1.概述

---

近期，安天CERT監測到“游蛇”黑產團伙（“銀狐”）針對財務人員及小店商家客服（快手、抖音、微信視頻號、小紅書等平臺）的新一輪釣魚攻擊活動。在本輪攻擊活動中，該團伙將惡意程序偽裝成文檔文件并打包成壓縮包文件，通過“黑產團伙—代理人—招募成員—尋找目標”的模式進行傳播，誘導用戶執行從而獲取受害主機的遠程控制權。

安天CERT在本次攻擊活動中捕獲到兩種.NET惡意程序。第一種惡意程序被用于針對財務人員進行投放，屬于加載器，執行后釋放兩層惡意載荷并最終執行Gh0st遠控木馬；第二種惡意程序被用于針對小店商家客服進行投放，是使用某開源遠控項目生成的受控端程序。

安天CERT在《“游蛇”黑產團伙專題分析報告》^[1]中揭示了該黑產團伙常用的詐騙套路及變現方式。該團伙目前對目標范圍進行收縮，主要針對各類財務人員及電商客服進行釣魚攻擊，并在感染成功后進行后續的詐騙活動：該團伙對財務人員進行攻擊后，主要通過控制財務人員微信添加高仿賬號的方式，冒充領導的身份誘導財務人員進行轉賬；對小店商家等電商客服進行攻擊后，則主要通過控制客服微信對其客戶進行惡意拉群的方式，冒充客服的身份對其客戶進行詐騙。

經驗證，安天智甲終端防御系統（簡稱IEP）可實現對上述遠控木馬的有效查殺。

安天安全威脅排查工具可以檢出“游蛇”木馬，ATool系統安全內核分析工具可以發現并清除“游蛇”木馬（詳見第四、五章）。

2.關聯分析

---

在本輪攻擊活動中，“游蛇”黑產團伙對目標范圍進行了收縮，主要針對各類財務人員及小店商家客服（快手、抖音、微信視頻號、小紅書等平臺）進行釣魚攻擊活動。

圖2-1 針對財務人員進行釣魚攻擊活動

在對快手、抖音、微信視頻號、小紅書等小店商家客服進行攻擊時，該黑產團伙還在下發的任務中對目標商家店鋪的銷量進行范圍限定，并根據受害者電腦中是否有商家管理后臺判斷感染是否成功。

圖2-2 該黑產團伙下發的相關任務要求

安天CERT結合在《“游蛇”黑產團伙專題分析報告》中總結出的黑產團伙常用詐騙套路，推測該團伙對財務人員進行攻擊后，主要通過控制財務人員微信添加高仿賬號的方式，假冒領導的身份誘導財務人員進行轉賬；對小店商家等電商客服進行攻擊后，則主要通過控制客服微信對其客戶進行惡意拉群的方式，冒充客服的身份對其客戶進行詐騙。

3.樣本分析

---

安天CERT本次捕獲到兩種惡意程序，均采用.NET編寫。其中，第一種惡意程序針對財務人員投放，屬于惡意加載器，執行后釋放兩層惡意載荷并最終執行Gh0st遠控木馬；第二種惡意程序針對小店商家客服投放，是使用某開源遠控項目生成的受控端程序。

3.1 第一種惡意程序

該程序經過混淆處理，攻擊者事先將經過加密處理的載荷嵌入程序資源中，程序執行后使用AES算法對該資源進行解密得到載荷1，并對其加載執行。

圖3-1 使用AES算法解密得到載荷1

該程序隨后會執行一個由泰語編寫的問答選擇界面，用以迷惑用戶。

圖3-2 由泰語編寫的問卷界面p>

3.1.1 載荷1

載荷1使用.NET編寫，并且經過混淆處理。載荷1執行后，對注冊表項進行修改以關閉安全通知、關閉UAC，并將惡意程序所在路徑添加至Windows Defender排除項中以此進行規避。

圖3-3 載荷1采用的規避手段

載荷1同樣使用AES算法對資源中的文件進行解密，從而獲得載荷2。創建C:\Windows\Microsoft.NET\Framework\v4.0.30319\jsc.exe進程，并將載荷2注入到該進程中。

圖3-4 將解密后的載荷2注入到jsc.exe進程中

3.1.2 載荷2

載荷2使用VC++6.0編寫，執行后對文件偏移位置0x804C處的內容進行解密處理，將解密后的最終載荷寫入內存，并執行其中的***you導出函數。

圖3-5 載荷2解密出最終載荷并寫入內存中執行

3.1.3 最終載荷

最終載荷是Gh0st遠控木馬變種，具有下載執行其他文件、監控剪貼板、鍵盤記錄、遠程控制等功能，并使用指定的XOR算法對通信消息進行加解密處理。

圖3-6 使用XOR算法對發送的通信消息進行加密

3.2 第二種惡意程序

該程序尾部含有UID、C2地址、服務名稱等配置信息，執行后獲取當前時間、從程序尾部讀取數據，從而初始化配置信息，并根據配置信息選擇是否安裝服務、實現開機自啟動、隱藏文件以及創建互斥量。

圖3-7 初始化配置信息

經關聯分析，該程序是使用開源遠程控制管理項目生成的受控端程序。

圖3-8 代碼比對

該程序收集受害主機的IP地址、計算機名稱、內存大小、用戶名稱、操作系統版本、已安裝反病毒軟件等基本信息以構建上線包。

圖3-9 收集受害主機基本信息構建上線包

該程序對構建的上線包進行序列化及壓縮處理，然后將經過處理的上線包發送至C2服務器中。

圖3-10 對上線包進行序列化及壓縮處理

該程序具備遠程語音、文件管理、鍵盤輸入記錄、注冊表管理、遠程桌面、cmd命令執行、啟動項管理、系統管理、TCP連接管理、遠程監控攝像頭、下載執行其他程序等多種功能。

圖3-11 核心功能列表

4.防護建議

---

4.1 增強業務人員的安全意識

增強業務人員的安全意識，降低組織被攻擊的可能性。財務、客服、銷售等人員使用微信、企業微信等電腦端登錄的即時通訊應用時，避免因工作性質、利益原因，被誘導下載和運行不明來源的各類文件。組織可通過選擇安全意識培訓服務，鞏固“第一道安全防線”。

4.2 安天安全威脅排查工具排查游蛇載荷

發現或懷疑遭受“游蛇”黑產團伙攻擊：針對“游蛇”黑產團伙在攻擊活動中投放的遠控木馬，在安天垂直響應平臺下載安天安全威脅排查工具（https://vs2.antiy.cn，“游蛇”專項排查工具），面對突發性安全事件、特殊場景時快速檢測排查此類威脅。由于“游蛇”黑產團伙使用的攻擊載荷迭代較快，且持續更新免殺技術，為了更精準、更全面的清除受害主機中存在的威脅，建議客戶在使用專項排查工具檢出威脅后，聯系安天應急響應團隊（[email protected]）處置威脅。

圖4-1 發現“游蛇”相關威脅

撥打安天7*24小時服務熱線400-840-9234尋求幫助：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現場等待安全工程師對計算機進行排查。

4.3 加強終端文件接收和執行防護

部署企業級終端防御系統，實時檢測防護即時通訊軟件接收的不明文件。安天智甲終端防御系統采用安天下一代威脅檢測引擎檢測不明來源文件，通過內核級主動防御能力阻止其落地和運行。

圖4-2 安天智甲終端防御系統阻止惡意程序落地

針對“游蛇”黑產團伙的攻擊行為，安天智甲升級了“內存掃描”模塊能力：遍歷進程并對進程的內存空間進行掃描以發現惡意進程，處置時終止該惡意進程并將文件移至隔離區。

圖4-3 安天智甲終端防御系統通過內存掃描檢出惡意進程

5.使用ATool清除“游蛇”木馬

---

使用ATool系統安全內核分析工具的多維信譽檢測機制，可以發現主機中存在的潛在威脅。在ATool工具的“進程管理”頁面中，使用“可信驗證”功能發現主機中正在運行的惡意進程，可以選擇終止進程并根據映像路徑刪除文件。

圖5-1 使用ATool發現惡意進程

在ATool的“端口管理”頁面中，使用“C&C檢測所有項”功能可以發現當前連接惡意C2地址的對應進程，在“進程管理”中終止進程并根據映像路徑刪除文件。

圖5-2 使用ATool發現連接惡意C2的進程

6.IoCs

---

IoCs

D2F35A6F207BC1D197A8F43C2D31D8FF

7B26FAD17A9A60C961868CE2EFB15749

202.79.171.35:5555

103.97.128.98:8060

參考資料

---

[1] “游蛇”黑產團伙專題分析報告

http://8rpec4.com/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html

[2] 安天垂直響應平臺（安天安全威脅排查工具、ATool系統安全內核分析工具）

https://vs2.antiy.cn

[3] 以執行體信譽查詢輔助威脅“半自動”獵殺處置——安天小胖談系統工具ATool的特色

https://mp.weixin.qq.com/s/pqc8QIf_0yr3rV-pAckLgQ