概述
近期,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的黑客团伙,其业务范围涵盖远控、挖矿、DDOS和流量相关。样本主要在Telegram群组中进行传播,样本免杀效果好,有些诱饵针对性强,且极具诱惑性。
目前已经检测到海外用户大量中招,国内少量中招,鉴于其危害较大,__奇安信病毒响应中心__对其进行了分析溯源,并结合相关线索,披露了该黑客团伙。
由于该团伙针对博彩行业,且与我们此前追踪的零零__狗__组织有着相似的目标且目的为敛金,诱饵名恶俗不堪似,不可入眼,因此我们将该黑客组织取名为金眼狗,英文名GoldenEyeDog。
样本分析
十月底,我们捕获到了一个名为《海尔置业福建项目停车场垮塌,造成8死2伤》的测试样本,该初始样本主要功能为下载者,pdb路径:
| PDB |
| D:\MyProject\RatLoader\exe\MFCLoad\MfcInfLoad\Release\T2.pdb |
从该团伙的测试的域名中(test.hhlywsc.cn/q.sct)下载SCT文件并执行,q.sct内容如下:
从远程服务器下载New.jpg保存在C:ProgramData目录下并打开,用来迷惑用户:
从远程服务器下载Junction.exe,保存在C:ProgramData目录下,该文件带有百度签名的白文件,为2016年百度输入法相关组件:
从远程服务器下载basicnetutils.dll保存在C:ProgramData目录下,该文件同样为百度输入法的相关组件,在Junction.exe运行时会被加载,其相关导出函数被修改。
其中有个导出函数作为loader,会解密从远程服务器下载的q.crt,在本地被改名为activeds.crt,内容如下:
获取当前执行目录路径并与“activeds.crt”进行拼接,打开文件:
读取文件数据到新分配的内存中:
解密出一个Dll,PDB路径:
| PDB |
| D:\MyProject\RatLoader\dll\WorkDll\Release\WorkDll.pdb |
通过反射式DLL注入,内存加载dll并调用dll中的导出函数,并进行内存加载。
SCT脚本最后执行Junction.exe,通过上述这种DLL-SideLoading技术,免杀效果很好:
创建两个线程连接远程服务器:
连接的C2:
103.233.8.24:5768
223.199.1.113:5767
从代码中的一些函数名来看,其有些功能还处于测试阶段:
后期我们通过对正式投递的样本进行分析我们发现,核心功能实际上是魔改版的大灰狼远控。攻击者出现的相关文件,表格整理如下:
| 文件名 | MD5 | 编译时间 | 功能 |
| 海尔置业福建项目停车场垮塌,造成8死2伤 | 477bdf867c8000c0e7762f9483e03130 | 2019-10-28 13:42:40 | 第一阶段Downloader |
| q.sct | 5b4b236f8b3260c504ff863be7a7fc8d | 第二阶段Dowmloader,下载后续payload | |
| New.jpg | 4aaf2f314e330d2b95b002b71e93f525 | 弹出该图片用于迷惑受害者 | |
| Junction.exe | c4717e466bcd97c19869e2627b80db89 | 2016-09-26 07:49:48 | 百度输入法白样本,用于DLL-Sideloading |
| basicnetutils.dll | 4a0f24c1f68b18bfa19a695cb0699cc8 | 2019-10-28 13:34:03 | 经过修改的百度输入法组件,会被Junction.exe,用于解密从远程服务器下载的activeds.crt和内存加载 |
| activeds.crt | 87dba009e13df54f023dcb77c6d0de91 | 加密后的Dll文件 | |
| Mem.bin | 53dfd943b8c7ed5d5f93a1333fb975b0 | 2019-10-28 05:57:00 | 内存加载的Dll,为大灰狼远控 |
执行流程如下:
关联分析
通过代码特征关联,我们发现该团伙2019年三月份开始使用这种手法进行攻击,利用的白样本各种各样,整理后的表格如下:
| 文件名 | 来源 |
| IMECommonDownload.exe | 百度输入法 |
| queryInstallLsp.exe | 迅游加速器 |
| tgp_minibrowser.exe | WeGame内置浏览器 |
| QQMusic.exe | QQ音乐 |
| QTCapture.exe | QT语音 |
且投放时这些payload大部分都在该团伙注册的七牛云服务器上:
| ITW |
| http://putj2l6mp.bkt.clouddn.com/1.exe |
| http://pta7l9xuf.bkt.clouddn.com/1.exe |
| http://ptfv5y9m3.bkt.clouddn.com/1.exe |
| http://psk4iauap.bkt.clouddn.com/1.exe |
| http://psk4iauap.bkt.clouddn.com/1.exe |
| http://globaltopgarlic.com/Junction.exe |
关联到四个域名
| 域名 |
| dpcq999.com |
| sudaqiang123.com |
| globaltopgarlic.com |
| test.microsft-update.com |
通过关联test.microsft-update.com的子域名可以得到一批2017-2018年的老样本,可以看到在这两年的时间里该团伙的水平还仅限于对大灰狼源码的修改阶段,免杀效果很差。
PDB:
| PDB |
| E:\MyProject\New\历史版本\20170919_1314\Inst\Release\Inst.pdb |
其释放的DLL有两个模块。
第一个模块为远控:
第二个模块是挖矿程序,XMRig 2.4.3版本:
我们通过研究该团伙成员注册的域名,大致了解了团伙成员的一些习惯,注册的域名大部分为字母加数字,且喜欢注册Test子域名用来测试样本。以www.bestriven123.com为例,bestriven一词源于《英雄联盟》游戏,意为“最强锐雯”,该词被广大英雄联盟玩家作为ID使用,该团伙成员应该为游戏玩家。
我们再研究sudaqiang123.com,sudaqiang拼音转成汉字为苏大强,《都挺好》电视剧的男主角,该域名注册时间为4月份:
而电视剧上映时间为3月份,可以大致推测该团伙成员可能看了电视剧之后注册的这个域名,由于该名称非常罕见,通过Google搜索,我们发现了其在欧洲跳蚤市场上注册的账号,账号注册时间和域名注册时间很接近,且最近还在活跃,可以基本确认该团伙成员应该位于海外。
经过海量数据查询,使用该团伙木马的诱饵名如下:
| 诱饵名 |
| 有露脸 逼逼特写.exe |
| 用国旗作微信头像违法吗?听听律师怎么说.exe |
| 近百人犯罪团伙隐身柬埔寨_仿冒博彩网站诈骗 |
| 东南亚狗推黑名单曝光群 3175882.com |
| 海尔置业福建项目停车场垮塌,造成8死2伤 |
| 在线视频播放 - 无需安装任何播放器.exe |
| 见到这4名涉黑嫌疑人快报警!最高奖50万 |
通过开源蜜罐数据,我们得到了一个疑似符合该团伙命名习惯的动态域名chiji.f3322.net,该域名曾经用于投递上述payload,VT上显示有一个关联样本,时间为2018年初。主要功能为DDOS,有趣的是该样本的PDB路径:
| PDB |
| c:\Documents and Settings\Administrator\桌面\120170930源码集合\20170930源码集合\20170709小七vip压力测试专业版1.1源码\NewTest\Release\fack.pdb |
通过PDB关联到另一批样本,其中包含了linux平台的DDOS样本,提交时间仍是2018年初。
经过多维度关联,我们发现了一个手法相似的样本,名为链接.exe,初始样本都是Downloader,后续使用Dll-SideLoading技术。
本次劫持的是苏州蜗牛游戏(fxgame.exe):
同时从远程服务器上下载JPG或者txt并打开来迷惑用户,由于其TTP相似,我们将其归类为该黑产组织,其中从远程服务器下载的1.txt引起了我们的兴趣,内容如下:
该网址为博彩网站:
且封禁了大陆的IP访问:
这再次说明了,该团伙是针对在东南亚从事博彩,狗推行业的人员。通过代码特征进行关联,我们发现有的样本还伪装成360软件管家:
同时我们找到了下载的另一个诱饵:
湾汇支付是菲律宾的一个第三方支付平台,目前已经跑路:
该团伙可能还参与了诈骗在菲华人的活动,其中有个同源样本连接了39399883.f3322.net动态域名,通过该域名我们又发现了一批样本,PDB路径:
| PDB |
| C:\Users\Administrator\Desktop\1.0+627+修复上线分组\ServerDat\mfcProject\Release\mfcProject.pdb |
连接域名:chenyon1314.xyz。域名符合该团伙命名习惯,通过该域名又关联到了一批样本:
| PDB |
| C:\Users\Administrator\Desktop\大灰狼远程管理(V9.06)\修改无须控件版\Server(内存加载)\calculator\Release\calculator.pdb |
通过PDB我们关联到了一批使用大灰狼远程管理(V9.06)的样本,内存加载利用的程序如下:
| 内存加载利用程序 |
| 大写金额转换器 |
| 人事管理系统 |
| 五子棋 |
| 计算器 |
| 学生宿舍管理系统 |
又关联到了另一个域名www.xunqing888.xyz,该域名最近还在活跃,投递的文件名整理如下:
| 诱饵名 |
| 柬埔寨的人肉市场越来越多了,在外面的朋友注意拉,图片为证。 |
| 老师和学生补习功课为理由在家里面搞起,被学生爸爸发现结果_一起上。.com |
| 非洲大长卵搞日本女优叫天叫地,进来看看 |
| 支付账单详情20190810.pif |
| 微信多功能体验版.com |
碰巧的是,我们刚好在Telegram相关群组中偶遇了正在投递木马的该团伙成员:
该样本回连的域名还是www.xunqing888.xyz,同时我们还在群组中找到了该团伙最新投递的样本:
| 文件名 | MD5 | 编译时间 | 功能 |
| 若任由香港暴力发酵,社会自我修正的时间将所剩无几 | b65b16cb38101fe83edc4afc50cdf100 | 2019-11-07 01:30:46 | 第一阶段Downloader |
| 南昌航空大学教师发表涉港不当言论_校方:严肃处理 | b65b16cb38101fe83edc4afc50cdf100 | 2019-11-07 01:30:46 | 第一阶段Downloader |
TTP发生了细小的改变,第一阶段Downloader从远程服务器下载3个文件:
q0drurhbs.bkt.clouddn.com/z.rar
q0drurhbs.bkt.clouddn.com/z.sct
q0drurhbs.bkt.clouddn.com/temp.exe
z.sct内容如下:
Dll-SideLoading所需的文件被打包成了RAR:
Temp.exe为UNRAR解压程序:
后续的攻击流程与之前一致。
连接的C2:
103.233.10.85:5769
112.67.34.32:5767
诱饵名研究
我们通过各方渠道对收集的200多个样本的诱饵名进行分析,绘出如下图云。
从图中可以看出,高频词汇为:“博彩”、“骗子”、“色图”、“薅羊毛”、“菲律宾”、“柬埔寨”、“赌博”等,这与样本上传地的数据相吻合,上述样本上传地大部分为柬埔寨和菲律宾。
通过对完整诱饵名进行归纳,可以分为如下几类:
1、色情类诱饵名
| 诱饵名 |
| 18岁女孩去夜店被迷奸赤裸裸的躺在沙发上。 |
| OL女王爆乳翘臀黑丝长腿高跟太霸道了求跪舔 |
| 风流成性!丈夫拿自己妻子试药,随后多次约女网友见面 |
| 极品美女老师《H》 |
| 柬埔寨华人女子染上艾滋报复社会 |
2、时事新闻类
| 诱饵名 |
| 港警公布12日在港中大执法经过:为何校园变成“兵工厂”? |
| 《覆活》曝前导预告片_王子邱胜翊首演保镖引期待 |
| 电影《一生有你》曝终极预告海报_初冬暖心告白共赴幸福之约 |
| 国台办证实:3名台湾居民在大陆被审查_涉嫌危害国家安全 |
| 今日14日凌晨,一名中国男子在金边桑园区公寓大楼坠楼身亡 |
3、UC震惊体,类似于国内导航站上面娱乐新闻的标题
| 诱饵名 |
| 【震惊】那里’不给力,老婆嫌弃你,教你一招,让她天天缠着你 |
| 95后奇女子,躺家10天,用100元刷出20万收入,方法曝光 |
| 600年未下一滴雨,却仍居住着900万人 |
| 公公和媳妇通奸被婆婆发现拿剪刀剪命根子,满床都是血。 |
| 环游世界就能赚钱,年仅_20_岁的他过上了无数人梦寐以求的人生 |
4、马来西亚相关诱饵
| 诱饵名 |
| 马来西亚华裔妇女遭电信诈骗被骗6万林吉特 |
| 马来西亚一女子因电话诈骗损失35万_ |
| 马来西亚诈骗案频传,美里有多名华裔妇女中招,几乎每日都有类似案件发生 |
5、杀猪盘、狗推、博彩、网贷相关的诱饵名
| 诱饵名 |
| 杀猪盘聊天记录图集gif |
| 男子利用彩票“漏洞”获利接近2个亿,官方:合法所得! |
| 警惕“注销网贷账号” |
| 柬埔寨西港毒情严重,开年又8人被捕,其中7名为中国籍_ |
| 推广三年经验初识柬埔寨从一个小白一无所知到月收入十万,记录我来柬埔寨做狗推的心得!!! |
| 狗推看过来给你一个抬头的机会,我现在已经出坑,并且花14万,洗白 |
6、资源共享类
| 诱饵名 |
| 东南亚资源共享 狗推狗刷菠菜 |
| 福利 柬埔寨 菲律宾小赌网站资源 |
| 太阳城10月会员总汇 |
| 澳门新葡京会员资料 |
| 300份会员新存取款记录 |
| 11月份首充会员报表 |
可见诱饵名内容遍及各行各业,诱惑性极强,应该是经过精心挑选出来的。为了满足我们的好奇心,现在要解决的一个问题是:这些诱饵名是从哪里来的呢?
攻击者在哪?
目前我们已知的是:攻击者应该是位于柬埔寨的华人。从测试域名入手,在奇安信平台中寻找时间在十月底和十一月初,与测试域名有关联性,且地址位于柬埔寨的IP,通过简单筛选我们发现了一个可疑的IP:49.156.XXX.XXX。
通过一些渠道,我们发现了一些端倪,以下为攻击者经常访问的一些站点。
新闻相关的站点诸如:大河网,网易新闻,东方网,北方网,齐鲁网,鲁网,以及一些政府相关的网站。
博彩相关网站,可能为攻击者的娱乐活动:
工作相关的站点:
生活相关站点:
总结
鉴于该金眼狗(GoldenEyeDog)黑产团伙的目标为东南亚地区的博彩从业人员,并且使用的诱饵极具诱惑性,从我们的对样本的名称统计词云图便可以看出:这些诱饵有极大的可能被普通用户点击并运行。
为了防止用户误点击而导致个人财产和信息受到窃取,因此,奇安信病毒响应中心负责任的披露了这篇报告,并以学术性质的进行安全研究探讨:如何遏制此类极具诱惑力的样本攻击,才是我们当下应该要做的事情。
目前,奇安信全系产品已经支持本报告中提及的所有样本家族的查杀。
安全最脆弱的地方在于人心,当攻击者想方设法利用人性弱点进行攻击,那么当人疏忽的那一刻,悲剧便已经产生,加强安全意识培训,不要点击来历不明的exe,不要上不正规的网站,不要浏览博彩网站,才是发扬社会主义核心价值观的处世之道。
IOC
MD5:
79a4f8c5fe33b162187e2341e3fac004
b65b16cb38101fe83edc4afc50cdf100
6ae80424599498af8bcb128f0a24f9d1
03d8614a18a2d4bf1d6478fd216da2e2
7762605dcb35118fb69546affd096ac8
7b3ba2f713f05906b6241144f3979628
f3b32e9b5632230769de0abf150288a2
0d0e93676954f41af2b7885f6b788d1e
30ec1d1dabe0cd4e757f84a3052f3465
2f4329446849a13600aab4f03a7427a2
2de1a991b799bc11a67e9b5112947182
C2:
103.233.8.24:5768
223.199.1.113:5767
103.233.10.85:5769
112.67.34.32:5767
223.199.14.229:5767
202.181.24.16:8596
202.181.24.16:9118
103.76.87.126:9772
域名:
test.hhlywsc.cn
www.bestriven123.com
www.xunqing888.xyz
xunqing8888.xyz
chenyon1314.xyz
dpcq999.com
sudaqiang123.com
globaltopgarlic.com
test.microsft-update.com