报告编号:CERT-R-2023-278
报告来源:360CERT
报告作者:360CERT
更新日期:2023-07-14
在刚刚过去的2023年上半年中,针对财务人员的RustDog钓鱼木马始终活动频繁。而就在近期,360安全大脑再次监测到该钓鱼木马活跃度进一步提升——据360终端安全产品的大数据日志统计——360各类安全产品日均阻断该木马攻击已达数千次。
RustDog钓鱼木马因其早期版本由Rust语言编写而得名。其背后的团伙是一个专门针对企业员工发起钓鱼攻击的组织,该团伙一般以涉税 相关内容作为钓鱼文件标题(如“2023减免企业及个人所得税最新标准”)来迷惑潜在的攻击目标,同时擅长利用powershell、cmstp等LOLBINs完成部分入侵功能。而一旦攻击成功,攻击者会在受害机器中植入远控木马,对受害用户进行远程控制并伺机窃取用户数据。
最近,该团伙再次通过钓鱼网页、即使通讯工具、邮箱等传播方式进行大范围攻击。攻击者通过上述媒介构建的虚假页面诱导用户点击钓鱼链接,再通过连接跳转至后门木马的下载链接。一旦用户中招,攻击者便会通过后门木马下发远控程序,进而控制受害者的电脑。此外,攻击者还会利用远控木马控制用户的即时通讯软件再次传播木马,对用户造成极大的连带损失。
近期传播的该家族木马名称中时常有类似于“fapiao (1).zip”、“2023-07-07 清 单.rar”、“关于公司薪资调整通过相关部门审核.exe”等的字样。同时,木马在传播对抗中也使用到了多款远程控制工具——包括Gh0st远控变种、修改版向日葵远程协助工具和超级网控 等,并在此基础上频繁的更新钓鱼页面。
_图2 攻击者伪造的虚假“国家税务总局”钓鱼页面_
下面以近期捕获到的该家族木马的其中一个为例,进行技术层面的分析:
样本MD5:4b45026b5faeb8d744f0b141a5772fee
图3 样例样本图标
木马一经启动,首先会完成一系列检查与初始化。这之后,代码会连接CC服务器:
43.132.194.41:1150
连接成功后,木马会尝试接收从该服务器中下放的payload内容并进行加载执行。执行后的payload会在内存中解密出一个dll文件——该dll则是一个具有完整功能的远控木马。而有趣的是,在该dll运行时,其代码会检测360Tray.exe进程是否存在——如果存在,则会弹一个应用程序错误的窗口,用于迷惑用户。
图4 检测“360Tray.exe”的功能代码
图5 当检测到360Tray.exe存在时弹出的迷惑弹窗
如果该程序在启动时参数个数为1或者是带有-Puppet字符串,则会把payload注入到notepad.exe或者explorer.exe进程。
图6 参数决定进程注入功能
此外,该样本还会把自己复制到以下位置并将文件属性为隐藏,同时在注册表中将该路径添加为自启动项:
C:\ProgramData\rundl123.exe
而到了具体的功能部分,该木马首先会获取用户机器的基本信息信息——这其中包括操作系统信息、CPU信息、内存信息等,并把获取的 这些信息经过加密后发送到远程机器上。
图7 获取用户机器基本信息
远控的控制通信也是经过了简单加密的,而在分析人员对其进行解密之后可以看到该木马所具备的控制功能均属于比较常规的远控指令。
图8 远控功能代码
| 控制代码 | 控制功能 |
|---|---|
| 0x33 | 关闭窗口 |
| 0x3D | 设置SYSTEM\\\\Setup注册表,ValueName为Host |
| 0x3F | 设置SYSTEM\\\\Setup注册表 |
| 0x40 | 获取当前会话信息 |
| 0x01 | 加载Gh0st远控 |
| 0x12 | 加载Gh0st远控 |
| 0x1E | 加载Gh0st远控 |
| 0x23 | 加载Gh0st远控 |
| 0x28 | 加载Gh0st远控 |
| 0x29 | 加载Gh0st远控 |
| 0x2D | 加载Gh0st远控 |
| 0x32 | 加载Gh0st远控 |
| 0x62 | 加载Gh0st远控 |
| 0x6C | 加载Gh0st远控 |
| 0x7A | 加载Gh0st远控 |
| 0x80 | 加载Gh0st远控 |
| 0x81 | 加载Gh0st远控 |
| 0x83 | 执行向日葵远控 |
| 0x84 | 提权 |
| 0x85 | 启动rundll32执行释放的dll,添加hook功能 |
表1 远控控制功能
木马通过0x83命令功能,首先会获取temp目录下”ldr”开头的文件,然后复制向日葵配置文件到如下路径中:
C:\ProgramData\Oray\SunloginClientLite
之后启动向日葵远控——利用这种替换配置的方法,就实现了对向日葵程序的控制。
图9 利用部署自定义配置文件实现对向日葵软件的控制
该团伙千方百计进行免杀传播,并向财务相关人员的设备植入木马,主要是为了窃取用户隐私数据,进而为进一步的诈骗提供帮助。攻击者不仅会通过一般的钓鱼方式进行传播,还会利用受害者的即时通信软件来发送钓鱼、欺诈类信息,政企单位应对此类事件提高警惕,防范该木马的攻击。
360安全终端产品可拦截并查杀此类木马,已安装有360终端安全产品的用户不必太过担心。
图10 360安全大脑拦截RustDog木马
- 安装并确保开启安全软件,保证其对本机的安全防护。
- 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件。
- 下载软件、文件时,注意识别下载地址,谨防钓鱼页面,推荐使用带有防钓鱼功能的360安全浏览器进行访问。
- 如果曾经运行过此类木马或者怀疑设备已经中招,可以尽快使用360终端安全产品进行检测查杀。
HASH
- 4b45026b5faeb8d744f0b141a5772fee
- 12880aa1bf0d2981c8d62322d8a58730
- 496427e5ce7a1ba83dcd520dbca357c1
- e4300313c94c8b7a7ad9f347b94be810
- e057ef7b0dd5ec18af600fd7b5add8a3
- 87287951799b09c207be8ace4d760548
IP:Port
- 43.132.194.41:1150
- 154.91.228.82:1150
- 38.47.220.97:1150
URL
- hxxp://piaotongdd.top
- hxxp://y8vv.cn/HmHPCh
- hxxp://kgefbeewlgk.vip/HmvWMq
- hxxp://yjndfvsfvsg.com.cn/Hmo9OB
- hxxp://dianzifapiaoi.cn/HmEoBm
2023年07月14日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯
本文分享自微信公众号 - 三六零CERT(CERT-360)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
