近期钓鱼团伙相关样本预警——第三弹

近期奇安信病毒响应中心在日常运营工作中，发现针对“发票”类关键字的钓鱼事件开始增多。该团伙把装有钓鱼文件的压缩包存放在HFS服务器或疑似共享网盘上，通过邮件、IM等方式，诱导受害者下载执行这些伪装成发票的钓鱼文件。

本报告中截获的钓鱼文件运行后会从黑客的HFS服务器下载并运行经过混淆的远控木马，远控木马具备窃密、远程控制等功能。

经过分析，虽然整体流程和前两弹中的一致，但由于其使用的HFS版本、第二阶段大马等与“第一弹”中的不一致，其持久化方式和使用的壳与“第二弹”亦不相同，因此暂时认定这批样本为第三个黑产团伙。

文件名：发票-凭证.exe （初始的钓鱼样本，俗称小马）

样本md5：68e02d004e6de4e3f9426f8ab2649c06

文件名：music.exe，Deuvn.exe （第二阶段样本，俗称大马）

样本md5：86a9ea226fa0dbedd04067626ebb6de2

此次样本是加了ASProtect壳的Delphi程序，该程序的主要目的就是诱使点击，进行第二阶段木马的拉起。

回连CC：112.213.117.55: 80，进行下载远控木马。

目标服务器上有多个类似的远控木马，

此次下载的是文件是：0002.exe，保存为：C:Documents and Settings<UserName> Application DatasNbjdYRIKBmusic.exe，music.exe为MoleBox混淆打包运行后自拷贝到C:WINDOWSsystem32Deuvn.exe，然后拉起自身副本，最后使用cmd命令删除自身：

Deuvn.exe也就是从目标服务器上下载的远控木马，其回连CC：192.253.237.20接收远控。

创建服务启动自身：

Phiyab Tumno,Stumnf Hiyarstk Mefgxyaq Stlm,C:WINDOWSSystem32Deuvn.exe -auto

针对该远控木马分析：发现其是经过多次混淆加密的文件，第一层是MoleBox壳，脱壳后发现编译特征GetVersion，GetCommandLineA等函数，基本确认到达原始OEP。

进入main函数，发现其又在进行解密PE操作：

解密后PE文件会在内存中被修复然后调用其导出函数Shellex并传入硬编码参数：“192.253.237.20”(目标远控CC)。

不难猜测其是一个开源的远控模块。

经分析，该远控木马为Gh0st RAT变体。

其大致功能如下：创建服务持久化自身运行；窃密搜集信息并向C2服务器发送；接收远控等。如下所示：

如下图为Gh0st后门的标配功能，也是本次认定第二阶段后门的决定性证据，这部分功能已经在“第二弹”中介绍过，此处不做赘述。

该家族样本具备较强的免杀能力，目前天擎已支持对样本进行查杀。

HASH:

36af860903d1ed2a00b471a93a15319a

44f50973ac66fd83be9411d6ab53446f

468fb62fc649099a0f36dd1456025b3d

9458bfab1631a8272e3515e36d3b97f9

cc8f445daed29dfcacf9e96ef8a0750c

c6c2ceda15f59ea3d61a1a23a5b0b36f

3a4b8d36c7bee31233dc32c50842dcf5

2cd4c7447f15912a1a151fd0ee7ae3f7

de05f649741c79a7864684b8b1954a2a

65c06d39a4683c018dfab34339216668

245ef358e384f40caf1c178b4825f029

a8af8ddc009da067785bb17489e29c4e

C2:

112.213.117.55

192.253.237.20

27.124.11.108: 1523

27.124.11.222: 1523

45.204.84.84: 1523

103.127.83.61: 1523

192.253.237.20: 1523

192.253.237.35: 1523

192.253.237.90: 1523

202.146.218.59: 1523