獨家揭秘“看門狗”團伙三大手段，360安全大腦釋能戳穿遠控木馬“畫皮”

近日，360安全大腦獨家捕獲“看門狗”團伙最新動向，其正通過偽造某聊天軟件官網(wǎng)以及釣魚郵件等方式，對特定目標人群精準投毒禍亂網(wǎng)絡。該組織命名來源于攻擊樣本包含的中文PDB路徑，也有安全廠商稱其為“金眼狗”組織。

360安全大腦基于持續(xù)跟蹤數(shù)據(jù)，并對攻擊樣本進行梳理分析后發(fā)現(xiàn)，“看門狗”團伙長期通過申請正規(guī)軟件開發(fā)商簽名，進而利用白加黑方式執(zhí)行遠控木馬;釣魚郵件定向投毒，并通過漏洞利用啟動遠控木馬;偽裝正規(guī)聊天工具捆綁遠控模塊等三大手段橫行網(wǎng)絡。

手段1：以假亂真，冒用簽名投放遠控木馬

一直以來，冒用軟件開發(fā)廠商簽名都是“看門狗”團伙的慣用伎倆。從360安全大腦長期監(jiān)測數(shù)據(jù)來看，9月下旬至今已追蹤到該團伙冒用的十余個數(shù)字證書，具體如下：

與此同時，360安全大腦最新數(shù)據(jù)顯示，“看門狗”團伙除申請了與原廠商相同的簽名外，還申請了部分同名但大小寫不同的高迷惑性簽名，以便于測試安全軟件反應，為冒用簽名投放遠控木馬試水。

手段2：迷惑性誘餌，釣魚郵件擴散遠控木馬

冒用簽名之外，360安全大腦數(shù)據(jù)顯示，釣魚郵件是“看門狗”團伙的第二大慣用伎倆。從360安全大腦捕獲的釣魚郵件攻擊樣本來看，該團伙通過釣魚郵件，將偽裝成技術資料等文檔的惡意程序，投遞至目標用戶郵箱，以誘騙點擊下載。

一旦觸發(fā)，惡意程序會利用muse音樂播放器棧溢出漏洞執(zhí)行后續(xù)shellcode，并經(jīng)過幾輪內存加載后，最終運行大灰狼遠控。

值得一提的是，該團伙頻繁利用不同軟件的棧溢出漏洞來試圖繞過殺軟的監(jiān)測，本次利用的muse音樂播放器為該團伙最新利用的軟件漏洞。

具體執(zhí)行流程如下：

在此基礎上，針對特定人群，“看門狗”團伙還會向其郵箱投放一些攜帶木馬的“文檔”，此類木馬通常會使用神似word文件的圖標或極具誘導性的文件名，迷惑不明真相的用戶點擊，具體如下：

該木馬首先會檢測自身文件是否以字符“-”開頭。木馬啟動后會在C盤根目錄下創(chuàng)建以木馬文件名第一個字母+字符串“Help”的文件，然后檢測C:\\-Help文件是否存在，不存在則彈窗“意外崩潰”并退出程序，用來對抗分析。

然后該木馬會從hxxp://15083142945.com:99/apbc下載木馬壓縮包并解壓到文件夾C:\Users\Public\Downloads。解壓后的文件結構如下:

最后執(zhí)行 C:\Users\Public\Downloads\hashiqi\wcnmlgb.exe和C:\Users\Public\Downloads下指定的誘導文件，誘導文件如下圖:

wcnmlgb.exe運行后檢測當同目錄下如果沒有RW.txt，則會彈出一個文字替換工具的窗口，用來對抗檢測，起到混淆視聽的作用。

如果檢測到RW.txt存在則讀取文本里面的內容，并在內存中解密運行其中的惡意AutoRun.dll，AutoRun.dll通過運行快捷方式的方法最后以命令行參數(shù)sydb.pls運行C:\Users\Public\Downloads\$Recycle.Bin\mtfx.exe。mtfx.exe則是一個帶有棧溢出漏洞的的音樂播放器程序(muse.exe)。通過命令行參數(shù)會讀取指定*.m3u和*.pls后綴的文件。而如果文件內容太大，則會引發(fā)本地溢出造成漏洞從而可以執(zhí)行shellcode。

通過對mtfx.exe代碼分析，發(fā)現(xiàn)在函數(shù)中使用了不檢查輸入數(shù)據(jù)長度的fscanf函數(shù)，所以會將打開的sybd.pls文件中數(shù)據(jù)全部讀入局部變量，從而覆蓋掉返回地址和SEH異常處理函數(shù)。

fscanf函數(shù)讀取sydb.pls文件數(shù)據(jù)后，覆蓋了當前函數(shù)返回地址和SEH的回調函數(shù)。當函數(shù)返回時，由于返回地址0x41414141是一個無法訪問的地址，觸發(fā)異常從而跳入被覆蓋的SEH回調函數(shù)，而回調函數(shù)地址是sdll.dll的一個固定地址，運行其中兩個pop一個ret后又跳回之前被覆蓋地址中構造好的shellcode中繼續(xù)執(zhí)行。

由于上述緩沖區(qū)大小有限，該段shellcode動態(tài)獲取API后，會依次讀取同目錄下的帶有惡意代碼的文件“X”，“A”,“gifa”最終在內存中解出運行一個修改版的大灰狼遠控木馬dll。連接 CC為58.218.200.5:1529

手段3：偽造軟件，隱秘捆綁投遞遠控木馬

除上述兩種慣用手段外，“看門狗”團伙第三種常用的攻擊手段則是偽造聊天軟件擴散遠控木馬。360安全大腦監(jiān)測數(shù)據(jù)顯示，12月份該團伙將攻擊荷載從Telegram換到了POTATO CHAT，并在其偽造的potato網(wǎng)站上放置偽造簽名的PotatoInstaller.exe，以擴散遠控木馬。360安全大腦追蹤到的樣本顯示，該安裝包除了會安裝正常potato軟件外，還會釋放由MFC編寫的內存加載器，運行后內存加載遠控模塊ServerDll.dll。

具體執(zhí)行流程如下：

從360安全大腦追蹤到的細節(jié)來看，“看門狗”團伙近乎完全地復制potato官方網(wǎng)站(hxxps://potato.im/)，制作出了自己的假網(wǎng)站(hxxp://potato.fit/index.html)，且在頁面中，除了動態(tài)變化的使用人數(shù)和被替換了的windows版下載鏈接外，幾乎與官網(wǎng)毫無區(qū)別，極大地提高了中招率。

在“看門狗”團伙制作的假網(wǎng)站，點擊windows版下載后的安裝程序，是簽名無效的程序，但由于高隱蔽性，常常難以察覺。官方網(wǎng)站安裝程序與“看門狗”團伙制作版對比如下圖：

看門狗團伙制作的PotatoInstaller.exe行為分析：

1.檢查注冊表項 HKEY_LOCAL_MACHINE\SOFTWARE\ODBC,無此注冊表項則退出。

2.檢查文件夾C:\ProgramData\Recovery 不存在則創(chuàng)建。

3.ShellExecute 執(zhí)行超長命令行,看門狗團伙可能想通過此方式繞過安全軟件的監(jiān)控。

此powershell腳本解密后的實際內容如下：

由于腳本中有延時設置，實際測試過程中， go.exe啟動之后，Server.vbe才開始執(zhí)行。

4.將文件內的數(shù)據(jù)通過文件映射的方法寫入 C:\ProgramData\Recovery\tree.exe.

5.解壓縮tree.exe，這是一個壓縮文件，解壓密碼：AaBbCc999.

此文件解壓縮出來的文件都放在C:\ProgramData\Recovery。

除了tree.exe 可見外，其他文件全部設置隱藏屬性。Gamecap.exe是一個在內存中加載并運行大灰狼遠控的惡意程序。Server.vbe等一系列文件都是為了給gamecap.exe添加開機自啟動，實現(xiàn)持久化控制。

6.執(zhí)行 C:\\ProgramData\\Recovery\\go.exe 這是一個bypassuac程序.這個程序的主要目的就是啟動官方的安裝程序setup.exe，以此來迷惑用戶。

全部文件分析及說明：

遠控木馬威脅此起彼伏，360安全大腦強勢截殺

從冒用簽名、釣魚郵件到偽造網(wǎng)站，“看門狗”團伙投遞遠控木馬的手段，可謂花樣百出。而面對遠控木馬等網(wǎng)絡安全威脅，360安全大腦賦能下的新一代防護體系，先后推出了橫向移動防護、軟件劫持攻擊、無文件攻擊等各類應對高級威脅攻擊的體系防護能力，以及應對RDP爆破攻擊、web應用系統(tǒng)漏洞、webshell攻擊等多項針對服務器的防護能力，持續(xù)為黨政軍企等各領域用戶輸出安全防護力。

值得一提的是，“360安全大腦-主防威脅可視化平臺”可持續(xù)對每日新出現(xiàn)的威脅事件進行聚合與可視化展示，精準實時呈現(xiàn)各種流行病毒、木馬的攻擊態(tài)勢，并生成囊括病毒木馬攻擊趨勢、相關網(wǎng)絡與終端維度威脅情報數(shù)量以及生命周期的全維度數(shù)據(jù)，進而幫助技術分析人員高效掌握各類安全威脅，輔助人工分析、研判。

例：全方位呈現(xiàn)“匿影”僵尸網(wǎng)絡的攻擊趨勢圖

目前，在360安全大腦的極智賦能下，360安全衛(wèi)士等系列產(chǎn)品可在第一時間攔截查殺此類木馬威脅。同時，針對此類威脅360安全大腦給出如下安全建議：

1. 對于個人用戶，可及時前往weishi.#下載安裝360安全衛(wèi)士，強力查殺此類病毒木馬;

2. 對于廣大政企用戶，可通過安裝360終端安全管理系統(tǒng)，有效攔截木馬病毒威脅，保護文件及數(shù)據(jù)安全，詳情可通過400-6693-600咨詢了解;而對于小微企業(yè)，則可直接前往safe.online.#，免費體驗360安全衛(wèi)士團隊版，抵御木馬病毒攻擊;

3. 企業(yè)360情報云的ioc檢測、發(fā)現(xiàn)能力已經(jīng)全面集成到本地大腦、asia、安全DNS等產(chǎn)品中，用戶可以通過采購這些產(chǎn)品獲取高效及時的最新威脅情報支持，提升安全產(chǎn)品防御能力;

4. 目前360沙箱云已對外提供公開服務，可及時前往ata.#在線體驗。通過沙箱云可以快速準確對可疑樣本完成自動化分析，幫助企業(yè)管理員更好應對企業(yè)內部面臨的安全問題;

5. 對于安全軟件報毒的程序，不要輕易添加信任或退出安全軟件;

6. 提高安全意識，不隨意打開陌生人發(fā)來的各種文件，如需打開務必驗證文件后綴是否與文件名符合。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）