freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

针对虚拟货币交易平台的定向攻击:以客服色诱为诱饵
  • 关注
针对虚拟货币交易平台的定向攻击:以客服色诱为诱饵
2019-11-15 12:52:52

概述

 

近期,奇安信病毒响应中心在日常的样本运营中,发现了一起针对区块链虚拟货币交易平台的定向攻击,鉴于诱饵极具诱惑性,并且该定向攻击幕后团伙此前也被曝光过,鉴于攻击手法已经升级,我们对此进行了分析,并披露了此次攻击。

 

样本分析

Excel的文件名为:mxc客服人员色诱客户侵吞平台财产.xls

该样本的VT报毒结果如下:

图片.png 

刚打开的界面如下:

图片.png 

点击后的截图:

图片.png 

通过mshta执行hta文件:

Null.hta的内容如下,被执行起来后会请求一个github的地址:

https://raw.githubusercontent.com/pick90/hit/master/1.txt获取数据并通过InstallUtil.exe执行下载的C#编译的exe文件:

图片.png 

该文件的文件描述为age.png,编译时间为:2019-10-30  11:37:12

会通过powershell执行下面的恶意代码:

图片.png 

恶意代码解密后,会去请求https://n-trip.com/index.png,下载下一阶段的脚本执行:

图片.png 

该png是一个加密的文件,经过 base64解码后,在进行rc4解密,rc4的密钥是前16字节:

图片.png 

解密后的数据是powershell:

图片.png 

如果有360和QQ电脑管家,会通过事件过滤的形式实现开机启动,创建的filter的名字为:TimerFilter;如果不存在上述杀毒软件,就直接通过系统dll劫持实现持久化,劫持的dll名字为“wlbsctrl.dll”:

图片.png 

通过wusa的方式bypass UAC,然后释放wlbsctrl.dll”到system32下的:

图片.png 

下图是wlbsctrl.dll的代码,

在dllmain里会通过InstallUtil.exe加载A164C0BF-67AE-3C7E-BC05-BFE24A8CDB62.dat这个文件,而这个文件就是rat变量的内容解密后释放的文件:

图片.png图片.png 

Rat的变量经过2层base64解密后,是一个C#编译的exe文件,该exe文件也是通过InstallUtil.exe加载:

图片.png 

该exe文件会执行powershell命令:

图片.png 

执行的powershell命令解密后如下:

图片.png 

最后会加载cobaltstrike的Loader,请求url(https://slay.008ex.com/NhRT)获取beacon.dll 实现远程控制。

图片.png 

回联的地址:

这次攻击者出现的所有的exe文件,整理表格如下:

图片.png










域名信息

域名注册时间:

图片.png








承载第一阶段的Github账号的注册时间是2019年9月25日,在9月26号开始提交一些webshell相关的代码,怀疑攻击者是想通过网站的漏洞下载webshell到服务的web目录下;为了避免被发现,才使用了github的方式。

图片.png 

9月26号曾多次提交名字为1.txt的webshell代码:

图片.png 

而10月29号,攻击者把一直提供webshell下载服务的1.txt,修改成了木马使用的payload:

图片.png 

攻击者应该是平时做渗透的,最近想通过定向攻击的方式拿到一些重要的目标。

而就在刚刚(2019年11月14日),攻击者又更新了下木马使用的payload:

图片.png 

从该payload里解密出来的木马的编译时间就在11月14日,而该样本在VT上是0检出的:

图片.png图片.png




关联分析

 

在对域名bill.008ex.com解析的IP: 192.52.167.189进行关联分析的过程中;

图片.png

我们发现在该ip端的同一网段存在另一个可疑ip 192.52.167.185 。

图片.png 

 

从平台来看,其恰好关联到了腾讯御见威胁情报中心的一篇《针对某区块链数字加密币交易平台的APT攻击》报告

https://mp.weixin.qq.com/s/F7A9hxucQS-82VcE7xCVmg

 

其中

图片.png 

使用的IP地址。

图片.png

但是当时该团伙没有使用github的形式进行样本获取,而且本次的域名都是动态域名,该团伙被曝光后,8月30日就申请了008ex.com这个域名作为下次攻击的C2,并于9月25日注册github账号,而且这次攻击中使用的2个非动态域名都申请了隐私保护。

 

 

总结

 

本次针对区块链平台的针对性攻击,并结合此前的攻击,不难认为,该攻击组织具备黑产属性,并且在隐藏自身做的非常到位,无论是使用Github进行木马下载,还是最后释放的Cobaltstrike远控都让人难以进一步追踪。

 

奇安信病毒响应中心将持续追踪该黑产团伙,相关载荷和木马均可被奇安信全线产品查杀。

 

值得一提的是,奇安信威胁情报中心Alpha威胁分析平台企业版目前解锁新功能,可以查询关于每个IOC对象(域名,IP,URL,Hash)对应的TTP信息中的Technologic,只为了更方便客户知晓整个域名的具现化描述。

有需求请发邮件联系ti_support@qianxin.com

图片.png 

 

IOCs

https://download.008ex.com/auth.log

https://n-trip.com/index.png

https://slay.008ex.com/NhRT

slay.008ex.com,/c/msdownload/update/others/2016/12/29136388_,

bill.008ex.com,/c/msdownload/update/others/2016/12/29136388_,

jan.008ex.com,/c/msdownload/update/others/2016/12/29136388_

bill.008ex.com

download.008ex.com

download.008ex.com

jan.008ex.com

slay.008ex.com

gfem.n-trip.com

sbar.n-trip.com

 

 

# 定向攻击 # 虚拟货币
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者