● 背景 ●
近期,腾讯安全科恩实验室在对钓鱼木马类攻击事件进行跟进时发现,某钓鱼团伙开始大量投递一类钓鱼样本,这类诱饵文件命名主题往往包含“避税方案”,“违规处罚”,“清明节调休”,“罚款名单”,“征信黑名单”等关键词。目前已有企事业单位出现中招的情况。经分析该团伙使用的攻击样本存在以下几点明显特征:
1.将启动程序拷贝到系统目录,设置文件隐藏属性;
2.创建计划任务在开机的时候进行启动隐藏的文件;
3.通过加密通信的方式下载数据,并将附带魔改Gh0st远控木马的数据写入注册表中,在运行时动态加载到内存。
基于这些特点,一旦此类木马植入成功,后续攻击团伙的破坏过程将具有极高的隐蔽性。
在分析过程中科恩实验室分析人员发现,该类木马在与C2地址进行通信时,往往使用6666或8888端口,并且加密后的数据也存在很多"6666"字符串,特别是在对数据进行定位时使用了字符串"FaCai2024",因此将该团伙命名为**“FaCai”**。
腾讯安全科恩实验室提醒企事业单位及个人用户,不要因为好奇而随意点开通信软件、群聊中包含此类主题关键词的文件,特别要留意后缀名称为”.exe“的执行文件。因为这很可能是黑客投递的钓鱼木马程序,如果点击允许执行,可能会造成高危害的损失。
钓鱼诱饵文件名示例
关于2024最新合理避税方案 函数处罚标准!.exe
财会人员薪资补贴调整新政策所需材料函数.exe
2024年3月份违规处罚名单.rar
公司通知财会人员清明节调休时间如下.exe
详细名单.exe
打开密码123.exe
3月份涉税财会人员征信拉黑名单如下.exe
四月企业罚款名单.exe
3月处罚名单.exe
2024年清明节公司财税违规名单.rar
名单详情.exe
详情0000.exe
违规名单.exe
违规开票处分企业名单xlsx.exe
2024年3月份违规开票企业处罚名单.rar
详情,,,.exe
最新财会人员征信黑名单.exe
四月最新财会人员征信黑名单.exe
2024财会人员处罚新政策所需材料.rar
3 月份 违 规处 罚名 单.rar
电子发票.exe
技术分析
样本执行后,首先会获取当前系统中运行的进程数量,判断是否超过40,进程数量少于40则会直接退出。
通过wcsrev函数反转宽字符字符串,再通过定位标记获取字符串里的IP和端口号。
获取到的C2地址IP和端口号:
ip1=134.92.43.149 port1=6666
ip2=134.92.34.149 port2=8888
ip3=134.92.34.149 port3=82
通过this指针访问虚函数,执行核心功能代码。
连接地址143.92.43.149:6666,并接下载加密过的数据。
申请内存放置下载到的数据,判断注册表项\HKEY_CURRENT_USER\Console\0是否存在,若不存在则创建该注册表项并写入二进制数据。
如果已经存在注册表项,则从该注册表项中读取数据到内存,通过字符串“FaCai2024”定位数据写入“IpDates_info”注册表,然后跳转到shellcode执行。
shellcode负责加载执行内存数据中附带的PE文件。
经分析内存中运行的PE文件是经过修改的Gh0st远控木马,会将当前母体进程文件拷贝到C:\ProgramData\StartMenuExperienceHos.exe,然后删除自身,再将拷贝后的文件设置为隐藏和系统文件属性,然后安装名为"系统垃圾清理"的计划任务进行持久化,当任何用户登陆时启动该木马程序,以达到长期控制该机器的目的。
StartMenuExperienceHos.exe在常规模式下不可见(打开系统显示隐藏文件也不行),需要使用专业工具才能看到。
木马提升当前进程权限,包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限。
等待接收远程命令执行上传下载文件,权限提升,键盘记录,屏幕监控,执行任意程序等功能。
在向C2发送数据前和收到数据后,都通过自定义的以异或运算为基础的方法进行加解密。
通过流量抓包分析,可以看到该木马通信数据包中有很多“6666.6”字符串特征。
相关IOC
12532d6f8434b4f1e6b1ec7b98ef8e91
887a04cda34f7af3f350fd5f4d7a10c2
21a41eea0c4a12ac80a0a41dd06b86c6
c17aa0a7bc88d9f753fdd5cb13be697a
ed7d98ec86252ba3f73d92f7d08513ea
e90bafa40809c64f1535bf1684b14ee4
9c6b3ebb6719f90e638aa097825e5bd3
2f202856508ad743315739b0b8164e45
edc41e28dc9c16705b6658f8536c8101
bb5c8121a1748a170d4cc5e16f40093e
93a8cc0f7a074b83e34f6e89c538005c
4479178d28e07bd1eef068ef15a83d47
5361f396d10252751b39c06af8168c34
277034be6ced435eee05828efc667a7c
f0cdb673d986220b1acb66b965430be7
254943ea6620a11127ee127ba8d3d447
a1ed0088746b3c32069f9c03b29941c3
122113733ebd64e52e574cbfe2488f04
4dbf6b59106684ac56d63448d7af432c
530781bfc00af3cb514224c395fb8cc9
e1c98c669b0f4f9d36363159b44c10bb
9b630d01963e15bf5b95b9cef6d99195
73dd67e9a28ad65aee8cc7124e72c29d
db75168085d86684dda95e27fa4edf8d
0bff46b362062157ec4c30f8dd0844f5
29a25c10c424c783092286fa2aab9f42
c03f269ee0be50799a55ef60715090b4
13b74c9f5bebb00fac30f564f7471192
48916e81c1e9aa7ab49781db0eece78b
e39be7543a5c207dd644bbda61d56a5c
d37921e7d9e37f278046835fdb35ac96
910791ee946623a2e48c23db6694a583
dd389d68658326c52658649d798c315a
59b9287a187e8b611d9b027544574e7a
a54f4cef4f1f72c361dafa288cb657fc
1878d82888fb77c426a21e1f1d996120
ae582838083b5651df0883e29caa66c6
e32cbb79663bcb2cefe39fc452eb7867
ba4b67b1548b4f1b52811095d14fb25b
40df53e429cec1c6512789810bab8cb9
143.92.43.149
143.92.43.168
143.92.43.190
143.92.60.110
143.92.43.221
122.10.18.3
23.234.39.202
122.10.10.135
122.10.105.54
122.10.14.187
198.44.248.162
122.10.17.130
143.92.43.227
122.10.26.236
103.214.140.108
23.234.37.182
143.92.43.234
45.195.57.98
143.92.43.202
产品体验