合法数字签名幕后的陷阱：警惕“谷堕大盗”的水坑攻击

上述三个恶意安装包样本为该黑产组织的更新版本——攻击者使用PE加载器作为木马母体，在内存加载完成后才实施后续恶意行为，以此种方式来反静态分析及规避杀毒软件检测，较有迷惑性的便是此次黑产团伙仿冒“向日葵远控”恶意安装包，并使用了Python合法数字签名。

上述软件工具在国内流行度较高、涉及人群较为广泛，攻击者搭建伪造的官网站点，诱使下载伪造的软件工具安装包，实现对受害主机远程控制等窃密行为。

通过奇安信天擎大网数据，奇安信威胁情报中心第一时间找到仿冒名为“向日葵”、“钉钉”、“WPS”三个应用的二次打包恶意安装包样本下载站点并下载分析，木马化软件安装包下载站点分别为：

• hxxp://xiangrikui333.cn（目前已不能正常访问）

• hxxp://dingdingwang01.cn

• hxxp://wapwang222.cn

其对应的下载源为：

• hxxps://vios.oss-cn-hangzhou.aliyuncs.com/SunloginClient_13.2.0.exe

• hxxps://dingding-55.oss-cn-beijing.aliyuncs.com/DingTalk_v7.0.20.4039103.exe

• hxxps://wsp-55.oss-cn-beijing.aliyuncs.com/wpsSetup.exe

此次分析的三个恶意安装包样本均存在同样的恶意行为、均会释放三个文件（DivX Player.dll、DivX Player.exe、msvcp140.dll）到%Public%目录下、均携带正规的证书签名、执行恶意行为之后执行自删除，但仍存在一定的差异：

1. DingTalk_v7.0.20.4039103.exe、wpsSetup.exe为自解压文件，解压出来为对应的官方正版软件安装包及恶意软件（MAINICON.exe），而SunloginClient_13.2.0.exe则不存在官方正版软件安装包并且与上述恶意软件MAINICON.exe恶意功能相同。

2. wpsSetup.exe、DingTalk_v7.0.20.4039103.exe签名证书为“Design Science Inc.”，而SunloginClient_13.2.0.exe签名证书为“Python Software Foundation”。

2023年4月上旬发现的名为“企业微信”的恶意安装包样本与上述三个恶意安装包样本也存在强关联关系：

1. 该恶意安装包样本签名证书为“Design Science, Inc.”，而此次wpsSetup.exe、DingTalk_v7.0.20.4039103.exe签名证书为“Design Science Inc.”，两个签名证书极为相似，差异性为多了一个“,”。

名为“企业微信”的恶意安装包签名证书：

2.  后续样本分析结果显示其内存加载的PE文件与名为“企业微信”的恶意安装包执行流程中的恶意代码逻辑及恶意行为高度相似。

2023年4月上旬发现的名为“企业微信”的恶意安装包样本执行流程如下：

• WeCom_4.1.2.60111.exe：带腾讯签名正版“企业微信”安装包白文件；

• cdfgt.exe：释放msvcp140.dll、liteav.dll、5位随机字符串命名的exe到“C:UsersPublicDocuments+8位随机字符串（a-z、A-Z、0-9）” 目录下，将 5位随机字符串命名的exe通过自启动设置实现持久化；

• msvcp140.dll：带微软签名DLL库白文件；

• 5位随机字符串命名的exe：加载liteav.dll恶意文件；

• liteav.dll：导出函数CreateTXLivePusher被5位随机字符串命名的exe调用并将BigWolf RAT加载到内存。

名为“企业微信”的恶意安装包样本详细分析见奇安信病毒响应中心已披露的文章《”谷堕大盗”后门再次更新通告》^[1]。

而此次三个恶意安装包样本恶意功能执行流程如下：

• MAINICON.exe、SunloginClient_13.2.0.exe：使用PE加载器内存加载恶意dll文件并调用JetCfg导出函数，释放DivX Player.dll、DivX Player.exe、msvcp140.dll到“C:UsersPublicDocuments+8位随机字符串”目录下，将DivX Player.exe使用自启动实现持久化；

• DivX Player.exe：加载DivX Player.dll；

• DivX Player.dll：加壳（ASPack、PECompact），导出函数divxmain被DivX Player.exe调用，并读取msvcp140.dll加载到内存并解密，使用PE加载器内存加载BigWolf RAT（msvcp140.dll）；

• msvcp140.dll：加密的BigWolf RAT dll文件，导出函数jz被DivX Player.dll调用。

从上述流程图中可以发现三个恶意仿冒安装包与2023年4月上旬发现的名为“企业微信”的恶意安装包样本功能高度相似，并且后续样本分析结果显示其内存加载的PE文件与名为“企业微信”的恶意安装包中各流程样本高度一致，攻击者此次使用PE加载器作为木马母体，通过内存加载完成后续恶意行为，以此来反静态分析及规避杀毒软件检测。

以下是对此次发现的仿冒“向日葵远控”、“钉钉”及“WPS”恶意安装包的样本分析。恶意安装包使用PE加载器作为木马母体内存加载恶意dll文件并调用JetCfg导出函数，释放DivX Player.dll、DivX Player.exe、msvcp140.dll到“C:UsersPublicDocuments+8位随机字符串（a-z、A-Z、0-9）”目录下，创建进程执行DivX Player.exe并将其使用自启动实现持久化。

其PE加载器功能大致如下：

内存加载DA63E0处文件（未解密），内存中第二个4字节数据为加载的PE文件大小+8个字节：

解密之后的DA63E0处PE文件（释放文件、设置持久化）：

释放文件：

创建进程执行DivX Player.exe：

设置自启动持久化：

DivX Player.exe调用DivX Player.dll的divxmain导出函数加载DivX Player.dll恶意文件，并且DivX Player.dll的导出函数commandline、divxmian均指向同一个恶意函数。

攻击者为DivX Player.dll加壳（ASPack、PECompact），导出函数divxmain被DivX Player.exe调用，使用PE加载器作为木马母体内存加载msvcp140.dll并解密，其解密的PE文件为BigWolf RAT。

其PE加载器功能大致如下：

内存加载msvcp140.dll（未解密），内存中第二个4字节数据为加载的PE文件大小+8个字节：

解密之后的PE文件（BigWolf RAT）：

加密的BigWolf RAT文件，解密之后其导出函数jz被DivX Player.dll调用执行后续恶意窃密行为。此次BigWolf RAT与之前名为“企业微信”的恶意安装包内的木马恶意功能一致，如下：

窃取各种浏览器和聊天工具的记录：

窃取受害主机按键记录：

BigWolf RAT中还硬编码了某软件站点下载的关闭UAC的工具：

上述三个木马化安装包恶意样本内存中加载的BigWolf RAT会连接以下C2：

被恶意二次打包的向日葵远控恶意安装包C2：bb.xiaoma0088.com:7979

被恶意二次打包的WPS恶意安装包C2：lknlknf.top:5151

被恶意二次打包的钉钉恶意安装包C2：polpoklf.top:6161

奇安信威胁情报中心根据名为“企业微信”的恶意安装包下载站点溯源确认黑客组织为该下载站点购买了某搜索引擎广告，从而达到该仿冒恶意样本下载源排名靠前的目的，“企业微信”相比于普通聊天软件由于工作需求，下载安装范围面会更加广泛，也存在公司企业软件信息部门误下载恶意安装包样本的可能性，从而造成恶意样本感染面迅速增大的危害。

由于Bing搜索会引用某搜索引擎，因此其搜索结果也会被某搜索引擎广告影响。

目前根据IOC及奇安信威胁分析平台DNS历史解析记录表明名为“企业微信”的恶意安装样本相关攻击活动开始于2023年4月初，而此次被恶意二次打包后的“向日葵远控”、“钉钉”、“WPS”恶意安装包样本攻击活动开始于2023年5月下旬，根据分析结果判断存在一定数量的主机疑似已受控。

1、名为“企业微信”的恶意打包的程序活动：

C2 niu.asselst.com访问曲线：

C2 sx.hacksx.top访问曲线：

2、此次被恶意二次打包后的“向日葵远控”、“钉钉”、“WPS”恶意安装包样本攻击活动：

C2 lknlknf.top访问曲线：

C2 bb.xiaoma0088.com访问曲线：

C2 polpoklf.top访问曲线：

奇安信红雨滴团队在此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测^[2]。

hxxps://vios.oss-cn-hangzhou.aliyuncs.com/SunloginClient_13.2.0.exe

hxxps://dingding-55.oss-cn-beijing.aliyuncs.com/DingTalk_v7.0.20.4039103.exe

hxxps://wsp-55.oss-cn-beijing.aliyuncs.com/wpsSetup.exe

hxxps://tele2023.oss-cn-hangzhou.aliyuncs.com/WeCom_4.1.2.60111.exe

MD5

5100d05ad8e17fa214563d10acd2ec6c （DingTalk_v7.0.20.4039103.exe，518,024,200 bytes）

1c97fe09e477afc3c23059d452e3fc25 （wpsSetup.exe，334,685,088 bytes）

503412756e2d1113407674724fb408ae （SunloginClient_13.2.0.exe，109,275,920 bytes）

2807e90cd7d0d7cb7bb0e5257cb9007c （wps恶意安装包解压的MAINICON.exe，109,853,456 bytes）

20abbfa4e9901f8a5145c0bbaab46570 （钉钉恶意安装包解压的MAINICON.exe，109,275,912 bytes）

03f497a4419717af5da65665f425c6f7 （liteav.dll，92164096 bytes）

d4e9fc5a49d0f9cc4ea7a8f92d74bb0d （WeCom_4.1.2.60111.exe，492936504 bytes）

C2

bb.xiaoma0088.com:7979

38.45.123.162:7979

lknlknf.top:5151

38.45.123.162:5151

polpoklf.top:6161

103.181.135.130:6161

niu.asselst.com:8383

38.45.120.250:8383

sx.hacksx.top

120.232.251.132

[2].https://ti.qianxin.com/