恶意软件分析:xHunt活动又使用了新型后门
字数 1865 2025-08-15 21:32:52

恶意软件分析教学文档:xHunt活动新型后门TriFive与Snugy

一、背景概述

  1. 活动名称:xHunt

    • 活跃时间:2018年7月至今
    • 目标:科威特政府、航运运输组织及关联机构
    • 最新事件:攻击者入侵科威特某机构的Microsoft Exchange服务器(最早访问时间为2019年8月22日前)。

  2. 后门类型

    • TriFive:基于PowerShell的邮件通信后门(首次发现)。
    • Snugy:CASHY200变种,使用DNS隧道通信(趋势科技曾检测为Backdoor.PS1.NETERO.A)。

二、技术分析

1. 持久化机制

  • 计划任务伪装

    • 路径:c:\Windows\System32\tasks\Microsoft\Windows\WDI\
    • 恶意任务名称:
      • ResolutionHosts(每5分钟执行TriFive)
      • ResolutionsHosts(每30分钟执行Snugy)
    • 伪装策略:与合法Windows诊断任务ResolutionHost名称相似,规避检测。

  • 其他任务示例

    schtasks /create /sc MINUTE /mo 5 /tn "\Microsoft\Windows\SideShow\SystemDataProvider" /tr "powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1" /ru SYSTEM
2. TriFive后门

  • 通信方式:通过Exchange Web服务(EWS)与"已删除邮件"文件夹中的草稿邮件交互。

  • 工作流程

    1. 命令下发:攻击者登录合法账户,创建主题为555的草稿邮件,正文含Base64编码的加密命令(字符ASCII值+10)。
      • 示例:明文whoami → 加密woFyeWt3cw==(Base64)。
    2. 命令执行:后门解码邮件内容(字符ASCII值-10),通过iex执行PowerShell代码。
    3. 结果回传:加密执行结果并存入新草稿邮件(主题555)。

  • 特点

    • 依赖合法账户凭证(凭证窃取前置)。
    • 隐蔽性高(草稿存于"已删除邮件"文件夹)。
3. Snugy后门

  • 通信方式:DNS隧道,随机选择以下C2域名:

    hotsoft[.]icu, uplearn[.]top, lidarcc[.]icu, deman1[.]icu

  • 命令控制流程

    1. 域名解析:构造子域名格式:<通信类型><字段顺序><数据>.<C2域名>
    2. ICMP请求:通过ping解析子域名,正则提取IP地址(\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b)。
    3. 数据交互:IP地址隐含命令或结果。

  • 历史关联:与CASHY200共享代码结构,但更新C2域名。

三、入侵威胁指标(IoC)

类型
TriFive样本 407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f
Snugy样本 c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393
C2域名 deman1[.]icu, hotsoft[.]icu, uplearn[.]top, lidarcc[.]icu
计划任务名 ResolutionHosts, ResolutionsHosts, SystemDataProvider, CacheTask

四、防御建议

  1. 检测与清除

    • 监控WDI目录下的异常计划任务。
    • 扫描Exchange服务器的"已删除邮件"文件夹中主题为555的草稿邮件。
    • 拦截对可疑域名(如*.icu*.top)的DNS请求。

  2. 加固措施

    • 启用多因素认证(MFA)防止凭证窃取。
    • 限制PowerShell执行策略,日志记录iex等高危操作。

  3. 威胁狩猎

    • Yara规则匹配Snugy的DNS隧道特征。
    • 分析ICMP请求中的异常子域名模式。

五、总结

xHunt组织通过TriFive和Snugy后门实现持久化访问,结合邮件与DNS隧道规避检测。防御需聚焦凭证保护、日志审计及网络流量分析。

恶意软件分析教学文档:xHunt活动新型后门TriFive与Snugy 一、背景概述 活动名称 :xHunt 活跃时间 :2018年7月至今 目标 :科威特政府、航运运输组织及关联机构 最新事件 :攻击者入侵科威特某机构的Microsoft Exchange服务器(最早访问时间为2019年8月22日前)。 后门类型 : TriFive :基于PowerShell的邮件通信后门(首次发现)。 Snugy :CASHY200变种,使用DNS隧道通信(趋势科技曾检测为Backdoor.PS1.NETERO.A)。 二、技术分析 1. 持久化机制 计划任务伪装 : 路径: c:\Windows\System32\tasks\Microsoft\Windows\WDI\ 恶意任务名称: ResolutionHosts (每5分钟执行TriFive) ResolutionsHosts (每30分钟执行Snugy) 伪装策略 :与合法Windows诊断任务 ResolutionHost 名称相似,规避检测。 其他任务示例 : 2. TriFive后门 通信方式 :通过Exchange Web服务(EWS)与"已删除邮件"文件夹中的草稿邮件交互。 工作流程 : 命令下发 :攻击者登录合法账户,创建主题为 555 的草稿邮件,正文含Base64编码的加密命令(字符ASCII值+10)。 示例:明文 whoami → 加密 woFyeWt3cw== (Base64)。 命令执行 :后门解码邮件内容(字符ASCII值-10),通过 iex 执行PowerShell代码。 结果回传 :加密执行结果并存入新草稿邮件(主题 555 )。 特点 : 依赖合法账户凭证(凭证窃取前置)。 隐蔽性高(草稿存于"已删除邮件"文件夹)。 3. Snugy后门 通信方式 :DNS隧道,随机选择以下C2域名: 命令控制流程 : 域名解析 :构造子域名格式: <通信类型><字段顺序><数据>.<C2域名> 。 ICMP请求 :通过 ping 解析子域名,正则提取IP地址( \b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b )。 数据交互 :IP地址隐含命令或结果。 历史关联 :与CASHY200共享代码结构,但更新C2域名。 三、入侵威胁指标(IoC) | 类型 | 值 | |------------------|-----------------------------------------------------------------------| | TriFive样本 | 407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f | | Snugy样本 | c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393 等 | | C2域名 | deman1[.]icu , hotsoft[.]icu , uplearn[.]top , lidarcc[.]icu | | 计划任务名 | ResolutionHosts , ResolutionsHosts , SystemDataProvider , CacheTask | 四、防御建议 检测与清除 : 监控 WDI 目录下的异常计划任务。 扫描Exchange服务器的"已删除邮件"文件夹中主题为 555 的草稿邮件。 拦截对可疑域名(如 *.icu 、 *.top )的DNS请求。 加固措施 : 启用多因素认证(MFA)防止凭证窃取。 限制PowerShell执行策略,日志记录 iex 等高危操作。 威胁狩猎 : Yara规则匹配Snugy的DNS隧道特征。 分析ICMP请求中的异常子域名模式。 五、总结 xHunt组织通过TriFive和Snugy后门实现持久化访问,结合邮件与DNS隧道规避检测。防御需聚焦凭证保护、日志审计及网络流量分析。