物竞天择,进化版银狐全链路攻击三部曲(下篇)
2024-10-26 16:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏
一、前情回顾
在《物竞天择,进化版银狐全链路攻击三部曲(上篇)》报告中,详细分享了三部曲中的安全对抗阶段和远程部署阶段。在安全对抗阶段恶意样本通过不断的进程和窗口检测、多种反调试技术和驱动反杀软等技术进行对抗;在远程部署阶段通过多组白利用和隐匿繁殖等手段进行后门植入部署。
三部曲中的前两个阶段是目前流传较广的银狐组织所采用的方案,虽然具有较强的对抗生存能力,但是在物竞天择的环境下,依然难逃安全检测引擎的捕杀。而三部曲的最后一个阶段“后攻击阶段”中,因其攻击者下发机制的不确定性和攻击的模块化而常常无法被有效监控和进行事件关联。同时,除安全进程检测、互斥量校验和反调试外还采用计划任务延时启动、启动参数校验、用户鼠标窗口监控和自定义矿池等技术来逃逸用户和安全分析视野。
二、攻击载荷
在整个攻击链中,有很多的攻击载荷,部分进行了序列化,也有一些是解密后直接内存加载执行,主要攻击载荷如下表:

文件名

MD5

描述

okyejPwF.dat

AD5D9EC42B0261BA329D333F723E6CAC

恶意代码植入Zip

_TUProj.dat

BECADC151E2097A64051847685F7BA22

Lua恶意代码植入文件

okyejPwF.png

F95C7D721CC0B8D82ECF90A2C5E6D1AC

加密dll拓展

page-404.png

06C2604A6B2E157543D6812D4F88D743

Xmrig加密负载

oBJamrvz.exe

362ED935ACB6B3EAF16141D2C54E4F87

Xmrig挖矿程序

三、样本分析
此攻击阶段中,攻击的核心目标是使用沦陷的设备进行挖矿。攻击者利用TrueUpdate白利用植入恶意shellcode;解密经过伪装的DLL扩展文件;在进行一系列的运行环境设置和校验后,从云存储中下载并解密核心程序;添加程序的计划任务,保证程序的持久化,并最终达到隐秘挖矿的目的。
(一)TrueUpdate白利用
TrueUpdate是Indigo Rose公司开发的用于自动软件更新和补丁管理的系列工具。tu_rt.exe是TrueUpdate的核心更新引擎,负责执行更新过程,包括下载和安装更新。它可以对用户自定义配置信息或自定义lua脚本进行自动更新,此机制常常被恶意开发人员滥用,其中就包含臭名昭著的“银狐”组织。
TrueUpdate Client程序运行时,会解压缩同目录下的dat文件,解压缩的密码硬编码在程序中。
解压后的文件中,“_TUProj.dat”即是插入了恶意lua代码的文件。
Lua程序可以看到,其会创建线程,执行解密的shellcode。
Shellcode中会动态注册文件操作相关的函数,用于后续的文件读取解密。
读取程序同目录下同名png文件,在内存中解密执行,密钥“P@ssw03d”。
解密后的DLL模块名称是“plugin_daemon.dll”,只有一个导出函数“PluginMe”。模块加载运行后,会创建多个线程,首先会禁用UAC提示,成功则进入后续逻辑。
接着持久化采用的是创建计划任务,确保在任何用户登录时触发操作启动主程序。

此后来到TrueUpdate白利用的关键环节。从云存储下载伪装成“page-404.png”的负载,临时存储到C:\Users\XX\AppData\Local\Microsoft\Windows\INetCache\IE\JUWHX7Y1\page-404[1].png中。

然后,解密负载文件,并在加载到内存后删除本地文件。
完成数据解密后,还会进行数据校验,满足校验并在数据大于0x400h的情况下,将其序列化到同目录下的随机子目录中,子目录和随机程序名称每天都会变化。
最后,在修改隐藏属性后,会创建计划任务每隔5分钟重复触发一次,程序启动参数为“1776”,如果计划任务创建失败,则删除目录与程序。
(二)Xmrig挖矿
释放的程序采用了魔改UPX压缩壳进行保护,在分析中,虽然删除了xmrig相关特征,但是依然能根据多种特征判断出其属于Xmrig挖矿程序,主要是利用CPU和GPU进行XMR的挖掘。因XMR使用了与比特币不同的POW共识机制,使得普通个人矿工也可以方便的参与挖矿,是最受欢迎的隐私币之一。
挖矿程序在计划任务创建5分钟后启动,此举或为逃避EDR的监控。启动后,首先进行互斥量检查和程序启动参数“1776”检验,以此来进行单一实例和反调试。
然后,读取注册表数据进行解密获取矿池地址,这里的注册表SOFTWARE\Perfr\Pool早在第二阶段远程部署中已进行设置。
创建新的线程后,会循环获取鼠标光标的坐标和当前前景窗口的标题,判断用户的操作是否发生变化,如果光标位置没有改变,每1000ms检查一次;一旦光标位置发生变化,在后续的检查中变为3000ms。当检测到光标位置或窗口标题的变化时,变化次数阈值为0xc8,达到阈值会执行内存优化操作,以保持其隐匿性和挖矿的性能。
最后,挖矿程序配置文件中使用的矿池为“38.91.112.218:8090”,但“user”和“pass”为无意义账户,猜测其为攻击者自己搭建的矿池,钱包地址保存在服务器中,此种方式既能保护账户安全,也可用于防追踪。

奇安信威胁情报中心情报显示矿池地址威胁类型为远控木马,域名反查结果中包含一条可疑域名解析记录,解析域名为“www[.]tttknetwork[.]com”,查询此域名可知其用来解析过虚拟货币相关的站点。

四、溯源关联
奇安信天擎终端在TrueUpdate白利用阶段,识别到DLL劫持活动和后续的内存攻击行为。
在Xmrig挖矿程序序列化后,天擎终端立刻识别出其为挖矿程序。
五、总结
银狐家族木马的出现引发了网络安全领域的关注,其威胁程度超出传统网络攻击。这种恶意软件能迅速传播并隐蔽潜伏,常与社会工程学和网络钓鱼等技术结合,增强了攻击的隐秘性和破坏力。
银狐家族主要目标是窃取个人和财务信息,这些数据可能被用于网络诈骗和身份盗窃等非法活动。此次发现的银狐家族在公开的银狐家族中属于比较突出的存在,直接利用受害者设备进行挖矿获利,虽然使用了多种手段进行隐匿,使用了比较复杂的攻击链,但相比其它木马,挖矿对于设备资源的消耗使得其被发现的几率增大,属于富贵险中求的一次尝试。
在持续的对抗中,银狐家族不断进化,其对抗能力不断提升,危险性不断增大,检测和防范银狐家族木马变得愈加重要。提高网络安全意识、实施有效的安全策略以及定期更新防护措施,是降低此类威胁影响的关键。
六、防护建议
奇安信病毒响应中心温馨提醒用户,提高安全意识,谨防钓鱼攻击,切勿打开社交媒体分享和邮件接收的来历不明的链接,仔细辨别发件人身份,不随意下载和点击执行未知来源的附件,不以猎奇心理点击运行未知文件,不安装非正规途径来源的应用程序,如需使用相关软件,请到官方网站和正规应用商店下载。为了更好的防护自身免受感染侵害,可选择可靠的安全软件,同时保持系统和程序的更新。
目前,基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。
七、IOC
MD5
AD5D9EC42B0261BA329D333F723E6CAC
BECADC151E2097A64051847685F7BA22
F95C7D721CC0B8D82ECF90A2C5E6D1AC
06C2604A6B2E157543D6812D4F88D743
362ED935ACB6B3EAF16141D2C54E4F87
注册表
SOFTWARE\Perfr\Pool
C&C
38.91.112.218:8090

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5Mzg5MDM3NQ==&mid=2247497753&idx=1&sn=ee25a137584ef36b6363490c13b9ce13&chksm=ec698831db1e012785a1918dfc20b20f25d9592e83dabb61262fbeb716601db4410be6c58ef2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh