近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
-
样本名:08-13.exe -
SHA1:7f713ed0b29b496a07a943b0b78f609379c765b3 -
文件类型:EXE -
文件大小:22MB -
C2:156.251.17.104[:]80 -
天穹沙箱分析报告报告链接: https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=8db0abaaf44b956522d88a4610574c16&sk=68621744
1、规避检测
SetUnhandledExceptionFilter
模块代码块来规避应用层hook检查,如图2所示。SetUnhandledExceptionFilter
接口用于注册异常处理函数,样本hook该接口是为了避免在进程崩溃时弹出系统提示错误对话框,防止用户察觉,达到隐蔽执行恶意行为的目的。2、权限提升
RAiLaunchAdminProcess
尝试提权至管理员权限,如图3所示。explorer.exe
(PID:1112)进程注入恶意代码,如图4所示。进程注入是一种广泛使用的躲避检测的技术,主要原理是利用合法进程代理执行以绕过安全产品的防病毒检测或进程白名单检测等。3、释放文件
explorer.exe
(PID:1112)通过解密注入代码,释放三个文件到TEMP
目录,如图5所示。move
指令将三个临时文件移动到%Program Files%
目录,移动命令如下:-
cmd /c move C:Windowstemp4889796 “C:Program FilesStarRail.exe” -
cmd /c move C:Windowstemp4889921 “C:Program FilesStarRailBase.dll” -
cmd /c move C:Windowstemp4890031 “C:Program FilesStarRailBase.dat”
4、侧加载
explorer.exe
(PID:1112)执行C:Program FilesStarRail.exe
创建新进程,StarRail.exe
进程依赖StarRailBase.dll
并加载了该dll,如图6所示,动态行为提示签名进程StarRail.exe
加载了无签名的StarRailBase.dll
,这是一个DLL侧加载
行为。StarRail.exe
是国内某知名游戏厂商的程序,拥有合法签名信息,是一个白程序,如图7、8所示。StarRailBase.dll
是被利用的黑DLL,没有任何签名信息,如图9所示。StarRail.exe
导入表,可以看到它仅导入了StarRailBase.dll
中的1号函数,从反汇编来看,也没有任何签名校验,这就导致了它可被恶意劫持利用,如图10、11所示。StarRailBase.dll
会创建C:Windowssystem32svchost.exe -Install
(PID:2084)进程,随后向新进程svchost.exe
(PID:2084)注入恶意代码,如图12所示。5、持久化
svchost.exe
(PID:2084)进程将之前移动到%Program Files%
目录下的三个文件复制到System32
目录下,又通过RPC将C:Windowssystem32StarRailBase.exe -svc
写入计划任务,并执行计划任务创建新进程StarRailBase.exe
,如图13、14所示。svchost.exe
(PID:2084)设置计划任务名为c:WindowsSystem32TasksMicrosoftWindowsMicrosoftEdge UpdateTask
,其目的是将自身伪装为Microsoft Edge
更新任务,实现持久化。6、网络通信
StarRailBase.exe
进程根据参数-svc
创建新进程svchost.exe
(PID:864),并向新进程中注入代码,svchost.exe
(PID:864)再次创建新进程svchost.exe
(PID:928)也向其注入代码,最终执行网络连接C2地址156.251.17.104[:]80
完成上线,如图15所示:样本名 | 样本SHA1 | 报告链接 | C2 |
---|---|---|---|
2024.08.16资金统计余额.exe | 18d821b109779b12fa4116e59b1113ebe387d2b9 |
https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=5c495ad12b414ab237a98bb248036620&sk=71596444 |
83.229.127.205[:]6639 |
3621103789.exe | d5e012abb55e1965c1a00e2a95643cc2f62344a0 | https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=24397a303aaeb9c598198c05c4c3a8ab&sk=83460226 | 154.82.84.197[:]80 |
4015269431.exe | b91fcd2b8bbad7f7c70c686b2210600d80e8bc78 | https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=2cae8a4f6727708079c441d602569b60&sk=39919403 | 180.101.50.242[:]80 |
System32.zip | bc5e2341c7357d60802d1b87a1de6f377d7e04eb | https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=bef878264855c915baee54613e1b769e&index=1&sk=60318395 | 45.91.226.35[:]80 |
恶意文件(SHA1)
7f713ed0b29b496a07a943b0b78f609379c765b3 08-13.exe
3a90253bf26597533db0cd1ce7f1e09af5c6c981 StarRail.exe
3a90253bf26597533db0cd1ce7f1e09af5c6c981 StarRailBase.exe
c5f5f0b47e6ec185df1ad49952c3e28910ee66bc StarRailBase.dll
094921263c1e5b352b420d42e599b8f90c155152 StarRailBase.dat
恶意链接
156.251.17.104[:]80 C2地址
-
截止发稿时,示例样本及文中提到的变种样本C2地址仍处于存活状态,请务必保持警惕。 -
由于 StarRail.exe
存在DLL劫持风险,请务必注意包含StarRail.exe
、StarRailBase.exe
、StarRailBase.dll
或类似名称的压缩包,或SHA1为3a90253bf26597533db0cd1ce7f1e09af5c6c981
的可执行文件,这很可能是攻击者用于钓鱼的白加黑样本。
-
网址:https://sandbox.qianxin.com/sscc-tq-web/
-
点击左下角“阅读原文”进入星图实验室官网
奇安信技术研究院是专注于网络空间安全相关技术的研究机构,聚焦网络空间安全领域基础性或前沿性的研究课题,结合国家和社会的实际需求,开展创新性和实践性的技术研究。
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、南京、成都等城市,详情请参见:
https://research.qianxin.com/recruitment/
原文始发于微信公众号(奇安信技术研究院):天穹 | 多个变种!某知名游戏启动器遭银狐劫持