暗蚊黑产团伙采用供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序,主要攻击目标是IT运维人员,攻击范围涵盖了Windows、Linux以及macOS等操作系统。 攻击水平不高,但危害很大。
攻击流程
1.注册域名,投放木马,测试免杀。
2.被下载嵌入后门的运维工具—>下载远控木马—>窃取文件和主机信息
置于匿名文件共享服务托管平台oshi.at
3.—>下载和使用fscan、nmap内网扫描—>弱口令+漏洞等横向渗透
4.—> 部署并运行hellobot后门
特点
域名精心构造
文件名 | 恶意域名 |
---|---|
SecureCRT.dmg | download.securecrt.vip |
ultraedit.dmg | download.ultraedit.info |
Microsoft-Remote-Desktop-Beta-10.8.0(2029)_MacYY.dmg | download. rdesktophub.com |
FinalShell_MacYY.dmg | download.finallshell.cc |
navicat161_premium_cs.dmg | download.Macnavicat.com |
2.域名注册时间不超过1年。攻击者 在3月至7月期间攻击者陆续注册了此次攻击活动中所涉及的10个C2域名
3.载荷有上传至VT测试免杀效果。可以作为一个怀疑指标。
4.解密载荷上传至VT时间距今不超过3个月。
5.载荷的自动下载分为2个阶段,对应的url不同,可以防止被分析到落地载荷。
被植入恶意文件为libpng.dylib,下载的恶意文件命名为fs.log,centos7,libdb.so.2,/tem/.test,/Users/Shared/.fseventsd。
使用crond服务持久化和后门动态链接库手法有特点 。centos7的文件,该文件运行后会在当前路径下释放一个名为libdb.so.2的文件,利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,加载执行恶意文件libdb.so.2。经分析发现libdb.so.2文件为hellobot后门
远控木马基于开源跨平台KhepriC2框架修改,内网横向移动阶段的木马 基于开源跨平台工具goncat进行修改;
- 后门动态库落地是通过样本自己读取自身内容,并根据“ELFELF”找到标记的偏移位置。
crond服务持久化和后门动态链接库手法
1 | #将crond复制到当前路径 |
Linux touch命令用于修改文件或者目录的时间属性,包括存取时间和更改时间。若文件不存在,系统会建立一个新的文件