“看門狗”團伙的遠控木馬畫皮術，360安全大腦獨家披露

近日，360安全大腦獨家捕獲“看門狗”團伙最新動向，其正透過偽造某聊天軟體官網以及釣魚郵件等方式，對特定目標人群精準投毒禍亂網路。該組織命名來源於攻擊樣本包含的中文PDB路徑，也有安全廠商稱其為“金眼狗”組織。

 

 

360安全大腦基於持續跟蹤資料，並對攻擊樣本進行梳理分析後發現，“看門狗”團伙長期透過申請正規軟體開發商簽名，進而利用白加黑方式執行遠控木馬；釣魚郵件定向投毒，並透過漏洞利用啟動遠控木馬；偽裝正規聊天工具捆綁遠控模組等三大手段橫行網路。

 

手段1：以假亂真，冒用簽名投放遠控木馬

 

一直以來，冒用軟體開發廠商簽名都是“看門狗”團伙的慣用伎倆。從360安全大腦長期監測資料來看，9月下旬至今已追蹤到該團伙冒用的十餘個數字證書，具體如下：

 

 

與此同時，360安全大腦最新資料顯示，“看門狗”團伙除申請了與原廠商相同的簽名外，還申請了部分同名但大小寫不同的高迷惑性簽名，以便於測試安全軟體反應，為冒用簽名投放遠控木馬試水。

 

 

手段2：迷惑性誘餌，釣魚郵件擴散遠控木馬

 

冒用簽名之外，360安全大腦資料顯示，釣魚郵件是“看門狗”團伙的第二大慣用伎倆。從360安全大腦捕獲的釣魚郵件攻擊樣本來看，該團伙透過釣魚郵件，將偽裝成技術資料等文件的惡意程式，投遞至目標使用者郵箱，以誘騙點選下載。

 

一旦觸發，惡意程式會利用muse音樂播放器棧溢位漏洞執行後續shellcode，並經過幾輪記憶體載入後，最終執行大灰狼遠控。

 

值得一提的是，該團伙頻繁利用不同軟體的棧溢位漏洞來試圖繞過殺軟的監測，本次利用的muse音樂播放器為該團伙最新利用的軟體漏洞。

 

具體執行流程如下：

 

 

在此基礎上，針對特定人群，“看門狗”團伙還會向其郵箱投放一些攜帶木馬的“文件”，此類木馬通常會使用神似word檔案的圖示或極具誘導性的檔名，迷惑不明真相的使用者點選，具體如下：

 

 

該木馬首先會檢測自身檔案是否以字元“-”開頭。木馬啟動後會在C盤根目錄下建立以木馬檔名第一個字母+字串“Help”的檔案，然後檢測C:\\-Help檔案是否存在，不存在則彈窗“意外崩潰”並退出程式，用來對抗分析。

 

 

然後該木馬會從hxxp://15083142945.com:99/apbc下載木馬壓縮包並解壓到資料夾C:\Users\Public\Downloads。解壓後的檔案結構如下:

 

 

最後執行 C:\Users\Public\Downloads\hashiqi\wcnmlgb.exe和C:\Users\Public\Downloads下指定的誘導檔案，誘導檔案如下圖:

 

 

wcnmlgb.exe執行後檢測當同目錄下如果沒有RW.txt，則會彈出一個文字替換工具的視窗，用來對抗檢測，起到混淆視聽的作用。

 

 

如果檢測到RW.txt存在則讀取文字里面的內容，並在記憶體中解密執行其中的惡意AutoRun.dll，AutoRun.dll透過執行快捷方式的方法最後以命令列引數sydb.pls執行C:\Users\Public\Downloads\$Recycle.Bin\mtfx.exe。mtfx.exe則是一個帶有棧溢位漏洞的的音樂播放器程式(muse.exe)。透過命令列引數會讀取指定*.m3u和*.pls字尾的檔案。而如果檔案內容太大，則會引發本地溢位造成漏洞從而可以執行shellcode。

 

透過對mtfx.exe程式碼分析，發現在函式中使用了不檢查輸入資料長度的fscanf函式，所以會將開啟的sybd.pls檔案中資料全部讀入區域性變數，從而覆蓋掉返回地址和SEH異常處理函式。

 

 

fscanf函式讀取sydb.pls檔案資料後，覆蓋了當前函式返回地址和SEH的回撥函式。當函式返回時，由於返回地址0x41414141是一個無法訪問的地址，觸發異常從而跳入被覆蓋的SEH回撥函式，而回撥函式地址是sdll.dll的一個固定地址，執行其中兩個pop一個ret後又跳回之前被覆蓋地址中構造好的shellcode中繼續執行。

 

 

由於上述緩衝區大小有限，該段shellcode動態獲取API後，會依次讀取同目錄下的帶有惡意程式碼的檔案“X”，“A”,“gifa”最終在記憶體中解出執行一個修改版的大灰狼遠控木馬dll。連線 CC為58.218.200.5:1529

 

 

手段3：偽造軟體，隱秘捆綁投遞遠控木馬

 

除上述兩種慣用手段外，“看門狗”團伙第三種常用的攻擊手段則是偽造聊天軟體擴散遠控木馬。360安全大腦監測資料顯示，12月份該團伙將攻擊荷載從Telegram換到了POTATO CHAT，並在其偽造的potato網站上放置偽造簽名的PotatoInstaller.exe，以擴散遠控木馬。360安全大腦追蹤到的樣本顯示，該安裝包除了會安裝正常potato軟體外，還會釋放由MFC編寫的記憶體載入器，執行後記憶體載入遠控模組ServerDll.dll。

 

具體執行流程如下：

 

從360安全大腦追蹤到的細節來看，“看門狗”團伙近乎完全地複製potato官方網站(hxxps://potato.im/)，製作出了自己的假網站(hxxp://potato.fit/index.html)，且在頁面中，除了動態變化的使用人數和被替換了的windows版下載連結外，幾乎與官網毫無區別，極大地提高了中招率。

 

在“看門狗”團伙製作的假網站，點選windows版下載後的安裝程式，是簽名無效的程式，但由於高隱蔽性，常常難以察覺。官方網站安裝程式與“看門狗”團伙製作版對比如下圖：

 

 

看門狗團伙製作的PotatoInstaller.exe行為分析：

1.檢查登錄檔項 HKEY_LOCAL_MACHINE\SOFTWARE\ODBC,無此登錄檔項則退出。

2.檢查資料夾C:\ProgramData\Recovery 不存在則建立。

3.ShellExecute 執行超長命令列,看門狗團伙可能想透過此方式繞過安全軟體的監控。

 

 

 

此powershell指令碼解密後的實際內容如下：

 

 

由於指令碼中有延時設定，實際測試過程中， go.exe啟動之後，Server.vbe才開始執行。

 

4.將檔案內的資料透過檔案對映的方法寫入 C:\ProgramData\Recovery\tree.exe.

5.解壓縮tree.exe，這是一個壓縮檔案，解壓密碼：AaBbCc999.

 

此檔案解壓縮出來的檔案都放在C:\ProgramData\Recovery。

 

 

除了tree.exe 可見外，其他檔案全部設定隱藏屬性。Gamecap.exe是一個在記憶體中載入並執行大灰狼遠控的惡意程式。Server.vbe等一系列檔案都是為了給gamecap.exe新增開機自啟動，實現持久化控制。

 

6.執行 C:\\ProgramData\\Recovery\\go.exe  這是一個bypassuac程式.這個程式的主要目的就是啟動官方的安裝程式setup.exe，以此來迷惑使用者。

 

全部檔案分析及說明：

 

檔名	Pdb資訊	其他說明
PotatoInstaller.exe	E:\執行原始碼\看門狗合集\看門狗壓縮混淆(土豆)\x64\Release\benson.pdb
tree.exe		PotatoInstaller.exe釋放檔案，實際是一個壓縮文件，解壓後釋放此行下方檔案。
Server.vbe		加密vbs指令碼，執行後會啟動unzip.lnk
unzip.lnk		C:\ProgramData\Recovery\unzip.exe   -n -d  "%appdata%"   C:\ProgramData\Recovery\veeea.exe
unzip.exe		解壓程式，無惡意行為
veeea.exe		壓縮檔案，透過unzip的解壓縮操作向"%appdata%"/Microsoft\Windows\Start   Menu\Programs\startup\下釋放一個名為GetCurrentProcess.VenmouSness.url.URL路徑指向gamecap.exe。實際上就是為gamecap.exe新增開機自啟動。
gamecap.exe	c:\Users\bensonman\Desktop\看門狗記憶體載入(exe)\Release\1.pdb	記憶體載入並執行遠控模組ServerDll.dll，控制C2: 154.222.103.60:8686 185.224.168.132:3567
go.exe	E:\執行原始碼\BypassUAC\x64\Release\benson.pdb	此程式會利用com介面ICMLuaUtil執行setup.exe(真正的potato chat 安裝程式).
setup.exe		簽名:Horsemen   Technologies SA，官方安裝程式

 

 

遠控木馬威脅此起彼伏，360安全大腦強勢截殺

 

從冒用簽名、釣魚郵件到偽造網站，“看門狗”團伙投遞遠控木馬的手段，可謂花樣百出。而面對遠控木馬等網路安全威脅，360安全大腦賦能下的新一代防護體系，先後推出了橫向移動防護、軟體劫持攻擊、無檔案攻擊等各類應對高階威脅攻擊的體系防護能力，以及應對RDP爆破攻擊、web應用系統漏洞、webshell攻擊等多項針對伺服器的防護能力，持續為黨政軍企等各領域使用者輸出安全防護力。

 

值得一提的是，“360安全大腦-主防威脅視覺化平臺”可持續對每日新出現的威脅事件進行聚合與視覺化展示，精準實時呈現各種流行病毒、木馬的攻擊態勢，並生成囊括病毒木馬攻擊趨勢、相關網路與終端維度威脅情報數量以及生命週期的全維度資料，進而幫助技術分析人員高效掌握各類安全威脅，輔助人工分析、研判。

 

例：全方位呈現“匿影”殭屍網路的攻擊趨勢圖

 

目前，在360安全大腦的極智賦能下，360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時，針對此類威脅360安全大腦給出如下安全建議：

1. 對於個人使用者，可及時前往weishi.360.cn下載安裝360安全衛士，強力查殺此類病毒木馬；

2. 對於廣大政企使用者，可透過安裝360終端安全管理系統，有效攔截木馬病毒威脅，保護檔案及資料安全，詳情可透過400-6693-600諮詢瞭解；而對於小微企業，則可直接前往safe.online.360.cn，免費體驗360安全衛士團隊版，抵禦木馬病毒攻擊；

3. 企業360情報雲的ioc檢測、發現能力已經全面整合到本地大腦、asia、安全DNS等產品中，使用者可以透過採購這些產品獲取高效及時的最新威脅情報支援，提升安全產品防禦能力；

4. 目前360沙箱雲已對外提供公開服務，可及時前往ata.360.cn線上體驗。透過沙箱雲可以快速準確對可疑樣本完成自動化分析，幫助企業管理員更好應對企業內部面臨的安全問題；

5. 對於安全軟體報毒的程式，不要輕易新增信任或退出安全軟體；

6. 提高安全意識，不隨意開啟陌生人發來的各種檔案，如需開啟務必驗證檔案字尾是否與檔名符合。