隐藏在暗网深处的钓鱼攻击活动

安全分析与研究

专注于全球恶意软件的分析与研究

前言

前段时间群里有兄弟发了两个0day漏洞的POC，如下所示：

一般这种POC是不会随便发出来的，不是葫芦娃，就是木马后门之类的。

群里大佬们很多都是做安全大买卖的老板，这种底层搬砖的活，就只能我来了。

笔者平时没事的时候也没别的爱好，就喜欢研究一些全球最新的攻击事件和攻击样本，看看现在全球的黑客大佬们都在做什么，跟全球的黑客大佬们学点姿势。

趁今天休息，笔者简单看了看这个样本，攻击者在反溯源分析方面做了一点功课，可能是个钓鱼老手。

针对上面的钓鱼攻击样本，笔者画了一个简单的流程图，如下所示：

分析

1.解压POC包之后，如下所示：

2.打开解压缩后文件目录下的漏洞poc.py脚本，该poc.py代码里面包含一段恶意代码，如下所示：

3.poc恶意脚本代码会判断操作系统版本是windows还是linux，并分别从github下载对应的恶意程序，然后使用cVe35364%密钥解压缩文件到对应的目录并执行，该github链接地址己经404了，如下所示：

4.poc恶意脚本从github上下载的恶意程序，如下所示：

5.恶意程序会检查系统端口号，如下所示：

6.检测持久化操作，设置计划任务持久化，如下所示：

在指定的目录生成恶意程序，如下所示：

7.设置的计划任务持久化，如下所示：

8.检测配置信息文件，生成配置信息文件，如下所示：

9.检测TOR应用程序，并下载安装TOR，如下所示：

10.下载安装启动TOR，如下所示：

11.恶意程序通过Tor内置Bridge可插拔传输器与C2进行通信，并利用obfs4混淆Tor Bridge的网络流量，如下所示：

12.该恶意程序主要盗取剪切板数据和浏览器相关数据，如下所示：

通过分析发现攻击者在行为隐藏、流量隐藏和反溯源分析方面，做了一些处理。

在行为隐藏方面，攻击者使用了与Chrome、Edge等浏览器更新程序类似的文件名或者使用Windows系统更新类似的文件名，同时设置了相应的计划任务，与正常的Chrome、Edge和Windows系统更新计划任务非常相似。

在流量隐藏方面，攻击者使用obfs4混淆Tor Bridge网络流量，隐藏真实的IP网络流量数据。

在反溯源分析方面，攻击者上传github的项目的邮箱地址被攻击者隐藏起来了，设置了指定github提交邮箱，邮箱地址格式为

[ID+USERNAME]@users.noreply.github.com，导致分析者无法拿到攻击者的真实邮箱地址。

通过上面的分析，可见攻击者还是做了一定的“功课”的，但在样本自身免杀方面暂时没有做过多的处理。

攻防对抗就是一个持续的过程，攻击者一直在研究新的攻击技术，以逃避安全厂商的检测以及安全研究人员的分析溯源，也许未来攻击者会在样本自身免杀方面做一些处理，同时在流量隐藏方面、反溯源分析方面会做的更好，攻防对抗会不断升级，安全研究人员也需要不断提升自己的安全分析能力。

IOCS

109.190.177.33

204.85.191.9

91.203.144.194

185.243.218.27

65.108.136.183

188.68.36.28

157.90.92.115

185.239.222.245

140.78.100.28

185.183.157.127

103.28.52.93

176.10.119.69

178.27.106.248

46.4.103.29

209.209.11.184

46.232.250.51

178.254.6.130

142.132.204.165

51.75.129.204

140.78.100.22

185.247.226.98

23.129.64.217

94.16.117.97

93.95.230.85

65.108.253.128

198.98.60.107

198.50.238.128

185.14.30.57

171.25.193.234

135.148.100.90

188.68.40.46

51.81.208.164

74.82.47.194

185.220.101.203

82.66.10.17

89.147.109.91

138.201.35.6

85.208.144.164

185.220.101.68

155.248.212.228

204.85.191.8

190.211.254.182

84.158.138.52

130.61.174.201

51.15.185.201

46.163.76.170

199.249.230.105

45.155.168.206

185.241.208.204

199.249.230.168

185.244.195.103

193.56.240.157

95.216.27.105

89.236.112.100

162.251.116.106

82.149.227.124

179.43.159.194

185.244.195.157

31.171.154.165

91.134.147.134

193.105.73.80

66.183.173.29

89.147.108.62

132.145.22.208

152.70.197.164

163.172.211.16

174.128.250.164

13.211.32.165

87.118.116.103

91.203.144.194

50.39.143.177

172.98.15.136

65.108.10.141

185.175.158.198

82.66.61.19

94.130.246.106

89.147.108.35

163.172.213.212

135.125.202.252

37.200.99.251

142.132.165.154

176.9.38.121

116.203.17.238

15.235.29.234

185.232.70.209

72.92.146.128

91.208.162.197

51.15.75.120

95.214.54.80

185.112.156.72

135.148.52.231

92.222.79.186

216.250.119.225

145.239.206.31

185.195.71.3

144.76.154.13

213.144.135.21

185.243.218.27

138.201.123.109

109.202.212.1

5.45.102.119

138.201.250.33

199.249.230.110

51.15.150.228

144.217.90.187

89.58.54.129

87.62.96.246

5.2.72.110

116.203.50.182

199.249.230.74

185.220.101.206

51.81.56.195

185.220.101.72

18.18.82.18

94.46.171.245

185.181.229.77

5.255.98.7

78.31.67.22

91.219.29.94

212.83.43.93

212.83.61.218

144.91.125.15

45.91.77.77

79.137.196.223

54.36.120.156

94.230.208.147

199.249.230.82

174.128.250.163

37.235.48.247

93.95.231.115

104.192.3.74

46.38.232.203

68.67.32.33

23.154.177.3

65.39.97.13

82.223.23.176

192.99.43.171

193.108.118.218

185.228.136.146

45.132.246.38

188.40.147.177

38.145.211.218

83.78.216.58

191.252.111.55

194.76.227.152

185.194.141.178

51.15.59.15

81.6.40.139

49.12.225.94

94.199.217.225

23.175.32.11

185.220.101.206

104.244.72.20

213.149.82.60

89.58.3.65

172.106.112.50

185.25.51.138

199.249.230.118

198.251.68.144

178.175.148.205

5.182.211.119

185.233.100.23

82.220.38.150

212.32.240.165

217.112.131.24

199.249.230.141

95.216.101.247

131.188.40.188

91.203.5.165

89.58.4.238

192.42.116.17

51.15.54.117

51.159.184.219

209.51.188.48

85.239.34.40

23.137.251.61

37.252.190.176

193.108.117.103

140.78.100.42

50.236.201.218

89.58.52.189

213.135.244.242

96.126.105.219

185.140.251.125

158.69.207.216

139.162.166.237

172.107.202.142

86.59.21.38

188.68.224.83

130.162.218.212

171.25.193.9

86.115.2.103

104.244.72.91

45.66.35.11

193.23.244.244

199.249.230.152

5.189.155.39

66.111.2.131

199.58.81.140

131.188.40.189

150.246.240.221

37.133.161.205

128.31.0.39

198.180.150.9

171.25.193.80

204.13.164.118

103.109.100.207

129.151.246.99

86.59.21.38

总结

高端的黑客组织一直没有闲着，未来黑客组织的攻击手法会越来越高，使用的一些攻击技术会越来越隐蔽，针对特定目标进行高端定向攻击，是未来安全的一种趋势，针对高价值的目标，黑客会研究和采用更高级的攻击手法，使用更高级的攻击技术和攻击样本，安全对抗没有终点，而且未来高端的安全对抗会越来越激烈，安全厂商和安全研究人员需要持续不断的提升自己的安全能力。

笔者一直从事与恶意软件威胁情报APT等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，通过跟踪分析全球最新的各种安全攻击事件、攻击样本、漏洞利用和攻击技巧等，可以了解全球黑客组织最新的攻击技术和攻击趋势，做到知已知彼。

各位读者朋友如果有遇到什么新型恶意软件家族样本、最新的家族变种以及各种高端的攻击样本都可以私信发给笔者，提供的样本越高端越好，提供的攻击事件线索越新越好，感谢给笔者提供样本的朋友们！

做安全，不忘初心，与时俱进，方得始终！

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，安全的路还很长，一辈子只做一件事，坚持、专注，专业！