1        概述

近期，安天CERT监测到一起利用云笔记平台投递远控木马的攻击活动。攻击者将远控木马相关载荷文件托管于某云笔记平台中，借助可信站点规避安全产品在流量侧的检测，并且持续更新其中的文件。

本次攻击活动于2022年开始进行，攻击者将伪装成应用程序的诱饵文件投放至下载站，或者利用钓鱼邮件发送伪装成文档的诱饵文件，以此引诱用户下载执行。诱饵文件执行后采用“DDR”（Dead Drop Resolvers）技术，从某云笔记平台下载攻击载荷，利用其中的可执行程序加载恶意DLL文件、获取Shellcode并解密获得最终的远控木马，实现对用户设备的远程控制。

经关联分析，攻击者利用诱饵文件最终投递的远控木马是基于Gh0st远控木马家族所更改的变种。该远控木马具备持久化、窃取信息、下载执行、文件管理等多种定制化的恶意功能，实现对受害者设备的远程控制，并且具备较强的隐蔽性。Gh0st远控木马的代码已经被公开，因此攻击者可以根据需求定制恶意功能，对恶意代码进行快速更新。安天CERT曾于2022年10月24日发布的《通过伪造中文版Telegram网站投放远控木马的攻击活动分析》[1]中介绍了另一起投放该远控木马变种的攻击活动。

经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。

2        事件对应的ATT&CK映射图谱

针对攻击者投放远控木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示：

攻击者使用的技术点如下表所示：

3        防护建议

为有效防御此类攻击事件，提升安全防护水平，安天建议企业采取如下防护措施：

3.1        提升主机安全防护能力

1.安装终端防护系统：安装反病毒软件，建议安装安天智甲终端防御系统；

2.加强口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

3.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。

3.2        网站传播防护

1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描；

2.建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。安天追影威胁分析系统（PTA）采用深度静态分析与沙箱动态加载执行的组合机理，可有效检出分析鉴定各类已知与未知威胁。

3.3        遭受攻击及时发起应急响应

联系应急响应团队：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该远控木马的有效查杀。

4        攻击流程

4.1        攻击流程图

攻击者将伪装成应用程序的诱饵文件投放至下载站，或者利用钓鱼邮件发送伪装成文档的诱饵文件，以此引诱用户下载执行。诱饵文件执行后采用“DDR”（Dead Drop Resolvers）技术，从某云笔记平台下载包含攻击载荷的压缩包文件，实现开机自启动，创建explorer.exe进程通过快捷方式运行指定的可执行程序，随后进行自删除操作。可执行程序运行后，加载第一阶段的DLL文件、获取Shellcode并解密获得最终的远控木马，攻击者可以借助远控木马对受害主机进行持久化、获取系统信息、远程控制、下载执行其他程序等多种操作。

4.2        攻击流程详细分析

4.2.1         传播阶段

攻击者将伪装成应用程序的诱饵文件投放至下载站，或者利用钓鱼邮件发送伪装成文档的诱饵文件，以此引诱用户下载执行。

表 4‑1部分诱饵文件

4.2.2         下载恶意载荷阶段

攻击者采用“DDR”（Dead Drop Resolvers）技术，将恶意载荷以压缩包文件的形式托管于云笔记平台中，借助可信站点规避安全产品在流量侧的检测，并持续更新其中的内容。

4.2.3         远控木马执行阶段

攻击者在云笔记平台中托管了多个包含恶意载荷的压缩包文件，其核心都是利用恶意载荷中的可执行程序加载第一阶段的DLL文件，获取info.txt中的Shellcode，最终投递基于Gh0st远控木马家族所更改的变种。在下面的“样本分析”章节中将以其中一种恶意载荷为例进行介绍。

5        样本分析

5.1        样本标签

表 5‑1样本标签

5.2        详细分析

诱饵文件运行后从某云笔记平台中获取攻击者所托管的恶意压缩包文件，下载至“C:/Users/Public”文件夹中。

该压缩包中的恶意载荷被解压至“C:\Users\Public\Documents\Arice\<随机6个数字及英文字母>”文件夹中。

解压完成后，在“%AppData%\<随机5个数字及英文字母>”文件夹中创建快捷方式，并移至开机启动文件夹中实现持久化。该快捷方式用于执行恶意载荷中的可执行程序。

修改相关注册表项，关闭UAC提示。

在“C:\Users\Public\Music\<随机6个数字及英文字母>”文件夹中创建Internet快捷方式，创建explorer.exe进程执行快捷方式，从而运行下一阶段的恶意载荷。

最后，诱饵文件进行自删除操作，删除指定的相关文件。

5.2.1         加载第一阶段DLL文件

“C:\Users\Public\Documents\Arice\<随机6个数字及英文字母>”文件夹中有3个文件：可执行程序被重命名为随机的6个数字及英文字母，运行后加载第一阶段的libglib-2.0-0.dll文件，并读取info.txt文件中的Shellcode，最终在内存中执行第二阶段的DLL文件。

该可执行程序利用TLS回调函数开启线程，调用libglib-2.0-0.dll文件中的导出函数。

读取info.txt文件中的内容，获取Shellcode。

解密获得第二阶段的DLL文件，并调用其中的导出函数。

5.2.2         第二阶段DLL文件

第二阶段的DLL文件是基于Gh0st远控木马所更改的变种，能够通过添加相关注册表项或者创建服务两种方式实现持久化。

该DLL文件能够下载并运行其他程序。

尝试与C2地址进行连接，连接成功后创建一个线程用来接收服务器返回的数据。

在接收服务器返回的数据时，将数据按字节先与49相减，再与0xFC进行异或，从而解密接收的数据。

此Gh0st远控木马变种收集操作系统版本、CPU等基本的系统信息，并尝试获得当前系统登录的QQ号、反病毒产品相关进程、当前进程是否处于分析环境等信息，以此构造上线包。

构造上线包后，对上线包数据进行加密，加密算法与解密接收数据的算法相反：将发送的数据按字节先与0xFC进行异或，再与49进行相加，最终得到加密上线包发送至C2服务器。

6        总结

攻击者将伪装成应用程序的诱饵文件投放至下载站，或者利用钓鱼邮件发送伪装成文档的诱饵文件，以此引诱用户下载执行。攻击者采用“DDR”（Dead Drop Resolvers）技术将恶意载荷托管于云笔记平台中，借助可信站点规避安全产品在流量侧的检测，最终投递远控木马对受害者主机进行远程控制，执行多种恶意功能。

Gh0st远控木马的代码已经被公开，因此现在仍有攻击者基于开源代码定制开发恶意功能，并利用伪造网站、仿冒程序、钓鱼邮件等传播Gh0st远控木马变种，安天CERT曾于2022年10月24日发布的《通过伪造中文版Telegram网站投放远控木马的攻击活动分析》[1]中介绍了另一起   投放该远控木马变种的攻击活动。

在此建议用户使用官方网站下载正版软件，不要轻易打开聊天群组、论坛、邮件中未经安全检测的文件。为防止本次攻击活动扩大影响，安天CERT将会持续跟进关注。

7        IoCs

参考链接

[1] 通过伪造中文版Telegram网站投放远控木马的攻击活动分析

https://www.antiy.cn/research/notice&report/research_report/20221024.html