標題：“遊蛇”黑產近期攻擊活動分析

1 概覽“遊蛇”黑產自2022年下半年開始活躍至今，針對國內用戶發起了大量釣魚攻擊和詐騙活動。該類黑產傳播的惡意程序變種多、更新免殺手段快、更換基礎設施頻繁、攻擊目標所涉及的行業廣泛。近期，安天CERT監測到“遊蛇”黑產針對與金融、財務相關的企業及人員進行的攻擊活動。攻擊者投放的初始惡意文件主要有三類：可執行程序、CHM文件、商業遠控軟件“第三隻眼”，偽造的文件名稱大多與財稅、資料、函件等相關。

由於商業遠控軟件“第三隻眼”提供多方面的遠程監控及控制功能，並且將數據回傳至廠商提供的子域名服務器、根據qyid值識別控制端用戶，攻擊者無需自己搭建C2服務器，因此惡意利用該軟件進行的攻擊活動近期呈現活躍趨勢。

“遊蛇”黑產仍在頻繁地對惡意軟件、免殺手段以及相關基礎設施進行更新，每天依舊有一定數量的用戶遭受攻擊並被植入遠控木馬。安天CERT建議用戶接收文件時保持警惕，避免點擊安全性未知的可執行程序、腳本等文件，以免遭受“遊蛇”攻擊，造成不必要的損失。建議未購買使用“第三隻眼”遠控軟件的用戶，使用流量監測設備檢查網絡中是否存在與“dszysoft.com”及其子域名相關的連接記錄，若存在則表明可能被惡意植入了相關遠控，用戶也可以考慮對相關域名進行封禁。

經驗證，安天智甲終端防禦系統（簡稱IEP）可實現對該類遠控木馬的有效查殺。相關防護建議詳見本文第四章節。

2技術梳理近期，安天CERT監測到攻擊者投放的初始惡意文件主要有三類，偽造的文件名稱大多與財稅、資料、函件等相關。

表2‑1近期部分樣本偽裝名稱

偽裝的程序名稱

企業補貼名單.exe

企業納稅新系統.exe

企業稅務稽查名單.exe

2024年企業稅收減免新政策.exe

律-師-函102803912.exe

律師函.exe

資料.exe

0328.CHM

公司全套資料.CHM

20240325.CHM

2.1 可執行程序此類可執行程序通常是下載器，執行後在內存中執行Shellcode，從攻擊者事先準備的服務器中獲取下一階段的載荷文件，並使用“白加黑”、“內存執行Shellcode”、“內存解密Payload”等手段最終加載執行Gh0st等遠控木馬。

2.2 CHM文件此類CHM文件執行後會彈出“內容已損壞，無法繼續瀏覽，請關閉”字樣。實際上，其內部腳本中的代碼此時已經執行，通過遠程加載xsl文件的方式，獲取下一階段的載荷文件，並使用“白加黑”等手段最終加載執行Gh0st等遠控木馬。

圖2‑1 CHM文件執行後彈出的內容

2.3 商業遠控軟件“第三隻眼”攻擊者有時也會直接將經過偽裝的“第三隻眼”安裝包發送給目標用戶，並誘導執行。攻擊者傳播的安裝包通常以靜默方式進行安裝，過程中無界面顯示。此外，也存在攻擊者通過已經植入的遠控木馬進行遠程安裝的情況。

由於該款商業遠控軟件能夠提供多方面的遠程監控及控制功能，並且通過將數據發送至廠商提供的子域名服務器、根據qyid值識別控制端用戶的方式回傳數據，因此黑產團伙已多年惡意利用該遠控軟件進行攻擊活動，近期依然呈現活躍趨勢。該遠控軟件某一版本的控制端界面如下圖所示。

圖2‑2 控制端界面

3 樣本分析3.1 可執行程序由於攻擊者投放的惡意可執行程序較多，此處以一例出現頻率較高的可執行程序為例。

表3‑1樣本標籤

惡意代碼名稱

Trojan/Win64.SwimSnake[Downloader]

原始文件名

資料全套.exe

MD5

A3A423DD691197920B64EA8E569A0CDE

處理器架構

Intel 386 or later, and compatibles

文件大小

163 KB (167168字節)

文件格式

BinExecute/Microsoft.EXE[:X64]

時間戳

2013-03-29 01:46:13（偽造）

數字簽名

無效的數字簽名

加殼類型

無

編譯語言

Microsoft Visual C/C++

PDB路徑

無

VT首次上傳時間

無

VT檢測結果

無

該程序執行後申請一段內存空間，寫入Shellcode並執行。

圖3‑1執行Shellcode

3.1.1Shellcode該Shellcode判斷當前系統中是否存在C:\xxxx.ini文件，若已經存在則結束進程，攻擊者可能通過這種方式來判斷系統是否曾被感染；然後檢測當前系統中是否運行有安全產品相關進程，若不存在則對硬編碼的字符串進行解密得到URL，從中獲取b.dat文件並進行解密，從而得到兩組URL及下載後用於重命名的文件名稱。該Shellcode默認使用其中的第一組。

圖3‑2獲取文件並解密得到URL及文件名稱

該Shellcode在C:\Users\Public\Videos中根據隨機生成的名稱創建文件夾,根據第一組URL下載4個文件，使用自定義的解密算法對其進行解密，寫入創建的文件路徑中，最後執行其中的可執行程序。

圖3‑3解密後的攻擊載荷文件

3.1.2 “白加黑”利用攻擊者利用“白加黑”手段，通過白程序加載其構造的惡意DLL文件，在內存中執行Shellcode讀取ffff.pol文件內容、解密得到一個DLL文件，再由該DLL文件創建計劃任務、讀取ffff.lop文件進行解密，最終執行Gh0st遠控木馬。

圖3‑4由ffff.lop文件解密得到Gh0st遠控木馬

3.2 CHM文件表3‑2樣本標籤

惡意代碼名稱

Trojan/Win32.SwimSnake[Downloader]

原始文件名

45.204.11.10 (2).CHM

MD5

FB114FFE7FC1454C011BAA502C00A358

文件大小

9.39 KB (9625字節)

文件格式

Microsoft Compiled HTML Help

VT首次上傳時間

無

VT檢測結果

無

攻擊者投放的CHM文件執行後，從指定URL處獲取xsl文件，並進行遠程加載。

圖3‑5 加載遠程xsl文件

3.2.1 load.xsl該文件含有兩段經過Base64編碼處理的字符串，對其進行解碼後在內存中加載.NET程序集。

圖3‑6 load.xsl文件關鍵內容

3.2.2.NET程序被加載的.NET程序從指定URL處獲取config文件，讀取config文件中的每一行內容，根據其下載文件並執行。

圖3‑7 .NET程序關鍵代碼

3.2.3 config.txtconfig.txt文件中包含多個託管載荷文件的URL。

圖3‑8 config.txt文件

3.2.4“白加黑”利用攻擊者此次利用的白程序是賽車競速遊戲“極限競速：地平線5”相關程序，並針對該白程序構造了惡意的“PartyXboxLive.dll”文件。該DLL文件被加載後，對boom.png文件內容進行解密，創建msiexec.exe進程，並將解密得到的Gh0st遠控木馬注入至msiexec.exe的內存空間中。

圖3‑9攻擊者利用“極限競速：地平線5”相關程序進行攻擊

3.3 商業遠控軟件“第三隻眼”攻擊者投放的“第三隻眼”安裝包程序通常以靜默方式安裝，以避免用戶察覺。

表3‑3樣本標籤

惡意代碼名稱

HackTool/Win32.DSZY[Spy]

原始文件名

企業納稅新系統.exe

MD5

7B8C787345DED235BAC78AB78EC0FAEA860B3B8B

處理器架構

Intel 386 or later, and compatibles

文件大小

38.7 MB (40622763字節)

文件格式

BinExecute/Microsoft.EXE[:X86]

時間戳

2021-11-22 17:54:59

數字簽名

無

加殼類型

無

編譯語言

Microsoft Visual C/C++

PDB路徑

無

VT首次上傳時間

2023-12-05 16:02:42

VT檢測結果

24/72

3.3.1配置信息該軟件安裝目錄中存在3個.conf配置文件，屬於SQLite3數據庫文件，其中含有配置信息。

圖3‑10配置信息文件

comnctt.xdt.conf與syslogin.xdt.conf文件的內容相似，包含關於網絡回連及程序等配置信息。其中，main/host表示服務器域名，config/qyid表示控制端用戶名所對應的id。該遠控軟件會將運行過程中監控的數據回傳至廠商提供的子域名服務器中，並根據qyid識別控制端對應的用戶名。

圖3‑11 回連域名及qyid

expiorer.xdt.conf文件中含有與監控相關的配置信息。其中，main/event_config及main/event_rule中含有經過Base64編碼的字符串，解碼後是JSON格式的配置信息，包括監控目標類別、關鍵字、規則等。

圖3‑12 main/event_config解碼後的部分內容

3.3.2 數據記錄該軟件的安裝目錄有多個.dat文件，屬於SQLite3數據庫文件，其中記錄著運行過程中收集的數據，包括屏幕截圖、硬件信息、進程相關信息、鍵盤記錄以及根據配置信息中的關鍵詞、規則收集的數據。

屏幕截圖：該軟件會根據配置信息中的時間間隔持續地對屏幕進行截圖。

圖3‑13根據配置信息中的時間間隔持續進行截圖

進程相關信息：該軟件會對啟動的進程相關信息進行記錄，包括啟動時間、進程名稱、窗口標題等。

圖3‑14記錄進程相關信息

根據配置信息中的關鍵詞、規則收集的數據：該軟件會根據配置信息中定義的目標類別、關鍵詞及規則收集數據，並將數據記錄在相應的數據表中，包括鍵盤記錄、文件監控、剪貼板監控、郵件信息等。

圖3‑15相關數據表

4防護建議4.1 增強業務人員的安全意識增強業務人員的安全意識，降低組織被攻擊的可能性。財務、客服、銷售等人員使用微信、企業微信等電腦端登錄的即時通訊應用時，避免因工作性質、利益原因，被誘導下載和運行不明來源的各類文件。組織可通過選擇安全意識培訓服務，鞏固“第一道安全防線”。

4.2 使用安天安全威脅排查工具排查遊蛇威脅發現或懷疑遭受“遊蛇”黑產攻擊：針對“遊蛇”黑產在攻擊活動中投放的遠控木馬，在安天垂直響應平台下載安天安全威脅排查工具（https://vs2.antiy.cn，“遊蛇”專項排查工具），面對突發性安全事件、特殊場景時快速檢測排查此類威脅。由於“遊蛇”黑產使用的攻擊載荷迭代較快，且持續更新免殺技術，為了更精準、更全面的清除受害主機中存在的威脅，建議客戶在使用專項排查工具檢出威脅後，聯繫安天應急響應團隊（CERT@antiy.cn）處置威脅。

圖4‑1“遊蛇”專項排查工具檢出“遊蛇”威脅

4.3 加強終端文件接收和執行防護部署企業級終端防禦系統，實時檢測防護即時通訊軟件接收的不明文件。安天智甲終端防禦系統採用安天下一代威脅檢測引擎檢測不明來源文件，通過內核級主動防禦能力阻止其落地和運行。

圖4‑2安天智甲終端防禦系統阻止惡意文件落地

5IoCsIoCs

A3A423DD691197920B64EA8E569A0CDE

5D8D6F2D27A0BB95A9E4E1C44685F99C

6F4743D3C1C475BC6D2698CC4FC4373F

DB823462C21D62E19634AD1772F80C58

FB114FFE7FC1454C011BAA502C00A358

68A86812EED8C560BD0708F237338BC5

9DC1C5D895721C079DD68B6CD82FB1BB

148B5D68A05D480D60A58F73980363A2

hxxps://lldwt-oss.oss-cn-beijing.aliyuncs.com

hxxps://ced-oss.oss-cn-shanghai.aliyuncs.com

hxxps://augenstern-1324625829.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl

hxxps://elephant-1323738307.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl

hxxps://petrichor-1323738307.cos.ap-guangzhou.myqcloud.com/bwj/config/load.xsl

45.195.57[.]10:8800

45.204.11[.]10:8888