安全研究所 | 伪装搜狗输入法的木马分析

本文涉及的产品
可观测可视化 Grafana 版,10个用户账号 1个月
函数计算FC,每月15万CU 3个月
可观测监控 Prometheus 版,每月50GB免费额度
简介: 近年来,黑灰产业的犯罪团伙数量急剧上升,特别是在与办公软件相关领域。这些团伙主要针对国内企业用户,通过伪装成合法的办公软件进行精心设计的诈骗和诱导行为,其主要目的是欺骗企业员工下载并激活木马病毒,以此来窃取公司资金或获取企业敏感文件。

近年来,黑灰产业的犯罪团伙数量急剧上升,特别是在与办公软件相关领域。这些团伙主要针对国内企业用户,通过伪装成合法的办公软件进行精心设计的诈骗和诱导行为,其主要目的是欺骗企业员工下载并激活木马病毒,以此来窃取公司资金或获取企业敏感文件。


SASE安全厂商亿格云近期对办公网络环境下的信息窃取行为进行深入的分析研究,涵盖了高级威胁行为的检测、终端事件的审计以及对安全事件的溯源追踪等方面。


近期,亿格云安全研究团队关注到其安全引擎产生了大量访问仿冒域名的告警,尤其是办公软件相关领域,黑灰产团队针对国内企业用户,常采取伪装成正常文件的恶意软件,仿冒常用办公软件官方网站,以此诱导员工去仿冒的网站下载“白+黑”办公软件,一旦安装,便通过内置木马程序控制受害主机,为数据窃取、金融诈骗等下一步破坏活动作准备。



事件重现


仿冒的搜狗输入法下载页面:

hxxp://pinyin-sogou.cn/

30ed79ef891017835b10be16d78753ac.png


仿冒的搜狗输入法下载页面:

hxxp://sogoushurufa.cn/

a893e499c144c8fd15077d2f1cc87648.png


仿冒的搜狗输入法下载页面:

hxxp://shurufa.s1lq.xyz/

b542acb6c075d61ee828dcf7647304b8.png


以上是多个类似的钓鱼网站,均为仿冒的搜狗输入法下载页面。




事件概要


亿格云威胁情报安全运营组日常分析研判发现,大量用户访问此类仿冒的搜狗输入法域名,并有诸多用户反馈其包含多次威胁事件告警,于是亿格云安全团队进行了协助研判分析:


www.sogousrf.com

sogoushurufa.cn

sogou.shurufaxiazai.cn

pinyin-sogou.cn

www.sogou.org


f0222e13a996be74a9a21b5429cc9616.png


首先,攻击者运用了多种狡猾的伪装策略,试图迷惑用户下载软件。他们常常通过搜索引擎优化(SEO)发布虚假广告,并创建伪造的网站,将这些网页在搜索引擎结果中排名靠前,以此增加其网站的可见度和可信度,从而诱骗不知情的用户访问并下载恶意软件。


67c5a76c9a06f7f39c3e3346f21721ec.png






样本攻击流程框架


de43b77a97bb113124dc5041a9c866ef.jpg




样本技术分析


亿格云安全团队对用户反馈的钓鱼网站进行访问:

hxxps://www.sogousrf.com/

cd51c1779467fdea4bfdd3353d9793e3.png


将样本下载然后技术分析,下图为某静态分析软件给出的结果:

53efac533b53d661836ef022d980451b.png

7f94ded8b769187dfd35d443fe982cb5.png

从图中,可以看到样本文件类型一个RAR类型的压缩格式。


用户双击运行文件后,样本会自动解压,如同官方安装程序一样,会显示如下界面:


3e0c59b9a80c2f31d0d1b4e713964a7c.png


到这一步,若无安全软件的及时介入,用户往往对背后发生的隐秘事件一无所知,浑然不觉已身处潜在的安全风险之中!


而借助亿格云枢的审计溯源功能,企业安全团队可基于大量的日志来进一步分析木马行为:

3c067d580a21a6dba1ea3799ae46fea5.png


以下为详细的进程链:

f71737f8b220d53140b44bf858dec830.png


释放出来的安装包文件信息如下:

2e14fc58a514d14656f3a69a895e89ef.png


通过上图的直观展示可了解,该虚假的安装包实际上释放和运行了一个真正的搜狗软件安装包。这导致用户经历的安装过程在外观上与官方正版软件的安装无差别,因此很难从中察觉到任何异常。


然而,在这过程中,后台还在悄无声息地持续释放文件,其中包含另一个隐蔽的木马进程:

45305eacdef2919bc58ee87780e25ada.png

85e9c4eb637b8615b515daefed5dce42.png


YourPhone.exe恶意进程在虚假安装包解压之后立即运行,如下图所示:

4d5225a643b2e46a43d0a6c167dd6584.png


在此之后,该进程会在临时目录里创建很多后缀为 “.cmd” 的文件。

55a452c3debe66062863b7e625c89078.png


通过观察这些.cmd文件内容,发现是一个批处理脚本。

f42965ff42e2f24e776370962621dbc6.png


这个脚本的作用类似于守护进程,如果木马进程不存在,这个批处理脚本就会利用start命令把木马重新拉起来运行,如果木马存在,批处理脚本就会一直处于等待状态。

c8f7755bd7d2a927c28f8c0fcf1ff920.png


可以看到木马进程启动后就会利用cmd.exe执行上述的批处理脚本。从上图进程文件签名字段也可看出(YourPhone.exe带有合法数字签名),样本使用了流行的DLL SideLoading技术。

e3d5f53ada4dda4ac1c9c97bc58ef2ff.png


紧接着该恶意程序会访问一个陌生IP,此IP的访问结果如下图,包含一个域名:

f496bec898360f0957587fcd3957f2e6.png


通过这个域名再跟远程恶意服务器进行通信。

7b6adc892989be3a403ce8adf2bf2cbd.png


之后,这个样本通过DNS查询找到这个恶意域名 asj658g.cyou 对应的服务器,并且与这台服务器进行恶意通信。实际上,这个IP地址只在样本启动连接一次就断开了,如果没有EDR的日志记录,这个恶意IP很难被发掘。借助这个恶意IP,攻击者可以随意切换木马访问的域名,也就是说,无论怎么阻断单个域名访问,木马程序都可以轻易绕过。


在程序启动并连接到指定网络后,该样本于5分钟之后在内存中释放恶意代码(Shellcode),(也是为了绕过部分EDR的防御技术),如果用户终端开启了亿格云枢实时防护和内存扫描功能,样本会被自动扫描到并阻断。

9478260ce008071b2ce304865ad30b53.png




亿格云建议


1、使用亿格云枢EDR检测威胁

亿格云枢EDR通过内存扫描模块能实时扫描进程中的可疑内存块,通过内置杀毒引擎和团队自研的检测规则能有效地解决大部分免杀内存木马,以及有效检测DLL SideLoading攻击手法。此外亿格云枢EDR通过采集特定情报,弥补情报消费过程中部分情报的滞后性,针对有道翻译、WPS、向日葵等办公软件的仿冒网站进行捕获。


2、使用亿格云枢软件管理

管理员使用亿格云枢软件管理模块,可以进行软件库配置,上传官方软件,方便员工下载以及使用安全,正版,全新的官方软件进行办公,避免此类办公软件假冒带来的办公安全风险。


IOC

Domain

asj658g.cyou

xingnuola.top

www.soug.com.cn

www.sogousrf.com

www.s1lq.xyz

www.lnput.cn

sougoushurufa8.com

soug.com.cn

sogoushurufa.cn

sogou.wehcvdsp.life

sogou.shurufaxiazai.cn

sogou.dglxx.com

shurufa.s1lq.xyz

shurufa-sogou.shurufaxiazai.cn

shurufa-sogou.cn

s1lq.xyz

pinyin-sogou.cn

lnput.cn

shurufaxiazai.cn

www.soogou.cc

www.sogou.org


Hash

35403ab608ff45066f70a1d2e3689cd9e4eb823529a7ce9e5e500e5748e63246


IP

202.61.86.226


相关文章
|
3月前
|
开发框架 Java .NET
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
|
3月前
|
安全 JavaScript 前端开发
小心冒充瑞星专家的病毒ravexp.exe
小心冒充瑞星专家的病毒ravexp.exe
|
3月前
|
安全 索引
抓到一只灰鸽子和一匹木马/广告程序
抓到一只灰鸽子和一匹木马/广告程序
|
安全 Windows
瑞星播报:3月8日需警惕“灰鸽子变种AWM”病毒
据瑞星全球反病毒监测网介绍,本周六到下周周一有3个病毒需要特别注意。 3月7日有一个病毒特别值得注意,它是:“代理蠕虫变种TH(Worm.Win32.VB.th)”病毒。该病毒是一个文件夹类似的图标,病毒运行后会在系统根目录下复制大量的自己,病毒会修改开始菜单的位置和ie主页,以下载大量病毒,病毒清除非常困难。
1159 0
|
安全
变形金刚热映黑客借机“下毒” 用户谨防木马
6月24晚凌晨,备受全球“金粉”期待的大片《变形金刚2》火热登陆北京各大院线,票房再现“井喷”之势。与此同时,金山毒霸云安全中心从该片众多下载链接中,检测、拦截到诸多木马和病毒。金山毒霸反病毒专家李铁军提醒广大互联网用户:支持正版影片,谨慎选择互联网下载链接。
1009 0
|
安全
谨防沦为DLL后门木马及其变种的肉鸡
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。
928 0
|
监控 安全
瑞星播报:6日需警惕“IRC波特变种XAG”病毒
3月6日热门病毒: “IRC波特变种XAG(Backdoor.Win32.IRCbot. xag)”病毒:警惕程度,后门病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
1003 0
|
安全
为避免公开 Tor 漏洞利用源代码 FBI 竟选择放弃指控儿童色情嫌疑人
本文讲的是为避免公开 Tor 漏洞利用源代码 FBI 竟选择放弃指控儿童色情嫌疑人,为了避免公开调查人员定位儿童色情犯罪嫌疑人的技术手段,华盛顿州的联邦检察官选择放弃指控一名男子访问Playpen的罪名。
1772 0
|
安全
知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索
本文讲的是知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索,编者按:本文来自Panic公司(开发 Mac 和 iOS 软件)官方博客,为其联合创始人Steven Frank的亲身经历,该公司有一款大受好评的游戏叫《Firewatch(看火人)》。
1381 0