新披露金指狗木马架构:利用软件漏洞规避杀软 – 作者:奇安信威胁情报中心

概述

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一个新型木马架构,该架构主要出现在全球华语地区,作者疑似具有中文背景。

该木马架构的免杀效果非常好,采用压缩文件中放置LNK文件的形式进行投递,样本执行过程中利用了Photodex ProShow Producer软件的栈溢出漏洞来执行shellcode,经过几轮内存加载后最终运行大灰狼远控,远程控制受害者电脑。按照以往奇安信对于黑产的命名,我们将该木马架构命名为金指狗,英文名GoldfingerDog

由于存在漏洞的软件的数字签名仍可用,奇安信病毒响应中心判断危害较大,为防止威胁进一步扩散,奇安信病毒响应中心负责任地对该木马架构进行披露和分析。

 

样本分析

执行流程如下:

图片.png

样本信息如下:

文件名 MD5 Packer/compiler 类型
会员充值盈亏表格.xlsx.rar 4540572e6036c78b234651bb93a0942e None rar文件

VT查杀效果如下:

图片.png

诱饵文件如下:图片.png

压缩包内容如下:

图片.png

而解压后显示如下,其余文件被隐藏:

图片.png

月充值亏损计算表.lnk文件指向Rundll32,双击后执行如下命令:

rundll32.exe  url.dll, FileProtocolHandler m.com

从lnk文件中可以看到win-mfq3ac4596g可能为攻击者的机器ID。

图片.png

m.com实际上为Photodex ProShow Producer软件的运行程序,签名截图如下:

图片.png

漏洞出现在if.dnt模块的导出函数InitIF()中,调用链如下

图片.png

在初始化过程中,会读取同目录下的load文件,由于没有对文件内容进行严格的判断导致程序会调用memcpy将load文件中的数据拷贝到栈中,经典栈溢出漏洞。

图片.png

触发该漏洞逻辑的条件需要m.com读取以下文件,缺一不可。

If.dnt->defscr->proshow_e.bmp->proshow.phd->load,所以压缩包中才会有数量众多的非PE文件。

图片.png

利用漏洞的方式也很古老,通过覆盖SEH的回调函数,并触发异常来执行shellcode:

图片.png

Shellcode内容如下:

图片.png

通过FS寄存器动态获取API,之后打开同目录下的X文件:

图片.png

X文件的内容为第二阶段的Shellcode:

图片.png

第二阶段shellcode,在执行过程中打开同目录下的A文件,A文件带有某互联网公司的签名:

图片.png

但该签名文件内部可能被该团伙修改,A文件中附加了一段经过简单异或后的可执行文件:

图片.png

Shellcode读取上述数据,解密后并内存加载:

图片.png

内存加载后的PE是经过魔改的大灰狼远控,弹出诱饵的逻辑如下,可以看到诱饵的种类支持jpgtxtxls:

图片.png

目前服务器已经无法访问。

关联分析

通过对shellcode进行关联,我们找到了该金指狗进行免杀测试的样本。

文件名 MD5 Packer/compiler 类型
牛逼.exe ce1fdb8e108229e2f7ed504c03c9296e VC PE文件

PDB:C:\Users\Administrator\source\repos\shellcode编写\Debug\shellcode编写.pdb

Shellcode如下:

图片.png

从shellcode测试样本的免杀情况或许可以解释该木马框架为什么只有寥寥少数杀软报毒:

图片.png

值得注意的是shellcode测试样本的上传时间为2019-02-20 08:32:14,这意味着从2019年初至今这一年多的时间里该框架的木马一直处于免杀状态。

图片.png

       接着我们对该木马框架滥用的某互联网产商签名的文件进行关联,发现了大量的被修改的白签名文件:

图片.png

通过这些文件我们找到了一些同源样本:

文件名 MD5 Packer/compiler 类型
支付凭证2019110154.exe 8fdadc6073e0f29aec48a76e71286053 SFX 自解压文件
过内SM或未SM 62(A16)财务统计信息联络表.rar 42a8dc3a244eb0de36e35e1147533d95 None Rar文件
2月份会员流水量.7z 79e9e10a3f305a461e954a08e7bfeb81 None 7z文件
dsd111.zip 96c96ad15b301d3187bb86f2617d76c4 None 7z文件
008.xml.zip 5604420ba9d55b4762712dc354ded12e None Zip文件
008 2.zip 1b66f6e3609dfd9be06d4eb2dc8d314b None Zip文件
006wutu.zip de3e7086deb12770364bb8148f4ab1ab None Zip文件
001.xml.zip 9450b6019b051a16dbd1c299ba233e8e None Zip文件

部分释放的诱饵整理如下:

图片.png

这些样本的执行链与上述流程相同,同属金指狗木马框架,但执行细节稍有不同,如“支付凭证2019110154.exe”是通过SFX自解压程序释放执行m.com的,样本挂在短链接上,而短链接指向国内的动态域名。

ITW DGA  
c7.gg/fPHrA           1.220idc.com/%E6%94%AF%E4%BB%98%E5%87%AD%E8%AF%812019110154.exe  

而在“008.xml.zip”中,则是通过F.exe进行调用的:

文件名 MD5 Packer/compiler 类型
f.exe ee96cbc0294b6e931778f40d6b8f3c9f .net PE文件

PDB:C:\Users\Administrator\Desktop\run\3.0\obj\Release\xxx.pdb

.net编写,调用powershell来启动m.com

图片.png

有的样本还出现了LNK的拼写错误:

图片.png

在“0082.zip”样本中弹出的诱饵如下:

图片.png

       结合上述细节,我们推测金指狗木马架构可能已经被写马者定制化出售,由于存在多个组织购买该木马架构的可能性,所以上述关联的样本可能属于不同的黑产组织。

总结

国内黑产发展至今,我们发现一部分高端黑产团伙正在摆脱以往人们对黑产只会抓鸡、挖矿的“刻板印象”,开始研究上层投放链,执行链等技术,而不是仅仅对单一样本进行免杀处理。对于这类的黑产我们之前也有过披露,如金眼狗、金钻狗等,从攻防角度来讲,我们认为,这种现象的出现与流行,就要求国内安全厂商必须不断提升自身产品水平。与此同时,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

IOC

文件Hash:

4540572e6036c78b234651bb93a0942e

ce1fdb8e108229e2f7ed504c03c9296e

8fdadc6073e0f29aec48a76e71286053

42a8dc3a244eb0de36e35e1147533d95

79e9e10a3f305a461e954a08e7bfeb81

96c96ad15b301d3187bb86f2617d76c4

5604420ba9d55b4762712dc354ded12e

1b66f6e3609dfd9be06d4eb2dc8d314b

de3e7086deb12770364bb8148f4ab1ab

9450b6019b051a16dbd1c299ba233e8e

ee96cbc0294b6e931778f40d6b8f3c9f

来源:freebuf.com 2020-05-20 09:34:40 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论