网络安全动态 ·

商业远程控制软件误导安装的黑产攻击模式分析

概述

从2019年以来,奇安信病毒响应中心就一直在关注国内黑产远控市场的发展,在移动端贩卖的远控主要以开源的源代码加壳为主,其余有些使用国外免费的版本的远控,比如我们之前披露过的《阿拉伯木马成功汉化,多款app惨遭模仿用于攻击》,只有极少数的在贩卖自己编写的远控程序,如披露过的《黑产新“基建”:沉淀在上游的“虚拟身份”制造机》,而在PC端除了我们已经披露过利用魔改大灰狼的金眼狗金钻狗金指狗等黑产组织外,我们还观察到有些二道贩子在贩卖合法远控,这引起了我们对这一领域的兴趣。

总的来说在长时间的调研后,我们认为黑产团伙对于合法远控软件的恶意利用,仍处于各自为战的“小农”经济时代,尚没有出现一个能够给各类黑产团伙提供完整解决方案的机构或者组织,离“工业化”时代还有很长的路要走。

合法的远程控制软件在未经用户允许的情况下被恶意安装本身并不新奇,之前我们已经披露过多起类似的攻击行动,但在2020年新冠病毒的阴影下,合法远程管理软件被滥用的情况格外严重,所涉及合法远控的种类和投递诱饵的数量远超以往,并且具有通用化的倾向。黑产团伙通过误导欺骗伪装的方式使用户在不知情的情况下安装合法远控软件实现远程控制,且合法远控一般都带有数字签名或者在杀软的白名单中,驻留程度高,对一般用户而言,没有办法轻易的删除和卸载,给个人及单位造成了极大的安全隐患。

经过长时间的收集和统计,我们发现大约有五款合法的远控深受华语黑客团伙的青睐,投递的样本主要通过zip压缩包的形式在各类社交群中进行传播,大部分诱饵会采用SFX的形式去静默安装合法远控软件,少数使用Lnk文件启动。下面我们会根据攻击对象分类,结合具体的案例进行分析。

为避免给合法远控软件造成不良的商誉影响,本文隐去了所有被黑产恶意利用的远控软件的名称。但仍然给出了部分软件界面截图,目的是帮助读者了解和识别远控软件,一旦看到电脑中出现类似软件界面,能够知道自己正在安装一款远控类软件,以免在不知情的情况下被误导安装。

案例分析

  • 色情类攻击

在2019年时我们曾经发表了一篇名为《黑吃黑:揭秘零零狗团伙利用裸贷照片等诱惑性手段的攻击活动》的文章,其中提到零零狗团伙利用一款国外的远程控制软件对受害者进行远程控制,2020年初,我们观测到该组织还在活动,投递的诱饵压缩包如下:

文件名

MD5

IMG_2689全集(unknow).zip

d51d547164d6ff7f85448fd6c0c0931c

OKD美女长腿美胸.zip

48cd674c4cfaafb89591d6eec1e870f8

八月份会员 资料.rar

dd610d40bdb32283a124d5f4b3523551

出手太阳城会员表.zip

ee2f867255f8021031261447f83c1b15

出售最新资源会员报表.zip

7067c78f79e40ca79daa01231a9b39bf

马上离职出手4个月小组资源.zip

ee2f867255f8021031261447f83c1b15

女大學生97年济南美术老师饰品.zip

080bb2ed8cc79e6c57778d4db6f9de12

王美琳重返菲大战主管饰品.zip

54caa259825cb8c13c8239990dc07793

中国女孩在菲......视频曝光.zip

958bc12d45278a0bdef00e5fb62edfb4

PR社叫我脚丫子 – 足控福利视频65部合集11-20.rar

947ce907e1424ebbcbf8a2b80fe34153

压缩包中的诱饵种类众多:

xls类型

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第1张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第2张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第3张

色情JPG图片

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第4张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第5张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第6张

色情mp4诱饵

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第7张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第8张

攻击流程与我们之前披露的类似,是易语言编写的Dropper,释放静默版本的远控软件

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第9张

获取远控生成的ID和密码发送到远程服务器

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第10张

在年初的攻击中零零狗团伙反复使用wqkwc.cn的子域名作为远程C2,投递了大量的诱饵。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第11张

除了上述远控外,在2020年初时,我们曾经发表了一篇名为《“正版”监控软件被黑产利用,输出把关不严或成另一个TeamViewer?》,在文中提到了黑产团伙利用合法终端管理软件发起攻击,通过监测,报告发表后依然有零星的样本出现在我们的视野中,样本会在%temp%目录下释放并打开mp4小电影迷惑受害者。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第12张

之后再从远程服务器下载合法终端管理软件安装包。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第13张

使用的终端管理软件主控端界面如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第14张

数字签名如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第15张

  • 博彩类攻击

博彩类样本投递集中在2020年上半年,新冠病毒肆虐全球期间。同时经历了年初国内疫情爆发和后续东南亚疫情爆发的博彩从业人员被当作了主要攻击对象。

文件名

MD5

新闻:2016_2020劝返名单地区名字各大重灾区_pdf.zip

4e1683bb8dab772fa58e6ec72cd9707e

【注意】菲律宾移民局将大规模遣返护照被注销的中国博彩员工视频Avln.zip

006ab74787654bca5a12ab385fd5af90

公安部劝返回国注意事项.rar

8b40110982b08bfbd36b6457ce289a41

国内看不到的冠状病毒残忍的背后大揭秘重口味慎入.zip

99cec3b9c3337097588704b78fe9aa38

重磅新闻:公安部代表团会赴菲打击非法赌博等!exe

b83cada6724955cfe9a53c7724b856be

快码专业短信平台_V2.3.3.exe

9f6220d24a3db7306599f538fa9b50d1

压缩包中的内容如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第16张

恶意代码由Smart Install Maker打包,使用静默安装的方式安装DSZY.exe

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第17张

DSZY.exe为合法远控程序监控程序V16.8版本,C2:222.189.238.246:40015,非静默安装界面如下

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第18张

静默安装后会在%appdata%下释放名为whstdk的目录,并释放相关组件,数字签名如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第19张

除此之外,还有SFX打包后的样本

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第20张

自解压包中的内容如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第21张

新葡京6月数据.exe为上述远控的安装程序,接着会打开聊呗潮信双检测.exe,弹出对话框用于迷惑受害者

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第22张

根据相关信息我们找到该远控的官网,该远控是目前国内监控软件市场上占有率较高的一款产品。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第23张

高知名度同时也带来了高风险性,目前国内有不少第三方下载站都提供该远控破解版的下载,攻击者可以零成本的使用该软件发起攻击。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第24张

本机搭建后可以看到有用户信息、实时画面、多画面监控、实时负载、历史记录、监控统计、文件管理、进程列表、服务信息、软硬件管理、监控设置、限制设置等功能,完全满足攻击者的所有需求。主控端管理截图如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第25张

  • 针对金融行业以及股民的攻击

从2019年12月份至今我们陆续观测到有黑产团伙利用合法远控对股民、金融人士发起攻击,在炒股或者金融相关的微信群中大肆传播。

文件名

MD5

身份证开户资料.7z

49eb9b2b26509d8fab038ecb5ab5306c

重磅来袭!!国家大基金二期重磅出手.exe

国金证券持仓明细.exe

中心证券持仓明细.exe

益学堂教育课程表.exe

E7f1c40ca7e9dfcf80c783cdb84e2a18

资金被套明细.exe

da2b7657fac4a1c3ac249df2a19d3eea

持仓明细.7z

cdc6846e668d3ce8bfa56b756239ec17

进群验证.7z

80f543116f0e61432c6cb52cddcc0281

金股计划书.exe

3159b6d224a6fdf85515523088fdf1dd

华泰持仓总汇.exe

9060d15f9f767f4f3bc913e9501b15e2

6万新股民资源.exe

183b2b8e285ad43f2dbd0c326fbbda9e

东方财富持仓图电脑版(1).exe

c0953f99585617c91c908cd2f04a3876

华泰证券持仓截图电脑版.jpg.exe

a762f193b1f2164cc8d6f4fbd0b28abb

国泰君安历史交易明细2020080432429843.xls.exe

c8bd23d75d4e0f9bd9cef9ca06d35706

海通证券持仓明细.exe

5b95bf3e5a9eca55df2520ea4f2c46ce

文件图标如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第26张

释放的诱饵文件如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第27张

压缩包中包含了自解压程序。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第28张

自解压脚本会使ykserver.exe去连接主控端,C2:47.105.134.24:4900

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第29张

除了自解压形式的样本,还会使用lnk来启动软件

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第30张

结合样本信息我们找到了该合法远控的官网,据了解该公司经营的是一款在网吧领域较为流行的远程管理软件。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第31张

经过调查在第三方下载站也能够下载到该产品。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第32张

本地安装后,主控端界面如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第33张

功能如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第34张

  • 捆绑正常程序

样本均为SFX自解压文件,样本中包含作弊APK并且将恶意的合法远控启动文件隐藏在软件说明或者更新的目录下,以此来降低受害者的警戒心。

文件名

MD5

最新快讯2月26号菲行正式通行中国来往的客机.exe.zip

8eac881218f4e79ce3e5ddc15b6b5d61

天堂M助手0909.apk.exe

cfcf97b8dd8bca9b38f49ea0e0e5c530

三國群英傳M輔助0617v2.apk.exe

fcda234ccbf6569e8ae16120b5e58a5f

样本图标如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第35张

SFX脚本信息如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第36张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第37张

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第38张

非静默状态下安装包界面如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第39张

数字签名如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第40张

结合样本信息我们找到了该远控的官网

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第41张

其主控端可以安装在手机上对PC端进行远程控制。无门槛注册,试用时间高达一年。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第42张

功能如下:

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第43张

生成的被控端在VT上的查杀率极低,对于攻击者来说不失为一种既廉价又省力的解决方案。

商业远程控制软件误导安装的黑产攻击模式分析 网络安全动态 第44张

总结

除上述五种常见的合法远控之外,市面上还有百余款合法远控处于待开发状态,大部分合法远控会通过官方的子域名进行通信,这给我们溯源和描绘攻击者画像带来了极大的困难,同时有不少二道贩子打着免杀远控的旗号在地下论坛贩卖此类远控,坑骗中间人也给黑产市场造成了大量的混乱。安全研究人员务必做好长期对抗的准备。

从预防的角度来讲,大多数诈骗都是利用人性的欲望来进行诱导的,因此,洁身自好,不贪图小便宜,培养风控意识能在很大程度上防范当今的诈骗,从安全的角度来讲,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,也能阻止诈骗活动的展开。奇安信病毒响应中心会持续对国内黑产进行挖掘和跟踪。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)天擎天眼高级威胁检测系统奇安信NGSOC等,都已经支持对该家族的精确检测。

IOC

文件Hash:

d51d547164d6ff7f85448fd6c0c0931c

48cd674c4cfaafb89591d6eec1e870f8

dd610d40bdb32283a124d5f4b3523551

ee2f867255f8021031261447f83c1b15

7067c78f79e40ca79daa01231a9b39bf

ee2f867255f8021031261447f83c1b15

080bb2ed8cc79e6c57778d4db6f9de12

54caa259825cb8c13c8239990dc07793

958bc12d45278a0bdef00e5fb62edfb4

4e1683bb8dab772fa58e6ec72cd9707e

006ab74787654bca5a12ab385fd5af90

8b40110982b08bfbd36b6457ce289a41

99cec3b9c3337097588704b78fe9aa38

947ce907e1424ebbcbf8a2b80fe34153

9f6220d24a3db7306599f538fa9b50d1

b83cada6724955cfe9a53c7724b856be

49eb9b2b26509d8fab038ecb5ab5306c

E7f1c40ca7e9dfcf80c783cdb84e2a18

da2b7657fac4a1c3ac249df2a19d3eea

cdc6846e668d3ce8bfa56b756239ec17

80f543116f0e61432c6cb52cddcc0281

3159b6d224a6fdf85515523088fdf1dd

9060d15f9f767f4f3bc913e9501b15e2

183b2b8e285ad43f2dbd0c326fbbda9e

c0953f99585617c91c908cd2f04a3876

a762f193b1f2164cc8d6f4fbd0b28abb

c8bd23d75d4e0f9bd9cef9ca06d35706

5b95bf3e5a9eca55df2520ea4f2c46ce

8eac881218f4e79ce3e5ddc15b6b5d61

cfcf97b8dd8bca9b38f49ea0e0e5c530

fcda234ccbf6569e8ae16120b5e58a5f

C2:

wqkwc.cn

222.189.238.246:40015

124.156.166.145:22

47.105.134.24:4900

声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论