现金巴黎人娱乐城app平台
1 详细
安天 CERT 发现"游蛇"黑产诈欺仿冒的 WPS Office 下载站传播远控木马,若用户下载该网站的 WPS Office,实质下载的是托管在 OSS 中的作假装配要津。该要津实行后,在临时文献夹 %temp% 中开释实行一个正常的 WPS 装配要津,以此诱骗用户,并在 C:ProgramData 文献夹中开释三个文献,实行其中的 Shine.exe 要津后加载坏心 libcef.dll 文献,该 DLL 读取 1.txt 文献,从而在内存中实行原称号为" Install.dll "的文献,调用其 Shellex 导出函数,最终实行 Gh0st 远控木马,并创建注册表启动项结束握久化。
"游蛇"黑产团伙(笔名"银狐"、"谷堕大盗"、" UTG-Q-1000 "等)自 2022 年下半年运行平方活跃于今,针对国内用户发起了精深报复步履,以图窃密和诓骗,对企业及个东说念主形成了一定的赔本。该黑产团伙主要通过即时通信软件(微信、企业微信等)、搜索引擎 SEO 引申、垂纶邮件等道路传播坏心文献,其传播的坏心文献变种多、免杀时刻更换平方且报复筹画所波及的行业粗拙。用户不错在安天垂直反映平台(https://vs2.antiy.cn)中下载使用"游蛇"专项排查器具和安天系统安全内核分析器具(ATool)对" Gh0st "木马进行排查和断根。
陶冶证,安天智甲终局持重系统(简称 IEP)可灵验查杀该远控木马。
2 样分内析
2.1 仿冒网站
仿冒成 WPS Office 下载站的网站 hxxps://wpsice [ . ] com:
图 2 ‑ 1 仿冒网站页面
若点击"立即下载"按钮,将会下载托管在 OSS 中的作假装配要津。
图 2 ‑ 2 该仿冒网站的页面源代码
2.2 作假装配要津
表 2 ‑ 1 样本标签
病毒称号
Trojan/Win32.SwimSnake
原始文献名
WPS_Setup.exe
MD5
9232FBCCF8B566B0C0A6D986B65BBC98
处理器架构
Intel 386 or later processors and compatible processors
文献大小
253 MB ( 265,306,009 字节 )
文献神态
BinExecute/Microsoft.EXE [ :X86 ]
时辰戳
2023-05-31 21:15:01
数字签名
无
加壳类型
编译话语
Microsoft Visual C/C++
该要津实行后,会在临时文献夹 %temp% 中开释实行一个正常的 WPS 装配要津,以此诱骗用户。
图 2 ‑ 3 开释实行正常的 WPS 装配要津
然后在 C:ProgramData 中开释三个文献:Shine.exe 含有正常的数字签名,libcef.dll 是一个坏心 DLL 文献,1.txt 是一个包含 Gh0st 远控木马的 Shellcode。
图 2 ‑ 4 在 C:ProgramData 中开释报复组件
Shine.exe 要津运行后加载 libcef.dll 读取 1.txt 文献,从而在内存中加载实行一个原称号为" Install.dll "的文献并调用其 Shellex 导出函数,最终实行 Gh0st 远控木马。
图 2 ‑ 5 Install.dll 文献信息
该要津场所旅途被添加至注册表启动项" HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun "中结束握久化。
图 2 ‑ 6 创建注册表启动项结束握久化
3 使用器具排查与料理
基于本次报复步履中报复者使用 Gh0st 远控木马家眷变种情况,用户不错在安天垂直反映平台(https://vs2.antiy.cn)中下载使用"游蛇"专项排查器具和安天系统安全内核分析器具对 Gh0st 远控木马进行排查和断根。
"游蛇"专项排查器具可用于排查"游蛇"黑产团伙在报复步履中投放的加载器和加载至内存中的远控木马(包括 Gh0st 远控木马家眷)。
安天系统安全内核分析器具(简称 ATool)是一款面向贬抑检测与贬抑分析东说念主员的 Windows 系统深度分析器具,其简略灵验检测操作系统中潜在的窃密木马、后门及黑客器具等坏心要津并提拔专科东说念主员开展手动料理使命,具有已知贬抑灵验检测,未知贬抑实时发现,禁闭感染一键料理等功能特色。
图 3 ‑ 1 安天垂直反映平台
3.1 使用"游蛇"专项排查器具排查 Gh0st 远控木马
为了更精确、更全面的断根受害主机中存在的贬抑,客户在使用专项排查器具检出贬抑后,不错有关安天救急反映团队(cert@antiy.cn)。
图 3 ‑ 2 使用"游蛇"专项排查器具发现坏心进度
3.2 使用安天系统安全内核分析器具断根 Gh0st 远控木马
发现 Gh0st 远控木马后,用户不错在安天垂直反映平台下载使用 ATool 对该木马进行断根。举例,在 ATool 的"进度料理"页面中,右键点击坏心进度" Shine.exe ":先点击"在 Windows 文献料理器中定位"定位" Shine.exe "场所旅途,然后点击"终结"截止" Shine.exe "进度,临了删除" Shine.exe "要津场所旅途中的坏心文献。
图 3 ‑ 3 使用 ATool 器具定位、终结坏心进度
在 ATool 的"自启动项"页面中,使用"查找"功能搜索坏心进度称号,发现并删除坏心自启动项。
图 3 ‑ 4 通过坏心进度称号查找坏心自启动项
此外,ATool 针对可实行对象维持四个对象维度的信誉查询,即"发布者信誉"、"内容信誉"、"行动信誉"和"旅途信誉(位置信誉)"。点击器具上方的"信誉分析"按钮简略实行对现时清单对象的云霄信誉查询,从而匡助用户发现系统中的潜在贬抑。
图 3 ‑ 5 使用 ATool 的"信誉分析"功能发现坏心进度
4 终局安全防护
经过测试,安天智甲终局安全系列居品(以下简称"智甲")依托安天自研贬抑检测引擎和内核级主动持重才能,不错灵验查杀和持重本次发现病毒样本。
智甲可对腹地磁盘进行实时监测,对新增文献自动化进行病毒检测。针对这次贬抑,当病毒文献 libcef.dll 文献落地腹地时,智甲会立即对病毒文献进行查杀并向用户发送告警,灵验进攻病毒启动。
图 4 ‑ 1 病毒文献落地时,智甲第一时辰拿获并发送告警
另外智甲具备驱动级主动持重模块,不错对进度行动实时监控,当发现进度存在风险行动时可立即遏制,灵验珍摄报复行动实行。本次事件中,当报复者诈欺 Shine.exe 加载坏心文献 libcef.dll 时,智甲和会过内存防护模块拿获坏心要津加载行动,独立即遏制。
图 4-2 奏凯主动持重模块遏制坏心要津加载行动
智甲还为用户提供长入料理平台,料理员可通过平台都集检验网内贬抑事件细则,并批量进行料理,升迁终局安全运维效果。
图 4-3 智甲料理中心助力料理员结束高效的终局安全料理
5 报复载荷实行体全人命周期与安全居品重要才能映射矩阵
通过贬抑事件分析,得出报复载荷实行体全人命周期中运行对象和运行看成的报复经由,可进一步评估终局侧部署的安全防护软件应具备反病毒引擎和主动持重的重要才能映射矩阵。本次系列报复步履的检测和持重重要才能点形容如下表:
报复实行体
人命周期
对象
看成
贬抑检测引擎
重要才能
主动持重才能
重要才能
预
置
与
投
放
投
放
仿冒网站
仿冒 WPS Office 下载站,引导用户下载绑缚了后门的装配要津。要津大于 200M。
仿冒域名检测
1.(主机防火墙)监测应用要津打听 C2 管事器申请数据包,取得打听的 IP、域名和 URL,送达引擎检测,遏制贬抑 C2 管事器打听申请数据包
2.(主机防火墙)应用申请 IP、Domain 和 URL 为非授信地址设定纪录 / 告警 / 遏制步履
加
载
执
行
绑缚了后门的装配要津
开释文献:
%temp%WPS_Setup.exe(白文献)
C:ProgramDataShine.exe(白文献)
C:ProgramDatalibcef.dll
C:ProgramData1.txt
1. 装配包类型识别
2. 装配要津繁衍文献拆解并递归检测
3. 大文献冗余作假数据相配识别
1.(文献持重)监控磁盘文献创建 / 修改,送达引擎检测,删除贬抑文献
2. ( 文献持重)设定文献全盘监控
加载并解密;
1、白加黑加载:
Shine.exe(白文献)
2、解密:
libcef.dll
加载:
libcef.dll 解密:1.txt
解出:Install.dll(可实行文献)
1、离线数字签名考据
2.PE 神态和编译器类型识别
3.PE 实在进口点坏心提示检测
(进度持重)监控进度模块加载,拆解进度全旅途、加载模块全旅途后,送达引擎检测,遏制贬抑模块加载,并删除贬抑模块
内存加载:Install.dll
Gh0st 远控木马
Gh0st 远控木马内嵌坏心提示检测
1.(内存持重)监控内存加载行动
2. ( 内存持重)设定辞让加载含有某 shellcode 内容的内存加载
握
久
化
添加注册表启动项:
添加注册表启动项:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
值 : 字符串 : " Management ":"C:Program DataShine.exe"
注册表项检测
(注册表持重)监控注册表启动项新建 / 修改,拆解修改注册表进度的文献旅途、启动项称号及启动项的内容后,送达引擎检测,删除贬抑启动项
致
效
运
用
过
程
致
效
远控木马(Gh0st):Install.dll
1、集合系统信息发奉上线包回连 C2
2、恭候给与并实行远控提示
远控 C2 域名检测
6 IoCs
A9710294489B6893F59120C5DF76A60C
444F87D1D78B9C1162963D6F775FB60E
hxxps://wpsice [ . ] com
hxxps://cn-wps-oss-1.cdn-yun [ . ] cloud/WPS_Setup.exe
45.207.12 [ . ] 71:1803
7 安天针对"游蛇"贬抑历史论述清单
[ 1 ] 通过伪造华文版 Telegram 网站投放远控木马的报复步履分析 [ R/OL ] . ( 2022-10-24 )
https://www.antiy.cn/research/notice&report/research_report/20221024.html
[ 2 ] 诈欺云条记平台送达远控木马的报复步履分析 [ R/OL ] . ( 2023-03-24 )
https://www.antiy.cn/research/notice&report/research_report/20230324.html
[ 3 ] 诈欺云条记平台送达远控木马的黑产团伙分析 [ R/OL ] . ( 2023-03-30 )
https://www.antiy.cn/research/notice&report/research_report/20230330.html
[ 4 ] "游蛇"黑产团伙针对国内用户发起的大限度报复步履分析 [ R/OL ] . ( 2023-05-18 )
https://www.antiy.cn/research/notice&report/research_report/20230518.html
[ 5 ] "游蛇"黑产团伙近期垂纶报复步履分析 [ R/OL ] . ( 2023-07-11 )
https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html
[ 6 ] "游蛇"黑产团伙诈欺微信传播坏心代码的步履分析 [ R/OL ] . ( 2023-08-22 )
https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html
[ 7 ] "游蛇"黑产团伙专题分析论述 [ R/OL ] . ( 2023-10-12 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html
[ 8 ] "游蛇"黑产团伙针对财务东说念主员及电商客服的新一轮报复步履分析 [ R/OL ] . ( 2023-11-11 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html
[ 9 ] "游蛇"黑产近期报复步履分析 [ R/OL ] . ( 2024-04-07 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html
[ 10 ] "游蛇"黑产团伙诈欺坏心文档进行垂纶报复步履分析 [ R/OL ] . ( 2024-06-21 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html
[ 11 ] 垂纶下载网站传播"游蛇"贬抑,坏心装配要津潜藏远控木马 [ R/OL ] . ( 2024-12-20 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html
[ 12 ] "游蛇"黑产报复苛虐,速启专项排查与料理 [ R/OL ] . ( 2025-04-23 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202504.html
参考贵府
[ 1 ] [ 已果断 ] 假的 WPS 网站 [ R/OL ] . ( 2025-05-08 )
https://bbs.kafan.cn/thread-2281325-1-1.html现金巴黎人娱乐城app平台