发布日期:2025-09-06 05:25 点击次数:128
开yun体育网
1 概括
安天 CERT 发现"游蛇"黑产运用仿冒的 WPS Office 下载站传播远控木马,若用户下载该网站的 WPS Office,骨子下载的是托管在 OSS 中的造作装配门径。该门径执行后,在临时文献夹 %temp% 中开释执行一个普通的 WPS 装配门径,以此蛊惑用户,并在 C:ProgramData 文献夹中开释三个文献,执行其中的 Shine.exe 门径后加载坏心 libcef.dll 文献,该 DLL 读取 1.txt 文献,从而在内存中执行原称呼为" Install.dll "的文献,调用其 Shellex 导出函数,最终执行 Gh0st 远控木马,并创建注册表启动项已毕握久化。
"游蛇"黑产团伙(别名"银狐"、"谷堕大盗"、" UTG-Q-1000 "等)自 2022 年下半年开动常常活跃于今,针对国内用户发起了大齐报复步履,以图窃密和糊弄,对企业及个东谈主变成了一定的亏欠。该黑产团伙主要通过即时通信软件(微信、企业微信等)、搜索引擎 SEO 推论、垂钓邮件等阶梯传播坏心文献,其传播的坏心文献变种多、免杀期间更换常常且报复主义所波及的行业无为。用户不错在安天垂直反映平台(https://vs2.antiy.cn)中下载使用"游蛇"专项排查器具和安天系统安全内核分析器具(ATool)对" Gh0st "木马进行排查和撤废。
素养证,安天智甲末端退缩系统(简称 IEP)可有用查杀该远控木马。
2 样分内析
2.1 仿冒网站
仿冒成 WPS Office 下载站的网站 hxxps://wpsice [ . ] com:
图 2 ‑ 1 仿冒网站页面
若点击"立即下载"按钮,将会下载托管在 OSS 中的造作装配门径。
图 2 ‑ 2 该仿冒网站的页面源代码
2.2 造作装配门径
表 2 ‑ 1 样本标签
病毒称呼
Trojan/Win32.SwimSnake
原始文献名
WPS_Setup.exe
MD5
9232FBCCF8B566B0C0A6D986B65BBC98
处理器架构
Intel 386 or later processors and compatible processors
文献大小
253 MB ( 265,306,009 字节 )
文献表情
BinExecute/Microsoft.EXE [ :X86 ]
时辰戳
2023-05-31 21:15:01
数字签名
无
加壳类型
编译言语
Microsoft Visual C/C++
该门径执行后,会在临时文献夹 %temp% 中开释执行一个普通的 WPS 装配门径,以此蛊惑用户。
图 2 ‑ 3 开释执行普通的 WPS 装配门径
然后在 C:ProgramData 中开释三个文献:Shine.exe 含有普通的数字签名,libcef.dll 是一个坏心 DLL 文献,1.txt 是一个包含 Gh0st 远控木马的 Shellcode。
图 2 ‑ 4 在 C:ProgramData 中开释报复组件
Shine.exe 门径运行后加载 libcef.dll 读取 1.txt 文献,从而在内存中加载执行一个原称呼为" Install.dll "的文献并调用其 Shellex 导出函数,最终执行 Gh0st 远控木马。
图 2 ‑ 5 Install.dll 文献信息
该门径场所旅途被添加至注册表启动项" HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun "中已毕握久化。
图 2 ‑ 6 创建注册表启动项已毕握久化
3 使用器具排查与不断
基于本次报复步履中报复者使用 Gh0st 远控木马眷属变种情况,用户不错在安天垂直反映平台(https://vs2.antiy.cn)中下载使用"游蛇"专项排查器具和安天系统安全内核分析器具对 Gh0st 远控木马进行排查和撤废。
"游蛇"专项排查器具可用于排查"游蛇"黑产团伙在报复步履中投放的加载器和加载至内存中的远控木马(包括 Gh0st 远控木马眷属)。
安天系统安全内核分析器具(简称 ATool)是一款面向抑遏检测与抑遏分析东谈主员的 Windows 系统深度分析器具,其大要有用检测操作系统中潜在的窃密木马、后门及黑客器具等坏心门径并赞助专科东谈主员开展手动不断职责,具有已知抑遏有用检测,未知抑遏实时发现,坚定感染一键不断等功能特色。
图 3 ‑ 1 安天垂直反映平台
3.1 使用"游蛇"专项排查器具排查 Gh0st 远控木马
为了更精确、更全面的撤废受害主机中存在的抑遏,客户在使用专项排查器具检出抑遏后,不错联系安天济急反映团队(cert@antiy.cn)。
图 3 ‑ 2 使用"游蛇"专项排查器具发现坏心进度
3.2 使用安天系统安全内核分析器具撤废 Gh0st 远控木马
发现 Gh0st 远控木马后,用户不错在安天垂直反映平台下载使用 ATool 对该木马进行撤废。举例,在 ATool 的"进度不断"页面中,右键点击坏心进度" Shine.exe ":先点击"在 Windows 文献不断器中定位"定位" Shine.exe "场所旅途,然后点击"拆开"足下" Shine.exe "进度,终末删除" Shine.exe "门径场所旅途中的坏心文献。
图 3 ‑ 3 使用 ATool 器具定位、拆开坏心进度
在 ATool 的"自启动项"页面中,使用"查找"功能搜索坏心进度称呼,发现并删除坏心自启动项。
图 3 ‑ 4 通过坏心进度称呼查找坏心自启动项
此外,ATool 针对可执行对象守旧四个对象维度的信誉查询,即"发布者信誉"、"内容信誉"、"步履信誉"和"旅途信誉(位置信誉)"。点击器具上方的"信誉分析"按钮大要执行对面前清单对象的云表信誉查询,从而匡助用户发现系统中的潜在抑遏。
图 3 ‑ 5 使用 ATool 的"信誉分析"功能发现坏心进度
4 末端安全防护
经过测试,安天智甲末端安全系列居品(以下简称"智甲")依托安天自研抑遏检测引擎和内核级主动退缩才气,不错有用查杀和退缩本次发现病毒样本。
智甲可对土产货磁盘进行实时监测,对新增文献自动化进行病毒检测。针对这次抑遏,当病毒文献 libcef.dll 文献落地土产货时,智甲会立即对病毒文献进行查杀并向用户发送告警,有用破损病毒启动。
图 4 ‑ 1 病毒文献落地时,智甲第一时辰拿获并发送告警
另外智甲具备驱动级主动退缩模块,不错对进度步履实时监控,当发现进度存在风险步履时可立即遏抑,有用驻守报复步履执行。本次事件中,当报复者运用 Shine.exe 加载坏心文献 libcef.dll 时,智甲和会过内存防护模块拿获坏心门径加载步履,独立即遏抑。
图 4-2 班师主动退缩模块遏抑坏心门径加载步履
智甲还为用户提供和洽不断平台,不断员可通过平台连合搜检网内抑遏事件细则,并批量进行不断,莳植末端安全运维成果。
图 4-3 智甲不断中心助力不断员已毕高效的末端安全不断
5 报复载荷执行体全生命周期与安全居品要津才气映射矩阵
通过抑遏事件分析,得出报复载荷执行体全生命周期中运行对象和运行算作的报复历程,可进一步评估末端侧部署的安全防护软件应具备反病毒引擎和主动退缩的要津才气映射矩阵。本次系列报复步履的检测和退缩要津才气点形色如下表:
报复执行体
生命周期
对象
算作
抑遏检测引擎
要津才气
主动退缩才气
要津才气
预
置
与
投
放
投
放
仿冒网站
仿冒 WPS Office 下载站,引导用户下载系结了后门的装配门径。门径大于 200M。
仿冒域名检测
1.(主机防火墙)监测应用门径拜谒 C2 作事器央求数据包,获得拜谒的 IP、域名和 URL,送达引擎检测,遏抑抑遏 C2 作事器拜谒央求数据包
2.(主机防火墙)应用央求 IP、Domain 和 URL 为非授信地址设定记载 / 告警 / 遏抑秩序
加
载
执
行
系结了后门的装配门径
开释文献:
%temp%WPS_Setup.exe(白文献)
C:ProgramDataShine.exe(白文献)
C:ProgramDatalibcef.dll
C:ProgramData1.txt
1. 装配包类型识别
2. 装配门径繁衍文献拆解并递归检测
3. 大文献冗余造作数据十分识别
1.(文献退缩)监控磁盘文献创建 / 修改,送达引擎检测,删除抑遏文献
2. ( 文献退缩)设定文献全盘监控
加载并解密;
1、白加黑加载:
Shine.exe(白文献)
2、解密:
libcef.dll
加载:
libcef.dll 解密:1.txt
解出:Install.dll(可执行文献)
1、离线数字签名考证
2.PE 表情和编译器类型识别
3.PE 真确进口点坏心教唆检测
(进度退缩)监控进度模块加载,拆解进度全旅途、加载模块全旅途后,送达引擎检测,遏抑抑遏模块加载,并删除抑遏模块
内存加载:Install.dll
Gh0st 远控木马
Gh0st 远控木马内嵌坏心教唆检测
1.(内存退缩)监控内存加载步履
2. ( 内存退缩)设定谢却加载含有某 shellcode 内容的内存加载
握
久
化
添加注册表启动项:
添加注册表启动项:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
值 : 字符串 : " Management ":"C:Program DataShine.exe"
注册表项检测
(注册表退缩)监控注册表启动项新建 / 修改,拆解修改注册表进度的文献旅途、启动项称呼及启动项的内容后,送达引擎检测,删除抑遏启动项
致
效
运
用
过
程
致
效
远控木马(Gh0st):Install.dll
1、汇集系统信息发奉上线包回连 C2
2、恭候采选并执行远控教唆
远控 C2 域名检测
6 IoCs
A9710294489B6893F59120C5DF76A60C
444F87D1D78B9C1162963D6F775FB60E
hxxps://wpsice [ . ] com
hxxps://cn-wps-oss-1.cdn-yun [ . ] cloud/WPS_Setup.exe
45.207.12 [ . ] 71:1803
7 安天针对"游蛇"抑遏历史阐述清单
[ 1 ] 通过伪造汉文版 Telegram 网站投放远控木马的报复步履分析 [ R/OL ] . ( 2022-10-24 )
https://www.antiy.cn/research/notice&report/research_report/20221024.html
[ 2 ] 运用云札记平台送达远控木马的报复步履分析 [ R/OL ] . ( 2023-03-24 )
https://www.antiy.cn/research/notice&report/research_report/20230324.html
[ 3 ] 运用云札记平台送达远控木马的黑产团伙分析 [ R/OL ] . ( 2023-03-30 )
https://www.antiy.cn/research/notice&report/research_report/20230330.html
[ 4 ] "游蛇"黑产团伙针对国内用户发起的大限制报复步履分析 [ R/OL ] . ( 2023-05-18 )
https://www.antiy.cn/research/notice&report/research_report/20230518.html
[ 5 ] "游蛇"黑产团伙近期垂钓报复步履分析 [ R/OL ] . ( 2023-07-11 )
https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html
[ 6 ] "游蛇"黑产团伙运用微信传播坏心代码的步履分析 [ R/OL ] . ( 2023-08-22 )
https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html
[ 7 ] "游蛇"黑产团伙专题分析阐述 [ R/OL ] . ( 2023-10-12 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html
[ 8 ] "游蛇"黑产团伙针对财务东谈主员及电商客服的新一轮报复步履分析 [ R/OL ] . ( 2023-11-11 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html
[ 9 ] "游蛇"黑产近期报复步履分析 [ R/OL ] . ( 2024-04-07 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html
[ 10 ] "游蛇"黑产团伙运用坏心文档进行垂钓报复步履分析 [ R/OL ] . ( 2024-06-21 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html
[ 11 ] 垂钓下载网站传播"游蛇"抑遏,坏心装配门径潜伏远控木马 [ R/OL ] . ( 2024-12-20 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html
[ 12 ] "游蛇"黑产报复残暴,速启专项排查与不断 [ R/OL ] . ( 2025-04-23 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202504.html
参考良友
[ 1 ] [ 已武断 ] 假的 WPS 网站 [ R/OL ] . ( 2025-05-08 )
https://bbs.kafan.cn/thread-2281325-1-1.html开yun体育网
