和攻击技巧等,可以实时跟踪全球黑客组织最新的攻击技术和攻击趋势,做到知已知彼,方能百战不殆。
各位读者朋友如果有遇到什么新型恶意软件家族样本、最新的家族变种以及各种高端的攻击样本都可以私信发给笔者,提供的样本越高端越好,提供的攻击事件线索越新越好,感谢给笔者提供样本的朋友们!
做安全,不忘初心,与时俱进,方得始终!
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!