黄雀行动：针对东南亚网络“菠菜”的新一轮钓鱼攻击

芊芊551

诱饵名称如下图所示：



此木马多次进行模块嵌套加载，并同时在用户名为“hytl”的“永硕云盘”上下载相关伪装的JPG文件。一些诱饵文件还会释放迷惑性极强的相关文件，以掩盖其已经在后台植入恶意远控的事实。释放的相关文件如下图所示：



此类样本涉及多个公司的白文件以及侧加载的dll如下图所示：

公司名称	白	黑
Shandong Anzai Information Technology CO.,Ltd.	Nsec.exe	NFPCore.dll
厦门多帆网络科技有限公司	DingDebug.exe	wke.dll
上海幻电信息科技有限公司	DingDebug.exe	bililive.dll

木马病毒所使用的pdb信息总结如下：

pdb信息

C:\collector\Release\collector.pdb

F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载TT\Release\下载.pdb

F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载\x64\Release\下载.pdb

D:\Administrator\Desktop\网易CC\collector\Release\collector.pdb

D:\Document And Settings2\Administrator\collector\x64\Release\collector.pdb

一、母体程序执行流程

母体主要通过从数据段释放dll，加载到内存之后，紧接着联网下载“永硕云盘”的伪装JPG。







最后创建一连串link，这些link通过属性值相关联。







二、dll侧加载过程

NSec.exe侧加载NFPCore.dll文件，通过对母体释放的kk.txt进行解密、解压缩，并加载到内存。



三、C&C远控模块执行

远控模块首先将进程优先级设置为最高，接着与服务器vip.bzsstw.cn连接并解析指令。在早期的一些病毒样本中，母体释放了kk.log，而不是kk.txt，其在初始化中创建批处理程序保证当前木马程序一直处于运行当中。



无论是使用kk.txt或者是kk.log，该木马其对命令解析的核心部分一模一样，均是远控软件gh0st的定制版。下图为解析命令函数：



其中，当解析命令为某种特定命令时，需要首先将kk.txt中数据段中的特定数据（插件）通过解密加载到内存中，同时在本地保存为plugin32.log。释放插件之后，对一些特定指令进行解析。指令解析如下：

接收指令	使用插件中的函数	操作
0x1	DllFile	获取各个磁盘容量
0x4 || 0xa2		修改使用的插件
0x8		更改窗口管理器以能够控制窗口
0x9		提权以管理员模式运行此程序
0xA		关闭exporer.exe进程
0xB		删除用户chrome usrdata数据
0xC	fnproxy	使用代理
0x15	Dllscreen	截取屏幕
0x24		监控键盘输入
0x2A	DllSyste	获取进程以及模块信息
0x36	DllMsgBox	弹窗报错
0x37		修改分组
0x38	DllShell	创建远程控制cmd
0x39		关闭指定窗口
0x3A		删除相关文件
0x3B		清除日志
0x3C		获取主机信息
0x3e		从网络上下载可执行文件，并执行
0x3f		运行云控下发数据
0x40		运行云控下发数据，同上
0x41		更新插件
0x42	DllOpenUrlHide	隐藏打开IE浏览器
0x43	DllOpenUrlShow	显式打开IE浏览器
0x44		修改域名
0x45		等待事件运行结束退出，否则强制退出
0x46	DllSerst	获取服务器信息
0xA1	ConnSocks	连接服务器