摘要

近期，白帽汇在用户现场发现一起持续活跃的恶意软件攻击活动，本次活动的恶意软件为Plug X RAT 新变种。后续根据攻击时间和攻击手法关联，推测本次攻击者同样使用了gh0st RAT。本次发现的攻击活动中检测到攻击手段为：传播影音播放下载器、迈克菲杀毒软件、TG通讯软件，后续下载安装RAT工具。我们通过流量监测设备发现异常告警并后续定位到了恶意软件。根据资产测绘搜索到的开放情况、捕获样本、威胁情报综合判断该活动开始于2022年10月，至今处于活动状态，攻击较为频繁。

异常告警

【Suricata-告警信息】
时间：2022-11-17 11:34:11
详情：ET TROJAN Trojan.Win32.DLOADR.TIOIBEPQ CnC Traffic 
攻击流向：172.16.xx.xx:xx166 -> 45.116.161.95:53
IP详情：
172.16.xx.xx （xxxx - xxxx中心）
45.116.161.95 （None）

流量日志

域环境，办公内网客户端的DNS解析服务由内建服务器承担，恶意程序的域名查询指定8.8.8.8响应DNS-query。

[zeek.dns] {"ts":1668657146.372384,"uid":"CmxrDs3cd5ZPsVS3pg","id.orig_h":"172.16.xx.xx","id.orig_p":57620,"id.resp_h":"8.8.8.8","id.resp_p":53,"proto":"udp","trans_id":21178,"rtt":0.745607852935791,"query":"googleupdate.luckfafa.com","qclass":1,"qclass_name":"C_INTERNET","qtype":1,"qtype_name":"A","rcode":0,"rcode_name":"NOERROR","AA":false,"TC":false,"RD":true,"RA":true,"Z":0,"answers":["45.116.161.95"],"TTLs":[64.0],"rejected":false}

• 指定谷歌DNS 8.8.8.8进行响应 DNS-listener的请求日志

响应日志C2：45.116.161.95 UDP：53

DNS answer : unknown type=1024

rcode :0 NOERROR无错误条件

UDP ：137

TCP：53 DNS 服务

rcode：6 YXDOMAIN 6确实存在一些不应该存在的名称。

HTTP记录日志，理解为心跳包

通讯端口统计分布

UDP  DNS Port 53，137

TCP HTTP Port 8080,443,80

流量中数据包大小

威胁情报

在看到告警后，查看流量日志行为，同时使用开源威胁情报查询，查找到1个域名关联该IP信息，然后查询子域名总共获取3个子域名；

攻击者创建域名，多为常用软件服务名，更新update这些关键字组合创建。

googleupdate.luckfafa.com 45.116.161.95 
wpsupdate.luckfafa.com 14.192.67.187 
microsoftdefender.luckfafa.com     210.56.54.12
www.luckfafa.com

Virustotal

https://www.virustotal.com/gui/ip-address/45.116.161.95/relations

子域名

捕获样本

回连恶意IP

Process Nmae: svchost.exe
PID : 7216

看到运行的程序是svchost.exe，恶意程序注册服务运行；

删除日志

可以看到机器中10.25存在删除日志的行为，并且当天无任何其他安全日志。这时候体验到了没有日志记录的难题，攻击者删除之后相当于真的找不到了……

attrib隐藏属性

后面使用Autorunx64.exe发现了和子域名相同命名的服务wpsupdate和googleupdate同时运行的程序为ASUS.exe，使用everything查找到了文件的具体位置，这里攻击者使用了attrib.exe这一个命令将木马文件和所在目录全部设置增加了系统属性和隐藏属性，我们需要在该目录中使用相同的命令以管理员权限将上述属性取消，随后看到了目录下的恶意程序。

attrib -S -H * 
木马路径 系统属性 隐藏属性
C:\windows\programdata\googleupdate\
C:\windows\programdata\wpsupdate\
C:\windows\programdata\timo\

服务信息如下：

• 服务名称 googleupdate /wpsupdate
• ASUS Com Service
• ASUSTeK Computer Inc

键盘记录器文件

仔细查看了键盘记录器记录的东西，相对是很详细的，时间戳、进程名、执行的动作、浏览器中的点击。

使用SublimeText打开，更改编码查看如下:

恶意样本

➜   tree
.
├── googleupdate
│   ├── ASUA.exe 
│   ├── ATKEX.dll
│   ├── debug.dump
│   └── NvSmart.x64.hlp
├── timo
│   ├── ATKEX.dll
│   ├── debug.dump
│   └── logo.png data
└── wpsupdate
    ├── ASUA.exe
    ├── ATKEX.dll
    ├── debug.dump
    ├── NvSmart.hlp
    └── NvSmart.x64.hlp

3 directories, 15 files

通过获取到的ATKEX.dll在virustotal关联到样本父文件61402F53A8918246C791E332FB33848D关联到RAT情报

SHA-256

057e908cd15f95a9768989c0455ae9a24a65c46a5022f5fa1adfe7c7a8a4b6a7

本次发现的为该工具Plug X RAT的新变种

同时从本次获取到的恶意木马回连IP中一共获取到3个已经公开的恶意样本

https://www.virustotal.com/gui/file/7fa8231dc167ec6aa87874a10d3daf798407a37c11bb921efb05664dfafdb38f/relations

https://www.virustotal.com/gui/file/160c121252521823abba5263da264469baf1489766f18b074334cf41ca3d0546/relations

情报关联

由c81b31f8986cc40ff2d31c3bafd7abdf275826ccb5859eba8d927144e38bc7f3程序关联到的威胁情报中已经公开样本程序https://www.virustotal.com/gui/file/c81b31f8986cc40ff2d31c3bafd7abdf275826ccb5859eba8d927144e38bc7f3/relations

威胁情报关联到的gh0st RAT样本

木马程序基本执行流程

1. 有签名白程序 + 黑 dll 注册服务运行

2. 复制到指定目录；

3. 设置自身和目录为系统属性（attribute +S +H）；

4. 将目录设置为隐藏属性；

5. 将带有签名的程序注册为服务执行程序为ASUS.exe； 创建1个挂起的svchost进程，将shellcode注入目录结构中data属性文件为shellcode；

Fofa

• 目标的53端口为HTTP协议

listener 特征

通过fofa搜索到的开放端口和组件，监听的HTTP-Listener，提取到所有特征，然后根据该特征搜索整个互联网上符合的IP。

header="Server: Apache 1.3.27" && header="Content-Type: text/html" && header="Accept-Ranges: bytes" && header="Content-Length: 80" && header="HTTP/1.1 404 Not Found" && header="Connection: close" && body="<B>The Page You Requested Was Not Found!</B>"

时间线

本次发现的攻击活动的时间点2022-11-17 11:34:11 发现告警 随即开展排查和后续定位

• 木马运行时间 2022-10-25 10:05 （根据木马程序系统时间获得）
• 日志删除时间 2022-10-25 09:57:23 （根据主机事件查看器日志获得）
• C2通讯时间 2022-11-03 08:21:14 （根据流量日志记录获得）
• 键盘记录一 时间 2022-11-04 09:11:43 （根据发现的键盘记录器存储文件获得）
• 键盘记录二 时间 2022-11-08 12:07:29 （同上）
• 流量异常发现时间 2022-11-17 11:12:10 监测到流量异常行为的时间

总结

• C2平台：Plug X RAT、gh0st

• 前期：攻击者载荷投递方式为在破解软件/绿色软件需求的论坛和群组；

• 权限维持：白加黑的方式，注册系统服务保障自身每次开机自动运行；

• 痕迹清理：在软件安装完成后自动删除当天日志；睡眠间隔7天后与C2域名进行通讯；

• 信息窃取：小流量数据包，利用键盘记录器获取受害者信息；

• 受害者：根据已知信息推测为中文使用者，习惯性获取破解软件的人员；

本次攻击活动完整攻击流程

1. 攻击者在相关站点批量投放恶意软件；

2. 受害者安装运行之后注册自身系统服务并开启键盘记录器；

3. 安装运行完成之后删除系统安全日志；

4. 睡眠间隔7天之后与C2域名进行通讯回传获取到的受害者信息；

本次在应急过程中从流量异常行为到定位主机，捕获样本，并根据防守现状做出响应，后续通过威胁情报和fofa对本次攻击活动进行快速分析。

本次事件，在发现并确认异常后随即加入防火墙黑名单阻断，但是后续观察阶段，攻击者新增域名microsoftdefender.luckfafa.com，并且公开情报显示2022.12.13，仍持续有样本公开，持续开展攻击活动。

在整个应急响应过程中，协同现场运维人员和业务人员共同梳理被控机器和人员的权限，同时对日志按照时间线回溯暂未发现横向痕迹。

结合上述信息，我们推测，攻击者批量开展攻击活动，安装恶意软件后启动键盘记录器，利用键盘记录器获取受害者信息，间隔7天后与C2域名进行通讯，不排除后续会根据键盘记录器获取到的信息针对特殊用户开展深层次的横向移动和内网攻击活动。

IOCs

C&C

googleupdate.luckfafa.com 45.116.161.95 
wpsupdate.luckfafa.com 14.192.67.187 
microsoftdefender.luckfafa.com     210.56.54.12
www.luckfafa.com

SHA256-Hash

文件类型

本文为白帽汇原创文章，转载请注明来源：https://nosec.org/home/detail/5054.html