概览

“游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。

由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。

“游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。

技术梳理

近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。

表 2‑1近期部分样本伪装名称

2.1可执行程序

此类可执行程序通常是下载器，执行后在内存中执行Shellcode，从攻击者事先准备的服务器中获取下一阶段的载荷文件，并使用“白加黑”、“内存执行Shellcode”、“内存解密Payload”等手段最终加载执行Gh0st等远控木马。

2.2  CHM文件

此类CHM文件执行后会弹出“内容已损坏，无法继续浏览，请关闭”字样。实际上，其内部脚本中的代码此时已经执行，通过远程加载xsl文件的方式，获取下一阶段的载荷文件，并使用“白加黑”等手段最终加载执行Gh0st等远控木马。

图 2‑1 CHM文件执行后弹出的内容

2.3商业远控软件“第三只眼”

攻击者有时也会直接将经过伪装的“第三只眼”安装包发送给目标用户，并诱导执行。攻击者传播的安装包通常以静默方式进行安装，过程中无界面显示。此外，也存在攻击者通过已经植入的远控木马进行远程安装的情况。

由于该款商业远控软件能够提供多方面的远程监控及控制功能，并且通过将数据发送至厂商提供的子域名服务器、根据qyid值识别控制端用户的方式回传数据，因此黑产团伙已多年恶意利用该远控软件进行攻击活动，近期依然呈现活跃趋势。该远控软件某一版本的控制端界面如下图所示。

图 2‑2 控制端界面

3 样本分析

3.1可执行程序

由于攻击者投放的恶意可执行程序较多，此处以一例出现频率较高的可执行程序为例。

表 3‑1样本标签

该程序执行后申请一段内存空间，写入Shellcode并执行。

图 3‑1执行Shellcode

3.1.1 Shellcode

该Shellcode判断当前系统中是否存在C:\xxxx.ini文件，若已经存在则结束进程，攻击者可能通过这种方式来判断系统是否曾被感染；然后检测当前系统中是否运行有安全产品相关进程，若不存在则对硬编码的字符串进行解密得到URL，从中获取b.dat文件并进行解密，从而得到两组URL及下载后用于重命名的文件名称。该Shellcode默认使用其中的第一组。

图 3‑2获取文件并解密得到URL及文件名称

该Shellcode在C:\Users\Public\Videos中根据随机生成的名称创建文件夹,根据第一组URL下载4个文件，使用自定义的解密算法对其进行解密，写入创建的文件路径中，最后执行其中的可执行程序。

图 3‑3解密后的攻击载荷文件

3.1.2“白加黑”利用

攻击者利用“白加黑”手段，通过白程序加载其构造的恶意DLL文件，在内存中执行Shellcode读取ffff.pol文件内容、解密得到一个DLL文件，再由该DLL文件创建计划任务、读取ffff.lop文件进行解密，最终执行Gh0st远控木马。

图 3‑4由ffff.lop文件解密得到Gh0st远控木马

3.2 CHM文件

表 3‑2样本标签

攻击者投放的CHM文件执行后，从指定URL处获取xsl文件，并进行远程加载。

图 3‑5 加载远程xsl文件

3.2.1load.xsl

该文件含有两段经过Base64编码处理的字符串，对其进行解码后在内存中加载.NET程序集。

图 3‑6 load.xsl文件关键内容

3.2.2.NET程序

被加载的.NET程序从指定URL处获取config文件，读取config文件中的每一行内容，根据其下载文件并执行。

图 3‑7 .NET程序关键代码

3.2.3 config.txt

config.txt文件中包含多个托管载荷文件的URL。

图 3‑8 config.txt文件

3.2.4  “白加黑”利用

攻击者此次利用的白程序是赛车竞速游戏“极限竞速：地平线5”相关程序，并针对该白程序构造了恶意的“PartyXboxLive.dll”文件。该DLL文件被加载后，对boom.png文件内容进行解密，创建msiexec.exe进程，并将解密得到的Gh0st远控木马注入至msiexec.exe的内存空间中。

图 3‑9攻击者利用“极限竞速：地平线5”相关程序进行攻击

3.3商业远控软件“第三只眼”

攻击者投放的“第三只眼”安装包程序通常以静默方式安装，以避免用户察觉。

表 3‑3样本标签

3.3.1 配置信息

该软件安装目录中存在3个.conf配置文件，属于SQLite3数据库文件，其中含有配置信息。

图 3‑10配置信息文件

comnctt.xdt.conf与syslogin.xdt.conf文件的内容相似，包含关于网络回连及程序等配置信息。其中，main/host表示服务器域名，config/qyid表示控制端用户名所对应的id。该远控软件会将运行过程中监控的数据回传至厂商提供的子域名服务器中，并根据qyid识别控制端对应的用户名。

图 3‑11 回连域名及qyid

expiorer.xdt.conf文件中含有与监控相关的配置信息。其中，main/event_config及main/event_rule中含有经过Base64编码的字符串，解码后是JSON格式的配置信息，包括监控目标类别、关键字、规则等。

图 3‑12 main/event_config解码后的部分内容

3.3.2数据记录

该软件的安装目录有多个.dat文件，属于SQLite3数据库文件，其中记录着运行过程中收集的数据，包括屏幕截图、硬件信息、进程相关信息、键盘记录以及根据配置信息中的关键词、规则收集的数据。

屏幕截图

该软件会根据配置信息中的时间间隔持续地对屏幕进行截图。

图 3‑13根据配置信息中的时间间隔持续进行截图

进程相关信息

该软件会对启动的进程相关信息进行记录，包括启动时间、进程名称、窗口标题等。

图 3‑14记录进程相关信息

根据配置信息中的关键词、规则收集的数据

该软件会根据配置信息中定义的目标类别、关键词及规则收集数据，并将数据记录在相应的数据表中，包括键盘记录、文件监控、剪贴板监控、邮件信息等。

图 3‑15相关数据表

4 防护建议

4.1 增强业务人员的安全意识

增强业务人员的安全意识，降低组织被攻击的可能性。财务、客服、销售等人员使用微信、企业微信等电脑端登录的即时通讯应用时，避免因工作性质、利益原因，被诱导下载和运行不明来源的各类文件。组织可通过选择安全意识培训服务，巩固“第一道安全防线”。

4.3加强终端文件接收和执行防护

部署企业级终端防御系统，实时检测防护即时通讯软件接收的不明文件。安天智甲终端防御系统采用安天下一代威胁检测引擎检测不明来源文件，通过内核级主动防御能力阻止其落地和运行。

图 4‑2安天智甲终端防御系统阻止恶意文件落地

5  IoCs