今晚开什么生肖和特马

從一個色情樣本披露色情黑產產業鏈一角

2019-10-24 102363人圍觀 ,發現 4 個不明物體 系統安全

概述

奇安信病毒響應中心在日常的樣本監控中發現,越來越多的黑客團伙通過極具誘惑性語言名命的誘餌文件,并使用黃賭毒方面的圖片放到誘餌文件中,有些用戶看到圖片后會情不自禁的雙擊可執行程序從而啟動遠控木馬,上傳用戶敏感信息。

除此之外,我們根據相關線索,進行溯源分析后,發現這起攻擊事件背后實際上是一個趨于成熟的色情產業鏈。

鑒于該產業鏈已經非常成熟,且越來越多的人從事該行業,為防止更多人一時沖動釀成慘劇,我們將此次捕捉到的攻擊細節進行披露。

詳細分析

誘餌一分析

MD5 93988f9456e2403e95caeb81c6e6a29e
文件名 上集街角素人搭訕在線觀看
文件類型 Zip

捕獲的初始樣本名稱為:上集街角素人搭訕在線觀看.zip。

壓縮包內容如下圖所示:

上集街角素人搭訕在線觀看.exe是通過Acronis installer打包而成的SFX程序,運行之后會釋放123.bat和svchost.exe文件經過分析,svchost.exe為大灰狼遠控。

遠控連接的C&C地址和端口為154.223.133.104:2014,而123.bat的內容為:

上集街角素人搭訕在線觀看.exe在運行過程中,調用ShellExecuteExW執行該bat腳本:

使用默認瀏覽器打開指定的色情網站,該網站使用的是目前主流色情網站的模板:

通過對該網站進行溯源分析,我們發現該團伙注冊了近百個網址用于重定向規避檢測:

還發現了兩個同源apk樣本,其中有個加了BaiduProtect殼,經過分析這類App都是使用同一框架和iapp接口。

運行之后則會調用WebView打開上述的Av網站,有趣的是app會彈框提示聯系作者或加入QQ群,且每個推廣app內置的QQ號和QQ群都不一樣。

有些app,甚至還暗自刷量。

所以,我們基本可以得出結論,這些app的作者類似于推銷員,彈出這個框的目的應該是吸引更多色情網站搭建者找他們推廣自己的站點。通過對app內置的站點進行關聯分析,我們發現了該團伙的另一處資產:

也找到了一些同源apk樣本,這些樣本依然使用上述的框架,訪問內置的色情頁面,其中有個偽裝成聚分享圖標的app:

經過深度挖掘,我們發現了另外一個色情站點hxxp://www.XXXbb.com,該站點使用的模板與上述一致,但其位于另外一臺服務器上:

該站點注冊的域名較少,最近開始活躍,且沒有相應的app進行推廣。有趣的是該網站所用的圖片源和視頻源與www.15XXXX.com一致,也就是說為同一個資源供應商。

圖片源:hxxp://hb.avXXXXage.com/xxx.jpg

視頻源:hxxps://xxx.sXXXXd1.com/視頻網站(52av)/日期/具體類別

對資源供應商的域名進行關聯分析,發現了一款免殺效果很好的apk文件,主要功能為成人電影播放器,內置付費功能,支持支付寶和微信,根據代碼內容判斷該app應為資源供應商直屬的官方影音播放器。

該apk全部使用的開源類庫:

其主界面位于com.fykj.newmovie.activity,運行時會檢查有沒有更新:

獲取播放列表:

有些影片只能使用手機迅雷或者影音先鋒才能觀看,在處理這類影片時會彈出溫馨提示,提示用戶安裝影音先鋒和手機迅雷,用于引流:

手機迅雷的下載網址的域名:m.down.XXXXai.net

至此我們可以描繪出這類色情網站大致的運營流程。

無獨有偶,在我們捕獲的另一個誘餌文件中也使用了相似的手法。

MD5 90b33c691919b65559c1d8b534da73ff
文件名 醫生猥褻過程詳細描述及藥物比對.doc
文件類型 Doc

該文件名比較具有誘惑性,很多用戶可能會出于好奇而雙擊查看。

啟用宏后,執行Powershell命令:

從hxxps://winupdate.site:443/updates下載ps腳本并執行:

解密后為:

注入一段shellcode,shellcode為msf反彈shell,鏈接的C2:154.223.180.21:443

通過關聯分析,我們發現該團伙主要從事私服、個人信息非法收集以及盜號相關的操作:

總結

上述兩個案例均是不同團伙采用相似的手法,即利用具有誘惑性的標題和圖片,吸引受害者去點擊相關帶有惡意代碼的誘餌文件。鑒于色情產業鏈的逐步完善,未來基于類似手法的攻擊次數會越來越多,攻擊的方式和手段也會越來越成熟。在跟蹤該色情產業鏈的過程中,我們發現資源供應商有很多家,類似的攻擊活動可能會更多。

在此希望用戶遇到上述類似的具有誘惑性的文件,不要輕易點擊。

目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及該報告相關的攻擊活動檢測。

IOC

文件MD5

93988f9456e2403e95caeb81c6e6a29e

8d0328d6ff17499b204e26a20c6973ff

6532eabadd42f6375c7902cdc223201b

b943a628f151a6d44d0363383b1bdc87

0f5594ba31a7ef6adeda52472ef26a12

9037f39ce6b627078b2a313d071d3fa8

7941657b529be01edb3dc6b8f50b8992

33fc200a128bccb26a64635121b24863

90b33c691919b65559c1d8b534da73ff

09c4a2cac0be0a3c62f4bc15cb3443f8

ae202d6ae06160beb2956a5162b9a058

1e935d0992fa7ed652e2885c4f490937

d43d503ea528de24d48f66d81d242550

14cd2a0d130418e0703d8e972a9f7d3b

c00d5c8e8090267e447db1a526f5d0ec

325a85c78a6a34d34d7a68ff409140fb

57eaf4488dc06ea7e147b7f3520ea3a7

C2:

154.223.133.104:2014

154.223.180.21:443

Host:

www.winupdate.site

b2rpt.hjkl45678.xyz

cltrpt.hjkl45678.xyz

*本文作者:奇安信威脅情報中心,轉載請注明來自FreeBuf.COM

相關推薦

這些評論亮了

發表評論

已有 4 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 今晚开什么生肖和特马 可以约好友的麻将游戏下载 山东11选5前二推 江苏十一选五开奖图 崖城海南麻将 下载欢乐大众麻将 一直牛配资 贵州十一选五前三直 华体即时指数 河南快三 辽宁35选7官方网站 意大利vs乌拉圭比分预测及历史战绩 安徽十一选五定牛 篮球比分网直播 策略盈 黑龙江22选5规则 118及时比分