近期在江西、湖北、湖南、福建等多地机关单位发现了“银狐”木马,经过研判发现,这些木马样本是境外黑灰产组织“银狐”团伙制作完成,主要通过微信、QQ、赣政通、闽政通、长政通等多个即时通讯软件进行传播,主要针对党机关单位和企事业单位,钓鱼攻击对象主要是财务人员、人力资源管理人员以及销售人员;攻击者利用这些木马可以直接获得主机的控制权限,监控中毒人员的日常操作,窃取一些机密数据,进一步利用被控机器上面的即时通讯软件进行进一步传播,进行针对性的钓鱼攻击、网络诈骗以及金融诈骗等犯罪行为。
一、木马样本系列
现如今大范围传播的主要是123.exe、250_ChaCha20_Emoji.exe、9月份税务企业抽查罚款名单 (2)(4).zip、Microsoft Power Excel.Exe这四类木马样本,其余木马样本传播较为少,详细的信息如下图微步社区收集的信息所示。
二、木马样本分析
本篇文章抽取9月份税务企业抽查罚款名单 (2).zip和250_ChaCha20_Emoji.exe两个木马样本文件进行分析研判,师傅们有想要分析的可以直接复制其特征值到一些在线查杀网站进行木马下载逆向分析,还有相关的流量数据包进行网络流量分析。
1.9月份税务企业抽查罚款名单 (2).zip样本
(1)基本信息
SHA256值:
d0dc9c19ac4d8705e6637b2659e24d8df7d08722f31be00c15728eaefcd33469MD5值:
52e89cc2b3d8592336a50230293cf136利用在线网站分析其元数据发现该样本创建时间在2023:09:18 21:20:02
(2)恶意样本主要行为
该9月份税务企业抽查罚款名单 (2).zip样本解压之后发现存在病毒样本Microsoft Power Excel.exe文件,该文件释放目录为:C:/users/用户名/appdata/local/temp/,紧接着还会在缓存目录下(C:UsersAdministratorAppDataLocalTemp)下生成_MEIXXXXX类型文件夹,文件夹下存放着大量的恶意dll、pyd文件。
其中,Microsoft Power Excel.Exe的MD5值为:
798e06bb4cae5ad3c5db6fb41581b8d1483cd1580898f640136d222ab71e0dca恶意样本大致的执行图
本地电脑缓存目录下的文件情况
经研判发现,在文件传输端口(21端口)上发送网络流量进行用户创建,获取当前目录地址,然后希望后续利用开启3389远程端口进行远程连接的敏感操作。
(3)通信恶意IP
恶意IP地址:43.129.206.55
该恶意IP地址主要攻击行为:爆破GITLAB,端口扫描等扫描攻击手法。
该恶意IP地址主要开放的端口:21,22,53,80,135,139,443等18个端口,其中49664,49665,49666等6个端口为非常用端口。
该恶意IP地址部署的应用或服务:OpenSSH,Apache httpd,nginx,MySQL,Microsoft Terminal Services,Apache(版本2.4.46 (Unix) PHP),Apache,FileZilla Server,Microsoft-HTTPAPI(版本2.0)。
2.250_ChaCha20_Emoji.exe样本
(1)基本信息
SHA256值:
23a98b7d98b9be01c7df7cf66b76505755774eccd5d63cbe67b67482919c6787MD5值:
63f039ec1110b70b61b51df0565e924b利用在线网站分析其元数据发现该样本创建时间在2023:09:21 01:08:00
(2)恶意样本主要行为
该250_ChaCha20_Emoji.exe样本和之前的9月****样本有相似之处,会在用户的缓存目录下(C:UsersAdministratorAppDataLocalTemp)下生成_MEIXXXXX类型文件夹,文件夹下存放着大量的恶意dll、pyd文件。
不同之处:通过执行恶意脚本后发现,恶意脚本会自身生成系统证书,尝试去创建或修改系统证书,然后通过获取注册表的某些键值来获取当前主机信息,包含国内防病毒软件、启动项。
恶意样本大致的执行图
(3)通信恶意IP
恶意IP地址:43.129.206.55(上面的样本已分析就不看了)
恶意域名:www.loaplqwq.com(逆向发现该样本中含有恶意域名,一起研判看看)
恶意域名开放的端口:80,443这2个端口。
恶意域名部署的应用或服务:nginx。
通过资产搜集可以猜测该恶意域名的主要目的是传播恶意样本文件,攻击者获取到相关主机权限后可通过该域名进行恶意样本下载,也在恶意样本中放置相关源文件下载地址,防止某些文件被安全软件恶意杀完之后,重新加载恶意样本时进行缺失源文件、配置文件下载。
三、预防排查方案&应急处置方案
预防排查方案
1.在边界防火墙对恶意IP以及域名进行封禁处置;
2.在微信、QQ、赣政通、闽政通、长政通等多个即时通讯软件进行搜索,看是否存在以上提到的恶意样本文件;
3.自身电脑可以使用Everything等搜素软件进行全盘搜索,看是否存在以上提到的恶意样本文件;
4.检查用户缓存目录看是否存在_MEIXXXXX类型文件夹,若是有的话最好对重要文件进行备份,然后全盘格式化重装;
应急处置方案
1.应急过程遇到相关恶意脚本,无需惊慌,首先拔了网线,切断互联网连接,遏制其传播,紧接着对_MEIXXXXX类型文件夹内容进行删除处理;
2.对恶意文件的进程以及服务进行处置,对注册表恶意键值内容进行删除处置;
3.联系安全厂商进行病毒库升级,使用病毒软件进行全盘扫描杀毒;
4.最后边界防火墙对恶意IP以及域名进行封禁处置;
转载来源:https://mp.weixin.qq.com/s/wwMtzvC3Mz-U71aA30W1Ng
图片来源网络侵权可联系删除
