金眼狗黑产组织最新攻击样本详细分析与关联分析
字数 1192 2025-08-05 08:19:13

金眼狗黑产组织攻击样本分析与关联分析技术文档

一、金眼狗黑产组织概述

金眼狗是一个针对东南亚博彩、狗推从业人员及海外华人群体的黑客团伙,主要攻击手段包括:

  • 远控木马
  • 挖矿程序
  • DDoS攻击
  • 样本传播方式:社交群组分享、热点事件钓鱼、网站挂马

二、样本详细分析

1. 样本基本情况

  • 采用"白+黑"技术加载恶意模块
  • 主程序加载同目录下的crt.dll恶意模块
  • 恶意模块在VT(VirusTotal)检出率为零

2. 恶意行为分析流程

2.1 数据加载阶段

  • 读取同目录下LP.TXT文件数据到内存
  • 对数据进行解密处理
  • 解密后数据进行解压缩

2.2 Payload分析

  • 解压后的payload使用UPX加壳
  • 使用UPX工具脱壳后可进一步分析
  • 采用反调试技术对抗分析
  • 使用反虚拟机技术(通过检测内存大小)

2.3 C2通信机制

  • 循环解密出C2配置列表信息
  • 使用|#$|作为分隔符
  • 根据文件目录名中%后的字符串匹配选择C2地址
  • 示例C2地址:118.107.40.15

2.4 持久化机制

  • 检查管理员权限,非管理员尝试提权
  • 创建目录并拷贝原文件
  • 创建服务实现自启动
  • 修改注册表绕过UAC
  • 绕过SESSION 0隔离创建用户进程

2.5 功能分析

  • 支持多种插件扩展功能:
    • 清除浏览器数据
    • 下载文件/插件
    • 执行指定程序
    • 结束进程等

三、关联分析方法论

1. 基于威胁情报平台的关联分析

  1. 在VT等平台查询样本哈希
  2. 通过VT关联找到母体样本
  3. 查询C2 IP在威胁情报平台的标记
  4. 在VT上通过IP关联更多样本

2. 私有样本分析方法

  1. 手动深度分析获取IOC
  2. 提取特征规则进行匹配
  3. 将情报上传平台验证(注意隐私风险)

3. 归因分析方法

  • 样本静态特征相似度
  • 动态行为相似度
  • 攻击手法相似度
  • 基础设施特征相似度
  • 网络流量特征相似度

四、威胁情报

1. 已知IOC

  • C2地址:118.107.40.15
  • 相关样本哈希:609cd42a82fca68e1ce3e68825b6fd78

2. 攻击特征

  • DLL侧加载shellcode
  • 特定解压缩算法
  • 文件名用于选择C2
  • 样本伪装特征

五、防御建议

  1. 样本检测

    • 关注VT检出率为零的可疑文件
    • 检测白+黑加载技术
    • 监控异常DLL加载行为

  2. 行为防御

    • 监控注册表异常修改
    • 检测UAC绕过行为
    • 阻止SESSION 0隔离绕过

  3. 网络防御

    • 封锁已知C2地址
    • 监控异常外联行为

  4. 关联防御

    • 建立内部威胁情报库
    • 定期更新IOC信息
    • 实施多维度关联分析

六、总结

金眼狗组织样本特点:

  1. 免杀性强,VT检出率低
  2. 采用多层加密和混淆
  3. 具备多种反分析技术
  4. 模块化设计,功能可扩展

关联分析要点:

  • 依赖但不完全信任第三方平台
  • 需要结合手动分析和自动化工具
  • 归因需谨慎,考虑模仿犯罪可能
  • 高级样本分析需要逆向工程能力

攻防对抗将持续升级,安全团队需不断提升样本分析和威胁狩猎能力。

金眼狗黑产组织攻击样本分析与关联分析技术文档 一、金眼狗黑产组织概述 金眼狗是一个针对东南亚博彩、狗推从业人员及海外华人群体的黑客团伙,主要攻击手段包括: 远控木马 挖矿程序 DDoS攻击 样本传播方式:社交群组分享、热点事件钓鱼、网站挂马 二、样本详细分析 1. 样本基本情况 采用"白+黑"技术加载恶意模块 主程序加载同目录下的 crt.dll 恶意模块 恶意模块在VT(VirusTotal)检出率为零 2. 恶意行为分析流程 2.1 数据加载阶段 读取同目录下 LP.TXT 文件数据到内存 对数据进行解密处理 解密后数据进行解压缩 2.2 Payload分析 解压后的payload使用UPX加壳 使用UPX工具脱壳后可进一步分析 采用反调试技术对抗分析 使用反虚拟机技术(通过检测内存大小) 2.3 C2通信机制 循环解密出C2配置列表信息 使用 |#$| 作为分隔符 根据文件目录名中 % 后的字符串匹配选择C2地址 示例C2地址:118.107.40.15 2.4 持久化机制 检查管理员权限,非管理员尝试提权 创建目录并拷贝原文件 创建服务实现自启动 修改注册表绕过UAC 绕过SESSION 0隔离创建用户进程 2.5 功能分析 支持多种插件扩展功能: 清除浏览器数据 下载文件/插件 执行指定程序 结束进程等 三、关联分析方法论 1. 基于威胁情报平台的关联分析 在VT等平台查询样本哈希 通过VT关联找到母体样本 查询C2 IP在威胁情报平台的标记 在VT上通过IP关联更多样本 2. 私有样本分析方法 手动深度分析获取IOC 提取特征规则进行匹配 将情报上传平台验证(注意隐私风险) 3. 归因分析方法 样本静态特征相似度 动态行为相似度 攻击手法相似度 基础设施特征相似度 网络流量特征相似度 四、威胁情报 1. 已知IOC C2地址:118.107.40.15 相关样本哈希:609cd42a82fca68e1ce3e68825b6fd78 2. 攻击特征 DLL侧加载shellcode 特定解压缩算法 文件名用于选择C2 样本伪装特征 五、防御建议 样本检测 关注VT检出率为零的可疑文件 检测白+黑加载技术 监控异常DLL加载行为 行为防御 监控注册表异常修改 检测UAC绕过行为 阻止SESSION 0隔离绕过 网络防御 封锁已知C2地址 监控异常外联行为 关联防御 建立内部威胁情报库 定期更新IOC信息 实施多维度关联分析 六、总结 金眼狗组织样本特点: 免杀性强,VT检出率低 采用多层加密和混淆 具备多种反分析技术 模块化设计,功能可扩展 关联分析要点: 依赖但不完全信任第三方平台 需要结合手动分析和自动化工具 归因需谨慎,考虑模仿犯罪可能 高级样本分析需要逆向工程能力 攻防对抗将持续升级,安全团队需不断提升样本分析和威胁狩猎能力。