近期,腾讯安全科恩实验室在对钓鱼木马类攻击事件进行跟进时发现,某钓鱼团伙开始大量投递一类钓鱼样本,这类诱饵文件命名主题往往包含“避税方案”,“违规处罚”,“清明节调休”,“罚款名单”,“征信黑名单”等关键词。目前已有企事业单位出现中招的情况。经分析该团伙使用的攻击样本存在以下几点明显特征:
3.通过加密通信的方式下载数据,并将附带魔改Gh0st远控木马的数据写入注册表中,在运行时动态加载到内存。
基于这些特点,一旦此类木马植入成功,后续攻击团伙的破坏过程将具有极高的隐蔽性。
在分析过程中科恩实验室分析人员发现,该类木马在与C2地址进行通信时,往往使用6666或8888端口,并且加密后的数据也存在很多"6666"字符串,特别是在对数据进行定位时使用了字符串"FaCai2024",因此将该团伙命名为
“FaCai”
。
腾讯安全科恩实验室提醒企事业单位及个人用户,不要因为好奇而随意点开通信软件、群聊中包含此类主题关键词的文件,特别要留意后缀名称为”.exe“的执行文件。
因为这很可能是黑客投递的钓鱼木马程序,如果点击允许执行,可能会造成高危害的损失。
关于2024最新合理避税方案 函数处罚标准!.exe
财会人员薪资补贴调整新政策所需材料函数.exe
2024年3月份违规处罚名单.rar
公司通知财会人员清明节调休时间如下.exe
详细名单.exe
打开密码123.exe
3月份涉税财会人员征信拉黑名单如下.exe
四月企业罚款名单.exe
3月处罚名单.exe
2024年清明节公司财税违规名单.rar
名单详情.exe
详情0000.exe
违规名单.exe
违规开票处分企业名单xlsx.exe
2024年3月份违规开票企业处罚名单.rar
详情,,,.exe
最新财会人员征信黑名单.exe
四月最新财会人员征信黑名单.exe
2024财会人员处罚新政策所需材料.rar
3 月份 违 规处 罚名 单.rar
电子发票.exe
样本执行后,首先会获取当前系统中运行的进程数量,判断是否超过40,进程数量少于40则会直接退出。
通过wcsrev函数反转宽字符字符串,再通过定位标记获取字符串里的IP和端口号。
获取到的C2地址IP和端口号:
ip1=134.92.43.149 port1=6666
ip2=134.92.34.149 port2=8888
ip3=134.92.34.149 port3=82
通过this指针访问
虚函数,执行核心功能代码。
连接地址143.92.43.149:6666,并接下载加密过的数据。
申请内存放置下载到的数据,判断注册表项\HKEY_CURRENT_USER\Console\0是否存在,若不存在则创建该注册表项并写入二进制数据。
如果已经存在注册表项,则从该注册表项中读取数据到内存,通过字符串“FaCai2024”定位数据写入“IpDates_info”注册表,然后跳转到shellcode执行。
shellcode负责加载执行内存数据中附带的PE文件。
经分析内存中运行的PE文件是经过修改的Gh0st远控木马,会将当前母体进程文件拷贝到
C:\ProgramDat
a\StartMenuExperienceHos.exe,然后删除自身,再将拷贝后的文件设置为隐藏和系统文件属性,然后安装名为"系统垃圾清理"的计划任务进行持久化,当任何用户登陆时启动该木马程序,以达到长期控制该机器的目的。
StartMenuExperienceHos.exe在常规模式下不可见(打开系统显示隐藏文件也不行),需要使用专业工具才能看到。
木马提升当前进程权限,包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限。
等待接收远程命令执行上传下载文件,权限提升,键盘记录,屏幕监控,执行任意程序等功能。
在向C2发送数据前和收到数据后,都通过自定义的以异或运算为基础的方法进行加解密。
通过流量抓包分析,可以看到该木马通信数据包中有很多“6666.6”字符串特征。
MD5
|
12532d6f8434b4f1e6b1ec7b98ef8e91
|
|
887a04cda34f7af3f350fd5f4d7a10c2
|
