“银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击

于 2024-08-06 09:30:24 发布
阅读量453 收藏 5
点赞数 15
文章标签: 网安入门 web安全 安全 算法 启发式算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84466225/article/details/140945708
版权

PART ONE 概述

自2023年上半年“银狐”工具被披露以来,涌现了多个使用该工具的黑产团伙。这些团伙主要针对国内的金融、教育、医疗、高新技术等企事业单位,集中向管理、财务、销售等从业人员发起攻击,窃取目标资金和隐私信息。该团伙惯用微信/QQ等即时通信工具、钓鱼邮件、钓鱼网站等途径投递远控木马,钓鱼通常围绕财税、发票、函件、软件安装包等不同主题。鉴于使用该去中心化黑产工具的团伙众多,我们将其统称为“银狐”相关团伙。

新华三聆风实验室在近期捕获的某一银狐团伙发起的钓鱼攻击活动中,首次检测到该团伙使用了一款由易语言编写的远控木马——"刺客远程"。基于对“银狐”相关团伙攻击活动的持续跟踪监控,发现该团伙擅长使用财税、发票等主题的钓鱼邮件,利用自动下载页面传播初始载荷,并习惯将初始载荷文件命名为“setup*****.exe”,在前段时间曾使用毒鼠、魔改gh0st等远控发起了针对财税人员的大规模攻击活动,已有友商公开披露。此次监测到的攻击活动中,该团伙保持了相同的投递方式,但使用了新的远控载荷,不难看出该团伙不断变换新的工具来躲避检测。

新华三威胁情报特征库已支持相关IOC检测,病毒特征库支持相关样本检测,新华三AIFW及AI SOC平台均支持该检测,请及时升级更新。

PART TWO 攻击方式

攻击者向目标投递以“【新的电子票据待查收】”为主题的精心构造的钓鱼邮件,诱导受害者点击,访问攻击者的钓鱼网站

1720690142_668fa5de69fab8b088ce0.png!small?1720690143344

一旦访问此钓鱼网站就会自动下载初始载荷到受害者主机上,钓鱼网站页面源码如下:

1720690161_668fa5f1a6c83bab8cf48.png!small?1720690162287

自动下载的初始载荷文件名由“setup+日期”组成:

1720690173_668fa5fd9aa75944bc8b8.png!small?1720690174032

PART THREE 攻击荷载

捕获到部分最新的攻击载荷文件如下:

1720690196_668fa6146d65be88430b2.png!small?1720690198355

PART FOUR 样本分析

1、执行流程

以“setup_20240621.exe”为例,该初始载荷样本分为两个阶段执行,第一阶段除了作为下载器去下载执行第二阶段的远控模块,还会完成母体程序的安装和持久化操作。

1720690227_668fa633eb99aec6c8a99.png!small?1720690228442

2、详细分析

1720690238_668fa63e70fdba377355c.png!small?1720690239126

通过对比程序入口点和相关字符串特征判断该样本及后续组件都是由易语言编写,使用黑月编译插件编译。

1720690247_668fa6478e5ceb5defece.png!small?1720690249331

setup20240621.exe主要功能是从自身解密一个dll,并在内存中加载执行,调用其导出函数“ds145_gf4789_er7y7”。

1720690262_668fa6563df85e83c096e.png!small?1720690263358

ds145_gf4789_er7y7.dll会检查命令行参数,若不带参数,则表示是初次执行,其将当前进程的可执行文件(即setup20240621.exe)复制安装到“%ProgramFiles%\EzNYshQLnQq.exe”,添加上命令行参数“h8r54h”重新运行。

1720690275_668fa6630baa54e45b56e.png!small?1720690275649

当以参数“h8r54h”运行时,先检查受害主机上是否有360杀软进程。若有则临时删除受害主机的路由表信息,待添加服务项和重新运行完成后恢复。然后添加服务项实现持久化,服务项名称为“IZukEe CSbpO”,执行路径为“%ProgramFiles%\EzNYshQLnQq.exe Service 0”,带有参数“Service”和“0”,添加完成后启动该服务项。最后使用参数“c2r53h”重新运行。

1720690289_668fa671350cec5ac848c.png!small?1720690289975

当以参数“Service”运行时,因程序逻辑上有问题,第二个参数“0”在此无效,其直接使用参数“inject”重新运行。

1720690299_668fa67b85b73ae380a1a.png!small?1720690302631

当以参数“inject”运行时,遍历当前进程,查找可利用的系统进程,但排除“svchost.exe”,获取目标系统进程的可执行文件重新创建一个进程,带上“over”参数,然后通过对此新进程镂空替换成当前恶意进程的PE数据实现注入执行。

1720690318_668fa68e38ed8fb523c43.png!small?1720690318791

只要第一个命令行参数不为“h8r54h”、“Service”、“inject”时,就会开始执行远控模块下载,如前面提到的参数“c2r53h”、“over”。该恶意软件使用bbtcp.dll网络通讯库来实现与控制端之间信息的收发和处理。

1720690330_668fa69a14ff764d1efe3.png!small?1720690330624

其通过向控制端发送“opqrst4840608604244044”来获取远控模块dll。

1720690339_668fa6a34e704942432f9.png!small?1720690339908

远控模块在内存中被加载执行,执行其导出函数“ServetGetip”,C2地址和端口及相关信息作为参数传入,相关包括该远控木马版本号、服务项名称、可执行文件路径等。

1720690355_668fa6b38ece60f399e75.png!small?1720690356751

ServetGetip拼接作为参数传入的可执行文件名和服务项名作为互斥量名来创建互斥量。

1720690365_668fa6bd64d1b2b6720a2.png!small?1720690366171

然后收集系统基本信息和被控主机当前状态,包括用户名、系统版本、主机ip、当前进程列表,桌面文件、打开的窗口列表等,通过上线消 息发送给控制端。接着,ServetGetip使用作为参数传入的C2和端口与控制端建立连接,发送上线消 息,接收下发的命令,并创建线程定期发送心跳包。除心跳包外,上线消 息与控制端下发的命令数据都经过zlib压缩再发送。

1720690375_668fa6c78220cef192c5c.png!small?1720690376592

在该dll中同时发现了其他c2域名:addr.ktsr[.]cc。

1720690383_668fa6cf85745fdff9603.png!small?1720690386446

在命令接收和处理模块,该dll通常以一个6字节的值代表一个指令,如:

1720690391_668fa6d76c2a3e5477c07.png!small?1720690392481

通过关联对比分析,我们发现本次使用的是一款名为“刺客远程”的远控木马。该远控木马最早于2023年6月在Telegram上被公开售卖,此后不断迭代更新,最近一次更新是今年6月,已更新到V13版本。

1720690413_668fa6ed52c58a318223b.png!small?1720690414096

PART FIVE 防护建议

1.切勿点击未知来源的邮件中的链 接和附件;

2.切勿打开在通讯工具(如QQ、微信)中传播的来源不明的各类文件;

3.安装办公软件时,不要从不可信来源下载,应该从官网下载安装;

4.安装并及时更新最新的安全防护软件;

5.定期组织对企事业单位相关财务、销售、客服等人员的网络安全培训,提升网络安全意识,降低受害风险。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

 因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

网络安全-海哥
关注
  • 15
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言利用服务器更新,易语言使用FTP服务器更新软件案例
weixin_42100032的博客
08-03 2060
.版本2.支持库downlib.支持库spec.支持库edroptarget.支持库EThread.支持库internet.支持库shell.程序集窗口程序集_启动窗口.程序集变量全_接受到的文件,文本型.程序集变量FTP,FTP辅助对象.程序集变量下载对象,下载对象.程序集变量任务参数,任务参数.程序集变量传送常量,传送常量.程序集变量版本号,文本型,,...
易语言利用服务器更新,【原创】利用FTP实现软件自动更新
weixin_39846186的博客
08-03 1245
该楼层疑似违规已被系统折叠隐藏此楼查看此楼.版本 2.支持库 internet.支持库 EThread.支持库 downlib.支持库 iext .子程序 版本比较.局部变量 现行版本, 文本型.局部变量 执行版本, 文本型.局部变量 link, 文本型现行版本 = 到文本 (HTTP读文件 (“在网站上放置版本号的TXT文件”))标签2.标题 = “服务器版本:” + 现行版本执行版本 = 到...
易语言运行 ("c:内部.exe", 假, ),利用易语言编写流氓软件
weixin_35760923的博客
05-23 1095
首页>新闻动态利用易语言编写流氓软件编写流氓软件对于我们这样的没有怎么学过各种变成语言的人来说基本上是天方夜谭,但是今天我接触了一下易语言,发现它是—种对于我们小菜来说很容易上手的编程语言。今天我不是写病毒,而是写一个筒单的流氓软件,想必大家都曾中过流氓软件,我们就采了解一下它的原理和产生过程。小知识:易语言是一个自主开发,适合国情,不同层次不同专业的人员易学易用的汉语编程语言。易语言降...
实战教学,易语言远控开发系列教程
qq_42322315的博客
05-27 4437
之前曾在论坛里分享了一套教程,颇受大家的好评。今天决定再和大家分享一篇蛮好等等教程,即易语言远控开发系列教程。这里有两个关键词,易语言远控易语言争议不断,有人把它夸上天,觉得汉语取代,划时代意义云云。当然也还有不屑一顾的。我觉得吧,它就是门语言,没必要去鄙薄。他和JAVA,c易语言一样,也许应用面窄,上限低,但是都无法磨灭它是计算机语言。当然,也没必要带不动就划时代,时代意义啥的。没必要,真的...
中华血影魔功VIP至尊远控易语言源码)
woaitianzya的博客
08-08 40
中华血影魔功VIP至尊远控
大灰狼远程管理[SVIP3会员版]易语言源码
woaitianzya的博客
10-24 624
大灰狼远控(VIP会员版)
易语言局域网 php 控制,易语言控制端源码,易语言被控制源码,易语言局域网远程控制源码...
weixin_31060209的博客
03-26 1346
下面我们对易语言控制端源码,易语言被控制源码,易语言局域网远程控制源码文件阐述相关使用资料和易语言控制端源码,易语言被控制源码,易语言局域网远程控制源码文件的更新信息。易语言控制端源码,易语言被控制源码,易语言局域网远程控制源码易语言局域网远程控制源码系统结构:子程序1, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||------子程序1 || ||------...
易语言入门指南:从零开始的编程之旅
weixin_51151534的博客
08-25 9340
易语言是一种以中文作为主要编程语言的脚本语言。它的设计初衷是让编程变得更加容易理解和上手,特别适合初学者。与其他编程语言相比,易语言更加贴近汉语表达习惯,减少了语法的难度,使得编程变得更加直观。通过本文,您已经了解了易语言的实际应用场景和一些高级编程概念。作为一名编程博主,您可以将这些知识整理成易于理解的教程,帮助更多的人入门编程、提升技能。编程世界广阔而有趣,愿您在其中不断前进、不断创新!
秋天远程控制V1.0源码(易语言)
igelou_com的博客
12-03 2876
开发语言:Others 实例大小:4.42M 实例类别:一般编程问题 【实例截图】 【核心代码】 秋天远程控制V1.0源码 ├── Config │ └── OFNGI.ini ├── DLL │ └── SkinH_EL.dll ├── File ├── SOUND │ ├── downfile.mp3 │ ├── login.mp3 │ ├── offline.mp3 │ ├── setting.mp3 │ └── upfile.mp3 ├── data │ └── QQ
jpnmj.rar_易语言 远控_易语言远控_远控_远控源码
09-23
在本压缩包“jpnmj.rar”中,包含的是一款使用易语言编写的远控(远程控制)程序的源码。远程控制软件允许用户通过网络对另一台计算机进行操作,通常用于技术支持、系统管理或恶意活动。 易语言远控源码的开放提供...
易语言主控源码,易语言被控源码,易语言远控
08-19
在提供的压缩包文件中,我们可以看到与易语言相关的主控源码、被控源码以及远控源码,这些都是构建远程控制系统的组成部分。 首先,"易语言主控源码"是远程控制系统的核心部分,它负责控制整个系统的运行流程,包括...
易语言-易语言远控
06-29
在"易语言-易语言远控"这个项目中,我们主要讨论的是如何利用易语言来实现远程控制的功能。 远程控制是一种技术,允许一个用户通过网络对另一台计算机进行操作,仿佛直接坐在那台电脑前一样。在易语言中实现远程...
易语言远控源码自行编译
04-27
"易语言远控源码自行编译"指的是使用易语言编写的一种远程控制程序的源代码,用户可以自行下载源码并进行编译,生成可执行文件。远程控制程序允许用户在一台计算机上对另一台计算机进行操作,常见于系统维护、技术...
易语言远控源码(最强远控
07-21
易语言虽然简化了编程过程,但在编写远控软件时,开发者必须严格遵循安全编程原则,防止被恶意利用。例如,源码中应该包含强加密机制,确保通信数据在传输过程中的安全;同时,权限管理机制也需要完善,以防止未经...
网安零基础入门神书,全面介绍Web渗透核心攻击与防御方式!
互联网架构小马的博客
07-29 850
Web安全是指Web服务程序的漏洞,通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。“渗透测试”作为主动防御的一种关键手段,对评估网络系统安全防护及措施至关重要,因为只有发现问题才能及时终止并预防潜在的安全风险。根据网络安全调查统计,75%的网络攻击行为都是来自Web应用层面而非网络层面所以,学习Web安全的重要性不言而喻。Web安全吸引越来越多的人学习,有人是被其炫酷感染,有人是出于对技术的热爱,但大多数人还是为了高薪资和职场发展。
【网络安全】本地文件包含及远程文件包含漏洞详解
goldfish8848的博客
08-05 531
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
网络安全中的IOC是指的什么?
Nove1205的博客
08-02 441
一分钟让你了解网络安全中的IOC是什么
自学黑客(网络安全
最新发布
2301_77160226的博客
08-05 1339
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
易语言远控源码 csdn
01-05
易语言远控源码是一种用易语言编写的远程控制程序,可以实现对远程计算机的监控和操作。在CSDN上可以找到很多易语言远控源码的分享和教程,这些资源可以帮助开发者学习和理解远控程序的实现原理和技术细节。 在CSDN上,可以找到很多开发者分享的易语言远控源码,这些源码涵盖了各种功能和特性,比如远程桌面监控、文件传输、远程命令执行等。通过学习这些源码,开发者可以了解远控程序的实现原理,掌握易语言编程技术,并且可以根据自己的需求进行修改和定制。 此外,CSDN也提供了很多关于易语言远控程序的教程和技术文章,这些资源可以帮助开发者快速入门和掌握相关技术。通过阅读这些教程,开发者可以了解远控程序的基本原理、开发流程和注意事项,从而更加高效地开发自己的远控程序。 总之,在CSDN上可以找到很多关于易语言远控源码的资源,这些资源可以帮助开发者学习和掌握远控程序的技术,提高自己的编程水平,实现自己的远控程序开发需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值