搜索
查看: 1175|回复: 0

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击

[复制链接]

14

主题

14

帖子

31

菲华币

菲华新兵

Rank: 1

积分
14
发表于 6 天前 | 显示全部楼层 |阅读模式
本帖最后由 ade7788 于 2020-11-21 21:09 编辑



黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w4.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w5.jpg

诱饵名称如下图所示:

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w6.jpg

此木马多次进行模块嵌套加载,并同时在用户名为“hytl”的“永硕云盘”上下载相关伪装的JPG文件。一些诱饵文件还会释放迷惑性极强的相关文件,以掩盖其已经在后台植入恶意远控的事实。释放的相关文件如下图所示:

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w7.jpg

此类样本涉及多个公司的白文件以及侧加载的dll如下图所示:

公司名称
Shandong Anzai Information Technology CO.,Ltd.Nsec.exeNFPCore.dll
厦门多帆网络科技有限公司DingDebug.exewke.dll
上海幻电信息科技有限公司DingDebug.exebililive.dll


木马病毒所使用的pdb信息总结如下:

pdb信息
C:\collector\Release\collector.pdb
F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载TT\Release\下载.pdb
F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载\x64\Release\下载.pdb
D:\Administrator\Desktop\网易CC\collector\Release\collector.pdb

D:\Document And Settings2\Administrator\collector\x64\Release\collector.pdb


黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w8.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w9.jpg

一、母体程序执行流程

母体主要通过从数据段释放dll,加载到内存之后,紧接着联网下载“永硕云盘”的伪装JPG。

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w10.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w11.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w12.jpg

最后创建一连串link,这些link通过属性值相关联。

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w13.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w14.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w15.jpg

二、dll侧加载过程

NSec.exe侧加载NFPCore.dll文件,通过对母体释放的kk.txt进行解密、解压缩,并加载到内存。

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w16.jpg

三、C&C远控模块执行

远控模块首先将进程优先级设置为最高,接着与服务器vip.bzsstw.cn连接并解析指令。在早期的一些病毒样本中,母体释放了kk.log,而不是kk.txt,其在初始化中创建批处理程序保证当前木马程序一直处于运行当中。

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w17.jpg

无论是使用kk.txt或者是kk.log,该木马其对命令解析的核心部分一模一样,均是远控软件gh0st的定制版。下图为解析命令函数:

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w18.jpg

其中,当解析命令为某种特定命令时,需要首先将kk.txt中数据段中的特定数据(插件)通过解密加载到内存中,同时在本地保存为plugin32.log。释放插件之后,对一些特定指令进行解析。指令解析如下:

接收指令使用插件中的函数操作
0x1DllFile获取各个磁盘容量
0x4 || 0xa2
修改使用的插件
0x8
更改窗口管理器以能够控制窗口
0x9
提权以管理员模式运行此程序
0xA
关闭exporer.exe进程
0xB
删除用户chrome usrdata数据
0xCfnproxy使用代理
0x15Dllscreen截取屏幕
0x24
监控键盘输入
0x2ADllSyste获取进程以及模块信息
0x36DllMsgBox弹窗报错
0x37
修改分组
0x38DllShell创建远程控制cmd
0x39
关闭指定窗口
0x3A
删除相关文件
0x3B
清除日志
0x3C
获取主机信息
0x3e
从网络上下载可执行文件,并执行
0x3f
运行云控下发数据
0x40
运行云控下发数据,同上
0x41
更新插件
0x42DllOpenUrlHide隐藏打开IE浏览器
0x43DllOpenUrlShow显式打开IE浏览器
0x44
修改域名
0x45
等待事件运行结束退出,否则强制退出
0x46DllSerst获取服务器信息
0xA1ConnSocks连接服务器


黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w19.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w20.jpg

黄雀行动:针对东南亚网络“菠菜”的新一轮钓鱼攻击w21.jpg


菲律宾华人电报群
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表