专栏名称: 腾讯安全威胁情报中心
御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
目录
相关文章推荐
51好读  ›  专栏  ›  腾讯安全威胁情报中心

情报速递20240705|“银狐”变种木马正通过随机化特征进行攻击

腾讯安全威胁情报中心  · 公众号  ·  · 2024-07-05 17:12

正文

1.背景

腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析,以及系统自动化方式,追踪捕获基于钓鱼样本的攻击事件。近日,腾讯科恩发现“银狐团伙”正通过随机化特征的方式对抗安全软件的检测,具体行为包括样本文件hash随机化和C2地址批量生产。在情报自动化分析系统中,我们在同一天会捕获到大量的相似样本,样本之间仅存在少量字节不同,疑似通过自动化工具批量生成。同 时C2 IP地址也存在A段、B段相同的情况,疑似从网络服务商批量购买了IP地址用作远控木马的C2服务器。


同时间段出现的高度相似钓鱼样本列表:

md5

文件大小

发现时间

5c08352f8dcf3b2a41122f249d03b942

25297456

2024-06-20 09:42:28

30c9bffeef7c5598279030e7e5675547

25297456

2024-06-20 10:51:04

93a50397e4d616811e8f4e75d60446e0

25272320

2024-06-20 10:58:10

5578bca9c64b768a9ed0202546dbf139

25297456

2024-06-20 12:07:22

e1a6bad0a3a2e1040d730a2d6694fc1c

25284840

2024-06-20 14:14:25

152dba380ec0e9874d03c6c904c5b719

25284840

2024-06-20 15:18:35

e59b389e739af82429ff19e707b6eb61

25297456

2024-06-20 16:19:37

c42965e57680bb86a1ec73706df4f5cb

25284840

2024-06-20 16:47:14

4cdc98b6d6922ed9a53b69f0fab3ede6

25284840

2024-06-20 17:05:28

9f9c2e9c586f2b6d9c8d4e738863e1a9

25284840

2024-06-20 17:37:50

3bfb555bfdc4c460fa55389b086496d5

25284840

2024-06-20 17:45:09

29ca6a80ce27d671392f87ad1c91fbc5

21843968

2024-06-21 09:30:47

b5f583f9ad55b3b1df72b19778c133ce

25297456

2024-06-21 10:21:48

33642d364eb40bbcaa2a8db424fd7947

21843968

2024-06-21 10:30:49

679b102b2f7e22201467fa1679538b33

21869120

2024-06-21 11:27:19

a3e2e7ca1c713b9b456e8bf911e8b61b

21869120

2024-06-21 12:46:37

be600a6b5fea37ad1e63270d5e1f32d4

21843968

2024-06-21 12:48:26

46b0a09df4050f163695eeb1a3e19b2b

22319680

2024-06-21 14:03:10

4f6090a4699ddb1a7a1db48b3516c970

21869120

2024-06-21 14:24:57

48981e3503ded6fdc025322f0a78d585

22319680

2024-06-21 14:35:29

37a0f97f8d0a115ac4da4fc755a5baa8

21869120

2024-06-21 14:47:56

cc988bd086032e009fee7cdd58dfd442

21869120

2024-06-21 16:13:38


钓鱼攻击使用的同网段C&C:

154.39.249.194[:]3760

154.82.92.17[:]3760

154.91.64.155[:]3760

156.225.58.58[:]3760

156.234.0.20[:]3760

156.234.0.32[:]3760

206.233.128.109[:]3760

206.238.115.146[:]3760

206.238.115.184[:]3760

206.238.197.185[:]3760

206.238.198.20[:]3760

206.238.198.233[:]3760

206.238.199.40[:]3760

206.238.221.220[:]3760


在钓鱼样本文件的命名特点上,以"合同"、"查询"、"表格"为关键词进行命名的有所增多,此外还出现了使用"ziliao"、"mingdan"、"cailiao"等拼音来代替原有的"资料"、"名单"、"材料"等关键词,企图以此来对抗情报自动化分析系统的感知策略。


钓鱼样本文件样例如下:

md5

文件名

6b76457c570f41f07d88c06dde996b05

ziliao-pdf-moban6.03.exe

33fc4d1e0ff95975dc801c593474dfa4

ming-dan.exe

30d3e1468412556b54b959dd9d2c65cf

mingdan.exe

4ddeecd15da7bf9da28de2b899010316

cailiaoPDF-mobanDOC.exe

93a50397e4d616811e8f4e75d60446e0

ziliao-PDF.exe

5d983954e643aa72412f8df0db713975

cailiao-mdPDF.exe

a38651421c3f327601e6d6c28e361a7b

mingdan-PDF.exe

d50b5470a52512ed405dc9d78dad9e98

ziliao-PDF.exe

ef1a6069c5d334a7dcb68b1ac392eb6a

mingdan.exe

9166ca99fd8d85eca258a3d671a36c87

mingdan.exe


根据腾讯科恩威胁情报中心统计数据显示,6月初至7月银狐钓鱼攻击呈现增长趋势,通过威胁情报云查拦截的攻击平均每天超过11万次,高峰时期一天超过27万次。并且攻击样本呈现出批量化、自动化生产的特点,部分具有明显共同家族特征的的样本,近一个月内检测出300多个变种。


在当前重保以及银狐黑产团伙活跃的背景下,腾讯科恩提醒广大用户在打开任何从外部获取的文件之前,务必验证其来源的可靠性,不要随意打开来自未知或不可信来源的文件,特别是后缀名为".exe"、".msi"的文件。在电子邮件或即时通讯消息中,不要随意点击链接,尤其是指向不明网站或要求立即下载文件的链接。


2.技术分析

同源样本之间在二进制数据层面仅存在微小差异:


部分样本通过将PE文件入口修改到非text段来逃避检测:


母体样本运行后会通过弹窗提示迷惑用户:


然后在用户文档目录下释放木马文件Tomcat.exe并启动,然后删除母体文件:


将木马exe创建快捷方式wps.lnk,并写入开机启动项:


Tomcat.exe在内存加载并执行shellcode:


连接C2地址156.225.58[.]58[:]3760:


木马上线后搜集用户名、系统版本、CPU等信息发送至远端:


发送命令获取当前系统安装软件列表,并持续通过其他指令对机器进行远程控制,部分指令为明文字符串,例如"GetSoft"为获取当前系统安装软件列表:


相关IOC

C&C:
118.107.42.171[:]3706
143.92.48.166[:]3706
154.39.249.194[:]3706
154.82.92.17[:]3706
154.91.64.155[:]3706
156.225.58.58[:]3706
156.234.0.20[:]3706
156.234.0.32[:]3706
156.240.242.2[:]3706
156.251.17.69[:]3706
206.233.128.109[:]3706
206.238.115.146[:]3706
206.238.115.184[:]3706
206.238.115.233[:]3706
206.238.196.149[:]3706
206.238.196.17[:]3706
206.238.197.185[:]3706
206.238.197.223[:]3706
206.238.198.20[:]3706
206.238.198.23[:]3706
206.238.198.233[:]3706
206.238.199.40[:]3706
206.238.221.220[:]3706


MD5:

93a50397e4d616811e8f4e75d60446e0
33642d364eb40bbcaa2a8db424fd7947
9f9c2e9c586f2b6d9c8d4e738863e1a9
4f6090a4699ddb1a7a1db48b3516c970
48981e3503ded6fdc025322f0a78d585
37a0f97f8d0a115ac4da4fc755a5baa8
b5f583f9ad55b3b1df72b19778c133ce
29ca6a80ce27d671392f87ad1c91fbc5
46b0a09df4050f163695eeb1a3e19b2b
5578bca9c64b768a9ed0202546dbf139
cc988bd086032e009fee7cdd58dfd442
d25e9126e74f1093f35f0dd25064ce46
4cdc98b6d6922ed9a53b69f0fab3ede6
30c9bffeef7c5598279030e7e5675547
3bfb555bfdc4c460fa55389b086496d5
81ff760fa2fd00a428fb6267b4fa397d
5c08352f8dcf3b2a41122f249d03b942
152dba380ec0e9874d03c6c904c5b719
465fbf7671d5a465cbd2f5beeecdbb86
a3e2e7ca1c713b9b456e8bf911e8b61b
e1a6bad0a3a2e1040d730a2d6694fc1c
1e8a2685e7a5f270ae24c1085a7cf5e3
6c96511bba4923cf2bfce64aa6892151
ba3cc50a8b7e6ffc7dfc29622e5cf5dc
679b102b2f7e22201467fa1679538b33
c42965e57680bb86a1ec73706df4f5cb
e59b389e739af82429ff19e707b6eb61
be600a6b5fea37ad1e63270d5e1f32d4
4ea960dd8a5f718f9b2b24b79b4892df
e639842e49a5f0ae3578e412f80ea46a
915475082c4ece8f159f3a794fe90bbb
213c108fe48d438061df6e197a03c366






请到「今天看啥」查看全文


推荐文章
亿翰智库  ·  消失的家人?
7 年前
IT高管会  ·  【参选产品推荐】早上六点:小鸡滴滴机器人
7 年前
爱卡汽车  ·  2017款比亚迪唐上市,补贴后21.99万起!
7 年前
一颗青杏  ·  你打过野战吗?| “杏好有你”电台节目第32期
7 年前
招商策略研究  ·  【招商研究】每日复盘与晨会精要(1011):创业板冲高突破年线后回落
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!