黑产分析报告:一次后攻击阶段升级控制活动分析

01

序言

近日，有用户反馈其设备在登录即社交软件后，自动向联系人列表群组发送了信息，且信息疑似为钓鱼链接，并不清楚是由什么导致的，换言之就是设备被莫名控制。

接到反馈后，奇安信病毒响应中心迅速对其进行了分析，经过对用户提供的钓鱼链接负载的文件进行分析，发现其最终会在设备上注入隐蔽的木马程序，达到控制设备的目的。在已经控制了受害者设备的前提下，还进行了社交软件工具操作传播钓鱼链接，其目的昭然若揭，基于对整个事件的分析，我们最终定性此次事件为后攻击阶段升级控制的攻击活动。

02

攻击方式

作为后攻击阶段投递的载荷，主要通过受害者社交软件进行感染扩散，采用钓鱼链接的方式进行负载，同时，也发现有通过浏览器下载的痕迹，其也可能会通过钓鱼网站的方式进行传播。操控受害者社交软件传播截图如下：

03

攻击载荷

在整个攻击链中，有很多的攻击载荷，部分进行了序列化，也有一些是解密后直接内存加载执行，主要攻击载荷如下表：

文件名

MD5

描述

FA1-方案第二批次.msi

a6846dde7b36c415af56ad35d6bbfd19

用作诱饵的安装程序

adme.txt

81a7e8b40bbf3772758c80c696b6516b

释放的加密shellcode文件

awesomium.dll

1103925f8a4d958d157ae453dcf0a87f

用于白利用的恶意dll

adme.bin        

aeb63f6755449fabf52b061bd5faea3f

解密的无位置反射DLL注入shellcode

上线模块.dll

f9ed56890d91258a6628160a01360e78            

shellcode加载的恶意dll

登录模块.dll

a27cadfc0d0bc4382307f986ed67ccb0            

核心远程控制木马

04

样本分析

此次攻击活动的主要目的在于感染更多设备和增强已受控设备远控功能。利用白利用、DLL侧加载、加密和多阶段检测和动态加载恶意载荷，具有比较复杂的攻击链，获得了较好的免杀性。主要攻击流程如下：

（一） DownLoader

首先攻击者在被控设备监控到受害者社交软件已安装运行时，会操作受害者社交软件向其好友群组发送社工信息，引导受害者及群组成员访问钓鱼链接，采用“@所有人”的方式提醒群组成员。钓鱼链接点击后会自动下载负载程序。

钓鱼链接下载程序为MSI安装程序文件，其主要在应用安装目录释放3个文件。

释放的3个文件分别是白程序awesomium_process.exe、白利用恶意模块awesomium.dll和加密shellcode adme.txt文件。首先adme.txt会备份到C:\ProgramData路径下，在使用时进行复制。

其次，在将adme.txt解密之后，申请内存并开启新的线程实现DLL注入。

（二）Shellcode

对内存注入的shellcode进行分析，发现其是由一个打包DLL的shellcode PE加载器开源项目sRDI打包生成。

    

加载器未使用加密混淆等对抗手段，可以直接将其打包的dll提取出来。

提取的DLL模块名称是“上线模块.dll”，它是winos payload的默认名称。

‍‍‍‍上面已经确定了本次攻击内存中加载的是winos远控，而它常常使用的技术则是将核心远控数据藏在注册表中，以躲避安全软件的检测和查杀，之后读取注册表数据，再利用DLL侧加载技术将其注入到系统进程执行。

（三）BackDoor

‍‍‍‍‍‍‍‍‍‍‍

Winos是用 C++ 编写的针对 Windows 平台的框架，其功能包括文件管理、使用多协议的分布式拒绝服务 (DDoS)、全盘搜索、网络摄像头控制和屏幕捕获。此外，它还支持许多功能，包括进程注入和麦克风录音、系统和服务管理、远程 shell 访问和键盘记录功能，进一步增强了其控制和监控受感染系统的能力。这也是攻击者在侵入受害者设备后执行后攻击阶段的原因。

其攻击时通过“上线模块.dll”将“登录模块.dll”写入注册表又提取之后，通过远程线程注入到系统进程svchost.exe中，而公开情报中对于其功能的分析也比较多，这里就不再赘述。而且在分析调试时可以看到其C&C服务器IP。

051

总结

此次攻击定性为后攻击阶段的升级控制活动，在感染受害者设备后，不仅借助受害者社交软件工具进行传播，同时为了提升控制功能和方便控制管理进行的又一次的攻击活动。从受害者反馈的信息来看，其前攻击阶段也具有极强的隐蔽性，以至于受害者在感染后依然无法发现从何种渠道和程序被感染。

此类攻击的出现引发了网络安全领域的深切关注，因其严重性远远超出了传统的网络威胁。其传播方式不仅能够迅速传播和潜伏在系统中，还具备高度隐蔽性和复杂的功能。在造成受害者财产和信息损失的同时，也对其社会生活造成了极大的困扰。普通用户首先要做的事增强网络安全意识、实施有效的信息安全策略以及定期更新防护措施，这些都是减少此类威胁影响的关键步骤。

062

防护建议

奇安信病毒响应中心温馨提醒用户，提高安全意识，谨防钓鱼攻击，切勿打开社交媒体分享和邮件接收的来历不明的链接，仔细辨别发件人身份，不随意下载和点击执行未知来源的附件，不以猎奇心理点击运行未知文件，不安装非正规途径来源的应用程序，如需使用相关软件，请到官方网站和正规应用商店下载。为了更好的防护自身免受感染侵害，可选择可靠的安全软件，同时保持系统和程序的更新。

目前，基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC（态势感知与安全运营平台）、奇安信监管类态势感知等，都已经支持对此类攻击的精确检测。

天擎已对其攻击相关载荷进行全面识别，查杀情况如下：

072

IOC

MD5

81a7e8b40bbf3772758c80c696b6516b

1103925f8a4d958d157ae453dcf0a87f

aeb63f6755449fabf52b061bd5faea3f

f9ed56890d91258a6628160a01360e78

a27cadfc0d0bc4382307f986ed67ccb0