黑客组织利用SocGholish框架发动新一轮攻击活动
2023-7-30 18:12:39 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

忧郁的眼神,唏嘘的须根,神乎其技的分析大法……

前言

黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动,该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站,通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站,并点击下载更新脚本,安装各种恶意软件。

近日,笔者捕获到黑客组织利用SocGholish框架进行新一轮攻击活动,并对该攻击活动进行了详细分析。

攻击流程

攻击流程图,如下所示:

详细分析

1.虚假Chrome网站内嵌恶意JS脚本代码,如下所示:

2.提示受害者需要下载更新Chrome程序,点击下载之后,会下载相应的恶意脚本,如下所示:

3.解压之后,如下所示:

4.恶意JS脚本会从远程服务器下载恶意代码,如下所示:

5.通过上面的URL从远程服务器下载另外一个JS恶意脚本,如下所示:

6.下载的Chrome更新脚本通过增加大量的注释来混淆恶意代码,如下所示:

7.去混淆之后,该恶意脚本通过URL从远程服务器下载一个BAT脚本,如下所示:

8.下载的恶意BAT脚本,会生成并调用其他三个BAT恶意脚本,如下所示:

9.生成的三个恶意文件,如下所示:

10.三个恶意脚本会下载其他程序,下载的程序,如下所示:

11.调用恶意脚本,利用下载的解压工具解压恶意程序,如下所示:

12.解压的恶意程序是一款商用的RAT远控NetSupport Manager,拥有正常的数字签名,如下所示:

13.同时将该商业RAT远控设置为开机自启动,如下所示:

14.RAT远控配置文件服务器IP地址和端口为94.158.247.23:5050,如下所示:

到此,该攻击活动分析完毕,此攻击活动不仅用于安装商业远控木马进行APT攻击活动,也可用于勒索病毒黑客组织进行定向勒索攻击活动,还可用于一些供应链攻击场景,需要提高警惕,持续保持关注。

IOCS

总结

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,这些攻击活动主要包含:勒索攻击、APT窃密攻击等,笔者最近几年专注于针对勒索病毒黑客组织、APT定向攻击黑客组织、以及各种黑灰产黑客组织进行跟踪分析和研究,发现这些组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,而且非常活跃,持续不断地更新攻击样本,采用新的攻击技术。

笔者在此前的文章中已经多次提到,安全是一个过程,而不是一个结果,安全没有结果,这就是安全行业与IT行业里面其他都不相同的一个特点,攻与防双方都在不断提升自己的安全能力,安全的核心就是人与人的对抗,人与人之间就是安全技术的对抗,例如今天你解决了这个安全问题,明天黑客就会使用新的攻击手法,你又得去解决新出现的问题,今天你能杀掉这类攻击样本,明天黑客就会改进自己的攻击样本,所以安全就是一个持续不断、对抗不断升级的过程,这就是安全行业的特点。

基于上面这个特点,所以浮燥的人很难在安全行业里面长久生存下去,能够在安全行业做十几年,几十年的都是那些真正热爱安全,不断保持学习,不断进步,持续积累的人,这就是做安全需要付出的代价,安全就是一条“不归路”,只有你真的热爱安全行业,喜欢研究安全技术,并乐于花时间研究各种真实的黑客组织的攻击活动和攻击技术,脚踏实地,持续深入的学习和研究,不断提升自己的专业能力,未来才能在这个行业长久走下去,笔者前几天看了一篇文章,里面的一段话:

和其他的IT技术不一样,网络安全无论攻防两端,都是一个高速动态发展、持续提高的过程,“防得了一时,防不了一世”。没有绝对的安全,也没有永远的安全,只有相对暂时的安全。网络安全面对的是全世界智商最高的犯罪分子,我们不能低估我们的对手,也不能高估自己的能力。因此,网络安全是一个持续进化的旅程,而不是一个持续稳定的结果。

这个作者与笔者的观念基本一致,未来黑客会研究和采用更高级的攻击手法,使用更高级的攻击样本和攻击技术,会开发更为复杂的恶意软件,会使用更隐藏的免杀植入方式,会挖掘更多新的安全漏洞,安全对抗没有终点,如果想在安全行业走的更远,就踏踏实实不断提升自己的能力,黑客组织都在进步,安全从业人员更需要持续不断的进步,才能抵御未来各种网络安全攻击,而且未来高端的安全对抗会越来越激烈,安全厂商和安全研究人员需要持续不断的提升自己的安全能力。

笔者一直从事与恶意软件威胁情报APT等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),通过跟踪分析和研究全球范围内最新的各种真实的安全攻击事件、攻击样本、漏洞利用和攻击技巧等,可以实时跟踪全球黑客组织最新的攻击技术和攻击趋势,做到知已知彼,方能百战不殆。

各位读者朋友如果有遇到什么新型恶意软件家族样本、最新的家族变种以及各种高端的攻击样本都可以私信发给笔者,提供的样本越高端越好,提供的攻击事件线索越新越好,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247487720&idx=1&sn=33baa3cca91b7cedbf62b1bff5343444&chksm=902fbfc0a75836d6d999d7702c5691f046589a40c2fe428b3d50a403f994c0facb48bb8a858e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh