添加微信
立即线上沟通

客服微信

客服微信

×

详情请咨询客服

客服热线

186-8811-5347、186-7086-0265

官方邮箱

contactus@mingting.cn

我知道了

远控肆虐,Telegram沦为"鱼池"

2020-12-24 来源:作者:

近期毒霸安全团队通过“捕风“威胁感知系统捕获一类新的钓鱼木马,该类木马在telegram群组中传播,通过命名成各种时政热点消息的标题或者更改图标伪装成正规软件,诱使用户点击。该木马执行后会驻留在用户系统目录下,通过注册表启动项进行持久化。在用户电脑上进行键盘监控、命令执行、插件调用等操作。调用插件通过c&c服务端返回数据反射式注入dll加载,无新文件落地。更容易绕过杀软的检测。一旦中招,用户的电脑对攻击者便是门户大开,危害极大。

诱饵名称如下表所示:


诱饵图标占比最高的是telegram的图标,如下图所示:


毒霸安全团队在近半年已经发现多起在telegram群组传播的木马,并有两篇相关的报告。

黄雀行动:针对东南亚博彩行业的新一轮钓鱼攻击

"伪装者"活动:针对Telegram特定用户的攻击

从攻击目标、技术手法上和上述报告以及安全友商披露的"金眼狗"、"金指狗"等针对博彩行业的黑客团伙存在较高的重合度。其中"伪装者"shellcode代码风格,反射式注入dll加载执行细节等都有一定的相似性,推测有可能为同一团伙。

这一波针对telegram群组传播的木马手段丰富,免杀方式采用白签名利用、DLL侧加载(白加黑),插件反射式注入避免文件落地,平台覆盖windows与Android,文件交互除了与c2之外还有放置在云盘(永硕云盘、七牛云等)中的。诱饵和文件名给其定性为一批华语黑产团伙。目前这几类木马仍在活跃中。


防护措施:

该样本家族更新频率十分频繁,长期在telegram群组中活跃。具有成熟的混淆技术,利用常用软件的图标以及热点标题名诱使用户点击。建议广大用户安装金山毒霸杀毒软件保护自己的信息安全。同时提高个人安全意识,不要执行在通讯软件中传播的可执行文件。下载软件时,尽量到官方网站或正规的第三方下载。

建议用户电脑上及时安装金山等杀毒软件,对预警的病毒及时清理。



样本概要:

该木马的pe信息显示着这是一个mfc4.2的程序。InitInstance函数重载为shellcode解密函数,中间穿插着大量花指令,在经过代码段多次解密后,木马申请了一段内存空间对shellcode进行加载。在加载前进行了最后一次解密,该解密是通过异常链解密shellcode,比较不同的一点是每次异常处理函数仅解密1字节,对于异常处理不够健壮的沙箱很容易执行失败。解密成功后传输受害机信息通知c&c端上线,进入远控模块。

样本执行流程如下图:


技术特点:

木马利用异常处理函数循环解密shellcode,每次异常处理函数仅解密1字节。


插件调用利用反射式注入dll加载执行。


混淆部分:

该样本混淆部分用了充斥大量花指令、字符串加密、异常链函数利用。解密部分也是嵌套了多层,虽然用的都是常规手法。但是经过多层混淆,样本很难归纳出静态特征。

花指令,在传参与函数调用中间穿插大量无用指令,给分析带来一定的干扰性。


木马从InitInstance函数开始,进行多层解密,加密数据多存放在代码段函数之间。使得样本未解密时无法提取出有效的鉴别特征。


远控模块:

木马与c&c端建立tcp会话,并定时发送心跳包。数据包通讯经过简单的异或加密处理。


指令集如下表:



IOCs

MD5:

6ff11e96f0cd71b24d53713b9c46f67d

5d0a6c3e2ff756c7ed952d0a1608fdc3

f68846862845e1c25dab9ed6f55a0179

4fd7746f4dc5a489cc4b1fdfe9e6d8e5

2bcac619be035ec92df37083f6a761d2

f51e8db8a5bdecf8981b6558a28cff13

4b7bb7859e4b21913d2708f32a8f7332

00511247513f2930869c6714c47d098b

065f20d8f3b2ae62271a014c8cd34e56

26181174ff638cc0d9b0ab0f902d7011

6446011a9b81d19aedee20d6b0109c2c

449e8d9496e7660a0b6a5e6527c113f3

c2cd290adafa64fa154f1852f20d7ffc

3bce4c7fe490f1ad72d959d78b01ec07

1695d4ae5979bacdf89288b6e8bd9c24

e513233ca329450393718989b8a5c227

48a1571ef4b4c77fa316070217a69aed

41fa82e957100a99d0624b867f587cb9

C2:

six[.]skt-one[.]com

syy[.]skt-one[.]com

mm[.]skt-one[.]com

aj[.]skt-one[.]com

ss[.]skt-one[.]com

sy[.]skt-one[.]com

ax[.]skt-one[.]com

tmh[.]skt-one[.]com

103.135.101.189

113.212.90.152

113.212.91.179

113.212.91.215

118.107.44.91

134.122.145.156

192.151.244.197

202.5.23.125

27.124.10.179

27.124.10.245