某黑产组织捆绑VPN和TG等安装程序进行攻击活动
字数 1476 2025-08-24 16:48:16

黑产组织捆绑VPN和TG安装程序攻击活动分析报告

前言概述

近期发现一起黑产组织通过捆绑LetsVPN和Telegram(TG)等合法软件安装程序进行攻击的案例。该攻击样本采用多种对抗技术,包括字符串混淆、多阶段加载、反虚拟机检测和安全软件对抗等手段。本报告将详细分析该攻击样本的技术细节。

样本初始分析

1. 初始样本特征

  • 文件类型:MSI安装程序
  • 捆绑内容:LetsVPN安装程序
  • 混淆技术:安装脚本中的字符串采用逆序存储,运行时通过StrReverse函数恢复

2. MSI安装脚本分析

安装脚本执行以下操作:

  1. 检测操作系统信息
  2. 解压缩MSI安装包中的vs.zip到指定目录
  3. vs.zip解压后包含Python文件夹和相关文件

攻击流程分析

3. 环境检测阶段

脚本检测以下环境信息:

  • 操作系统版本
  • 360安全软件相关进程(kxetray.exe和360tray.exe)
  • 自启动注册表项
  • 调用python38.jpg脚本

4. 第一阶段载荷部署

python38.jpg脚本执行以下操作:

  1. 解密pb.txt文件
  2. 通过解密后的程序解压缩lnk.zip到系统启动目录
  3. 删除相关痕迹文件

lnk.zip解压后在系统启动目录生成两个快捷方式:

  1. rar快捷方式:包含特定命令行参数
  2. sogou快捷方式:包含特定命令行参数

5. 第二阶段恶意脚本

调用python39.jpg脚本执行以下操作:

  1. 读取templateWatch.dat文件
  2. 解密文件获取ShellCode代码
  3. 将ShellCode加载到内存执行

ShellCode分析

6. ShellCode功能

  1. 加载DLL模块并获取函数地址
  2. 通过VirtualAlloc分配内存空间
  3. 将ShellCode中的Payload程序拷贝到分配的内存
  4. 设置Payload代码段属性
  5. 调用执行Payload入口函数

7. Payload功能分析

  1. 信息收集

    • 获取文件属性
    • 记录鼠标位置信息
    • 获取系统MAC地址
    • 检测VMTools目录(反虚拟机)

  2. 权限与进程检查

    • 判断当前进程是否为管理员权限
    • 创建互斥变量uacme2023-09-19
    • 检测安全软件进程

  3. 持久化与通信

    • 记录主机感染时间到注册表
    • 与C2服务器(ul.mxbc110.com)通信

高级对抗技术

8. 安全软件对抗

Payload包含多种对抗安全软件的功能:

  1. 检测并终止安全软件进程
  2. 如果不是管理员权限,进行提权操作

9. 多种持久化技术

  1. 服务安装

    • 读取加密ShellCode数据
    • 将加密数据设置为注册表项值
    • 读取注册表项值并启动相关进程
    • 注入解密的ShellCode到进程中远程执行

  2. 自启动安装

    • 设置自启动注册表项
    • 通过计划任务设置自启动项

威胁情报

  1. 编译时间:2024年7月16日
  2. C2服务器:ul.mxbc110.com
  3. 相关互斥量:uacme2023-09-19
  4. 与"银狐"黑客工具关联的黑产团伙活动模式相似

防御建议

  1. 谨慎下载VPN和TG等软件,只从官方渠道获取
  2. 监控系统启动目录异常快捷方式
  3. 检查以下可疑注册表项:
    • 包含加密数据的异常项
    • 异常自启动项
  4. 监控以下进程行为:
    • python38.jpg和python39.jpg脚本执行
    • 异常的内存分配和代码注入行为
  5. 阻断与ul.mxbc110.com的通信

总结

该攻击样本展示了现代黑产组织采用的复杂技术:

  1. 合法软件捆绑分发
  2. 多阶段载荷部署
  3. 多种反分析和对抗技术
  4. 多种持久化机制
  5. 持续更新攻击样本以逃避检测

安全团队应持续关注此类攻击模式的变化,更新检测规则和防御措施。

黑产组织捆绑VPN和TG安装程序攻击活动分析报告 前言概述 近期发现一起黑产组织通过捆绑LetsVPN和Telegram(TG)等合法软件安装程序进行攻击的案例。该攻击样本采用多种对抗技术,包括字符串混淆、多阶段加载、反虚拟机检测和安全软件对抗等手段。本报告将详细分析该攻击样本的技术细节。 样本初始分析 1. 初始样本特征 文件类型:MSI安装程序 捆绑内容:LetsVPN安装程序 混淆技术:安装脚本中的字符串采用逆序存储,运行时通过StrReverse函数恢复 2. MSI安装脚本分析 安装脚本执行以下操作: 检测操作系统信息 解压缩MSI安装包中的vs.zip到指定目录 vs.zip解压后包含Python文件夹和相关文件 攻击流程分析 3. 环境检测阶段 脚本检测以下环境信息: 操作系统版本 360安全软件相关进程(kxetray.exe和360tray.exe) 自启动注册表项 调用python38.jpg脚本 4. 第一阶段载荷部署 python38.jpg脚本执行以下操作: 解密pb.txt文件 通过解密后的程序解压缩lnk.zip到系统启动目录 删除相关痕迹文件 lnk.zip解压后在系统启动目录生成两个快捷方式: rar快捷方式:包含特定命令行参数 sogou快捷方式:包含特定命令行参数 5. 第二阶段恶意脚本 调用python39.jpg脚本执行以下操作: 读取templateWatch.dat文件 解密文件获取ShellCode代码 将ShellCode加载到内存执行 ShellCode分析 6. ShellCode功能 加载DLL模块并获取函数地址 通过VirtualAlloc分配内存空间 将ShellCode中的Payload程序拷贝到分配的内存 设置Payload代码段属性 调用执行Payload入口函数 7. Payload功能分析 信息收集 : 获取文件属性 记录鼠标位置信息 获取系统MAC地址 检测VMTools目录(反虚拟机) 权限与进程检查 : 判断当前进程是否为管理员权限 创建互斥变量uacme2023-09-19 检测安全软件进程 持久化与通信 : 记录主机感染时间到注册表 与C2服务器(ul.mxbc110.com)通信 高级对抗技术 8. 安全软件对抗 Payload包含多种对抗安全软件的功能: 检测并终止安全软件进程 如果不是管理员权限,进行提权操作 9. 多种持久化技术 服务安装 : 读取加密ShellCode数据 将加密数据设置为注册表项值 读取注册表项值并启动相关进程 注入解密的ShellCode到进程中远程执行 自启动安装 : 设置自启动注册表项 通过计划任务设置自启动项 威胁情报 编译时间:2024年7月16日 C2服务器:ul.mxbc110.com 相关互斥量:uacme2023-09-19 与"银狐"黑客工具关联的黑产团伙活动模式相似 防御建议 谨慎下载VPN和TG等软件,只从官方渠道获取 监控系统启动目录异常快捷方式 检查以下可疑注册表项: 包含加密数据的异常项 异常自启动项 监控以下进程行为: python38.jpg和python39.jpg脚本执行 异常的内存分配和代码注入行为 阻断与ul.mxbc110.com的通信 总结 该攻击样本展示了现代黑产组织采用的复杂技术: 合法软件捆绑分发 多阶段载荷部署 多种反分析和对抗技术 多种持久化机制 持续更新攻击样本以逃避检测 安全团队应持续关注此类攻击模式的变化,更新检测规则和防御措施。