供应链投毒事件分析：Gh0st木马免杀版后门技术解析

事件概述

2023年初，安全研究员发现GitHub上传播的"重写免杀版Gh0st"项目实际上是一个供应链投毒攻击。攻击者通过精心设计的诱饵吸引免杀技术爱好者下载使用，却在工具中隐藏了CobaltStrike后门，使下载者设备沦为"肉鸡"。

攻击团伙分析

团伙画像

名称：黄雀（根据"螳螂捕蝉，黄雀在后"命名）
平台：Windows
攻击目标：木马免杀技术爱好者或使用相关木马的攻击者
攻击地区：主要针对中国
攻击目的：以"黑吃黑"形式获取木马使用者的主机权限
武器库：跨段跳转技术、CobaltStrike

传播手法

使用"SecurityNo1"等看似专业的GitHub用户名
在标题中使用免杀关键字提高搜索权重
通过微信公众号等平台进行宣传
项目包含真实的Gh0st源码功能，增加可信度

样本技术分析

基本信息

文件名：CcRemote.exe
文件类型：MFC编译的EXE
大小：12.96MB
SHA256：9a9b5258c771d025cbbeff42e21fdec09e1560495764afa22bd752a71cb15744
功能：通过跨段跳转技术注入explorer.exe，建立CobaltStrike通信

执行流程

触发机制：点击关闭按钮时触发隐藏的恶意代码
字符串解密：通过字符串数组索引方式解密关键字符串
特权提升：获取令牌启用特权，执行系统级操作
进程注入：
- 遍历进程列表定位explorer.exe
- 解密ZIP压缩的shellcode
- 使用VirtualAllocEx进行远程进程注入
跨段跳转：
- 从32位切换到64位代码执行
- 构造段跳转堆栈参数(cs:0x33)
- 绕过多个杀毒引擎检测
CobaltStrike加载：
- 通过PEB结构获取kernel32.dll函数
- 解密实际恶意代码
- 伪装为正常图片下载

技术亮点

消息函数隐藏：恶意代码隐藏在MFC消息处理函数的关闭消息中
跨架构注入：实现32位到64位的跨段跳转注入
多层解密：字符串、shellcode、最终payload多层加密
域名伪装：C2服务器伪装为正常域名(update.exchange.ac.cn)

关联分析

历史版本

出现时间	文件名	SHA256前缀	C2服务器
2022-10-22	Fonts.dll	05c13c2468f146808732b737e34e04b	无(Shellcode有问题)
2023-02-28	zlibwapi.dll	8e2c54bf0c6bc70232063182bfb105dbb	update.exchange.ac.cn
2023-03-01	CcRemote.exe	9a9b5258c771d025cbbeff42e21fdec09	update.exchange.ac.cn

溯源发现

历史使用过C2域名：update.1drv.info
相关域名绑定过腾讯云IP：1.12.229.12
域名注册者为专业贩卖者

攻击目的推测

窃取敏感信息：获取安全研究员的用户名、密码、证书等
窃取知识产权：窃取红队工具、0day技术文档等
进一步攻击：利用安全研究员设备攻击其服务的企业或网络

防御建议

处置措施

立即断开与攻击源的连接
删除相关文件并清理系统
修改所有相关密码
启用双重认证等强化措施

预防措施

软件下载安全：
- 审查开源工具源码
- 检查依赖项安全性
- 建立安全审查机制
检测建议：
- 监控异常进程注入行为(特别是explorer.exe)
- 检测跨段跳转等非常规技术
- 关注IOC指标

IOC指标

文件HASH

MD5: a1864a201f5f71cb2960a31c610e8b18
SHA1: 818c409f7898a814458d7ec8910eff63834beded
SHA256: 9a9b5258c771d025cbbeff42e21fdec09e1560495764afa22bd752a71cb15744

C2服务器

update.exchange.ac.cn
update.1drv.info (历史)
IP: 1.12.229.12 (腾讯云)

总结

这起供应链投毒事件展示了攻击者对安全社区的深入了解和精心设计的攻击策略。通过利用安全研究人员的专业兴趣，攻击者成功传播了具有高度隐蔽性的后门程序。事件提醒我们即使是安全工具也可能成为攻击载体，必须保持警惕并建立严格的安全审查机制。

供应链投毒事件分析：Gh0st木马免杀版后门技术解析事件概述 2023年初，安全研究员发现GitHub上传播的"重写免杀版Gh0st"项目实际上是一个供应链投毒攻击。攻击者通过精心设计的诱饵吸引免杀技术爱好者下载使用，却在工具中隐藏了CobaltStrike后门，使下载者设备沦为"肉鸡"。攻击团伙分析团伙画像名称：黄雀（根据"螳螂捕蝉，黄雀在后"命名）平台：Windows 攻击目标：木马免杀技术爱好者或使用相关木马的攻击者攻击地区：主要针对中国攻击目的：以"黑吃黑"形式获取木马使用者的主机权限武器库：跨段跳转技术、CobaltStrike 传播手法使用"SecurityNo1"等看似专业的GitHub用户名在标题中使用免杀关键字提高搜索权重通过微信公众号等平台进行宣传项目包含真实的Gh0st源码功能，增加可信度样本技术分析基本信息文件名：CcRemote.exe 文件类型：MFC编译的EXE 大小：12.96MB SHA256 ：9a9b5258c771d025cbbeff42e21fdec09e1560495764afa22bd752a71cb15744 功能：通过跨段跳转技术注入explorer.exe，建立CobaltStrike通信执行流程触发机制：点击关闭按钮时触发隐藏的恶意代码字符串解密：通过字符串数组索引方式解密关键字符串特权提升：获取令牌启用特权，执行系统级操作进程注入：遍历进程列表定位explorer.exe 解密ZIP压缩的shellcode 使用VirtualAllocEx进行远程进程注入跨段跳转：从32位切换到64位代码执行构造段跳转堆栈参数(cs:0x33) 绕过多个杀毒引擎检测 CobaltStrike加载：通过PEB结构获取kernel32.dll函数解密实际恶意代码伪装为正常图片下载技术亮点消息函数隐藏：恶意代码隐藏在MFC消息处理函数的关闭消息中跨架构注入：实现32位到64位的跨段跳转注入多层解密：字符串、shellcode、最终payload多层加密域名伪装：C2服务器伪装为正常域名(update.exchange.ac.cn) 关联分析历史版本 | 出现时间 | 文件名 | SHA256前缀 | C2服务器 | |------------|---------------|-------------------------------------|---------------------------| | 2022-10-22 | Fonts.dll | 05c13c2468f146808732b737e34e04b | 无(Shellcode有问题) | | 2023-02-28 | zlibwapi.dll | 8e2c54bf0c6bc70232063182bfb105dbb | update.exchange.ac.cn | | 2023-03-01 | CcRemote.exe | 9a9b5258c771d025cbbeff42e21fdec09 | update.exchange.ac.cn | 溯源发现历史使用过C2域名：update.1drv.info 相关域名绑定过腾讯云IP：1.12.229.12 域名注册者为专业贩卖者攻击目的推测窃取敏感信息：获取安全研究员的用户名、密码、证书等窃取知识产权：窃取红队工具、0day技术文档等进一步攻击：利用安全研究员设备攻击其服务的企业或网络防御建议处置措施立即断开与攻击源的连接删除相关文件并清理系统修改所有相关密码启用双重认证等强化措施预防措施软件下载安全：审查开源工具源码检查依赖项安全性建立安全审查机制检测建议：监控异常进程注入行为(特别是explorer.exe) 检测跨段跳转等非常规技术关注IOC指标 IOC指标文件HASH MD5: a1864a201f5f71cb2960a31c610e8b18 SHA1: 818c409f7898a814458d7ec8910eff63834beded SHA256: 9a9b5258c771d025cbbeff42e21fdec09e1560495764afa22bd752a71cb15744 C2服务器 update.exchange.ac.cn update.1drv.info (历史) IP: 1.12.229.12 (腾讯云) 总结这起供应链投毒事件展示了攻击者对安全社区的深入了解和精心设计的攻击策略。通过利用安全研究人员的专业兴趣，攻击者成功传播了具有高度隐蔽性的后门程序。事件提醒我们即使是安全工具也可能成为攻击载体，必须保持警惕并建立严格的安全审查机制。