“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马
1 概述
安天 CERT 发现 " 游蛇 " 黑产利用仿冒的 WPS Office 下载站传播远控木马,若用户下载该网站的 WPS Office,实际下载的是托管在 OSS 中的虚假安装程序。该程序执行后,在临时文件夹 %temp% 中释放执行一个正常的 WPS 安装程序,以此迷惑用户,并在 C:ProgramData 文件夹中释放三个文件,执行其中的 Shine.exe 程序后加载恶意 libcef.dll 文件,该 DLL 读取 1.txt 文件,从而在内存中执行原名称为 "Install.dll" 的文件,调用其 Shellex 导出函数,最终执行 Gh0st 远控木马,并创建注册表启动项实现持久化。
" 游蛇 " 黑产团伙(又名 " 银狐 "、" 谷堕大盗 "、"UTG-Q-1000" 等)自 2022 年下半年开始频繁活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎 SEO 推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用 " 游蛇 " 专项排查工具和安天系统安全内核分析工具(ATool)对 "Gh0st" 木马进行排查和清除。
经验证,安天智甲终端防御系统(简称 IEP)可有效查杀该远控木马。
2 样本分析
2.1 仿冒网站
仿冒成 WPS Office 下载站的网站 hxxps://wpsice [ . ] com:
图 2 ‑ 1 仿冒网站页面
若点击 " 立即下载 " 按钮,将会下载托管在 OSS 中的虚假安装程序。
图 2 ‑ 2 该仿冒网站的页面源代码
2.2 虚假安装程序
表 2 ‑ 1 样本标签
病毒名称
Trojan/Win32.SwimSnake
原始文件名
WPS_Setup.exe
MD5
9232FBCCF8B566B0C0A6D986B65BBC98
处理器架构
Intel 386 or later processors and compatible processors
文件大小
253 MB ( 265,306,009 字节 )
文件格式
BinExecute/Microsoft.EXE [ :X86 ]
时间戳
2023-05-31 21:15:01
数字签名
无
加壳类型
编译语言
Microsoft Visual C/C++
该程序执行后,会在临时文件夹 %temp% 中释放执行一个正常的 WPS 安装程序,以此迷惑用户。
图 2 ‑ 3 释放执行正常的 WPS 安装程序
然后在 C:ProgramData 中释放三个文件:Shine.exe 含有正常的数字签名,libcef.dll 是一个恶意 DLL 文件,1.txt 是一个包含 Gh0st 远控木马的 Shellcode。
图 2 ‑ 4 在 C:ProgramData 中释放攻击组件
Shine.exe 程序运行后加载 libcef.dll 读取 1.txt 文件,从而在内存中加载执行一个原名称为 "Install.dll" 的文件并调用其 Shellex 导出函数,最终执行 Gh0st 远控木马。
图 2 ‑ 5 Install.dll 文件信息
该程序所在路径被添加至注册表启动项 "HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun" 中实现持久化。
图 2 ‑ 6 创建注册表启动项实现持久化
3 使用工具排查与处置
基于本次攻击活动中攻击者使用 Gh0st 远控木马家族变种情况,用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用 " 游蛇 " 专项排查工具和安天系统安全内核分析工具对 Gh0st 远控木马进行排查和清除。
" 游蛇 " 专项排查工具可用于排查 " 游蛇 " 黑产团伙在攻击活动中投放的加载器和加载至内存中的远控木马(包括 Gh0st 远控木马家族)。
安天系统安全内核分析工具(简称 ATool)是一款面向威胁检测与威胁分析人员的 Windows 系统深度分析工具,其能够有效检测操作系统中潜在的窃密木马、后门及黑客工具等恶意程序并辅助专业人员开展手动处置工作,具有已知威胁有效检测,未知威胁及时发现,顽固感染一键处置等功能特点。
图 3 ‑ 1 安天垂直响应平台
3.1 使用 " 游蛇 " 专项排查工具排查 Gh0st 远控木马
为了更精准、更全面的清除受害主机中存在的威胁,客户在使用专项排查工具检出威胁后,可以联系安天应急响应团队(cert@antiy.cn)。
图 3 ‑ 2 使用 " 游蛇 " 专项排查工具发现恶意进程
3.2 使用安天系统安全内核分析工具清除 Gh0st 远控木马
发现 Gh0st 远控木马后,用户可以在安天垂直响应平台下载使用 ATool 对该木马进行清除。例如,在 ATool 的 " 进程管理 " 页面中,右键点击恶意进程 "Shine.exe":先点击 " 在 Windows 文件管理器中定位 " 定位 "Shine.exe" 所在路径,然后点击 " 终止 " 结束 "Shine.exe" 进程,最后删除 "Shine.exe" 程序所在路径中的恶意文件。
图 3 ‑ 3 使用 ATool 工具定位、终止恶意进程
在 ATool 的 " 自启动项 " 页面中,使用 " 查找 " 功能搜索恶意进程名称,发现并删除恶意自启动项。
图 3 ‑ 4 通过恶意进程名称查找恶意自启动项
此外,ATool 针对可执行对象支持四个对象维度的信誉查询,即 " 发布者信誉 "、" 内容信誉 "、" 行为信誉 " 和 " 路径信誉(位置信誉)"。点击工具上方的 " 信誉分析 " 按钮能够执行对当前清单对象的云端信誉查询,从而帮助用户发现系统中的潜在威胁。
图 3 ‑ 5 使用 ATool 的 " 信誉分析 " 功能发现恶意进程
4 终端安全防护
经过测试,安天智甲终端安全系列产品(以下简称 " 智甲 ")依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀和防御本次发现病毒样本。
智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测。针对此次威胁,当病毒文件 libcef.dll 文件落地本地时,智甲会立即对病毒文件进行查杀并向用户发送告警,有效阻止病毒启动。
图 4 ‑ 1 病毒文件落地时,智甲第一时间捕获并发送告警
另外智甲具备驱动级主动防御模块,可以对进程行为实时监控,当发现进程存在风险行为时可立即拦截,有效防止攻击行为执行。本次事件中,当攻击者利用 Shine.exe 加载恶意文件 libcef.dll 时,智甲会通过内存防护模块捕获恶意程序加载行为,并立即拦截。
图 4-2 直接主动防御模块拦截恶意程序加载行为
智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。
图 4-3 智甲管理中心助力管理员实现高效的终端安全管理
5 攻击载荷执行体全生命周期与安全产品关键能力映射矩阵
通过威胁事件分析,得出攻击载荷执行体全生命周期中运行对象和运行动作的攻击过程,可进一步评估终端侧部署的安全防护软件应具备反病毒引擎和主动防御的关键能力映射矩阵。本次系列攻击活动的检测和防御关键能力点描述如下表:
攻击执行体
生命周期
对象
动作
威胁检测引擎
关键能力
主动防御能力
关键能力
预
置
与
投
放
投
放
仿冒网站
仿冒 WPS Office 下载站,诱导用户下载捆绑了后门的安装程序。程序大于 200M。
仿冒域名检测
1.(主机防火墙)监测应用程序访问 C2 服务器请求数据包,获取访问的 IP、域名和 URL,投递引擎检测,拦截威胁 C2 服务器访问请求数据包
2.(主机防火墙)应用请求 IP、Domain 和 URL 为非授信地址设定记录 / 告警 / 拦截规则
加
载
执
行
捆绑了后门的安装程序
释放文件:
%temp%WPS_Setup.exe(白文件)
C:ProgramDataShine.exe(白文件)
C:ProgramDatalibcef.dll
C:ProgramData1.txt
1. 安装包类型识别
2. 安装程序衍生文件拆解并递归检测
3. 大文件冗余虚假数据异常识别
1.(文件防御)监控磁盘文件创建 / 修改,投递引擎检测,删除威胁文件
2. ( 文件防御)设定文件全盘监控
加载并解密;
1、白加黑加载:
Shine.exe(白文件)
2、解密:
libcef.dll
加载:
libcef.dll 解密:1.txt
解出:Install.dll(可执行文件)
1、离线数字签名验证
2.PE 格式和编译器类型识别
3.PE 真实入口点恶意指令检测
(进程防御)监控进程模块加载,拆解进程全路径、加载模块全路径后,投递引擎检测,拦截威胁模块加载,并删除威胁模块
内存加载:Install.dll
Gh0st 远控木马
Gh0st 远控木马内嵌恶意指令检测
1.(内存防御)监控内存加载行为
2. ( 内存防御)设定禁止加载含有某 shellcode 内容的内存加载
持
久
化
添加注册表启动项:
添加注册表启动项:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
值 : 字符串 : " Management ":"C:Program DataShine.exe"
注册表项检测
(注册表防御)监控注册表启动项新建 / 修改,拆解修改注册表进程的文件路径、启动项名称及启动项的内容后,投递引擎检测,删除威胁启动项
致
效
运
用
过
程
致
效
远控木马(Gh0st):Install.dll
1、收集系统信息发送上线包回连 C2
2、等待接收并执行远控指令
远控 C2 域名检测
6 IoCs
IoCs
A9710294489B6893F59120C5DF76A60C
444F87D1D78B9C1162963D6F775FB60E
hxxps://wpsice [ . ] com
hxxps://cn-wps-oss-1.cdn-yun [ . ] cloud/WPS_Setup.exe
45.207.12 [ . ] 71:1803
7 安天针对 " 游蛇 " 威胁历史报告清单
[ 1 ] 通过伪造中文版 Telegram 网站投放远控木马的攻击活动分析 [ R/OL ] . ( 2022-10-24 )
https://www.antiy.cn/research/notice&report/research_report/20221024.html
[ 2 ] 利用云笔记平台投递远控木马的攻击活动分析 [ R/OL ] . ( 2023-03-24 )
https://www.antiy.cn/research/notice&report/research_report/20230324.html
[ 3 ] 利用云笔记平台投递远控木马的黑产团伙分析 [ R/OL ] . ( 2023-03-30 )
https://www.antiy.cn/research/notice&report/research_report/20230330.html
[ 4 ] " 游蛇 " 黑产团伙针对国内用户发起的大规模攻击活动分析 [ R/OL ] . ( 2023-05-18 )
https://www.antiy.cn/research/notice&report/research_report/20230518.html
[ 5 ] " 游蛇 " 黑产团伙近期钓鱼攻击活动分析 [ R/OL ] . ( 2023-07-11 )
https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html
[ 6 ] " 游蛇 " 黑产团伙利用微信传播恶意代码的活动分析 [ R/OL ] . ( 2023-08-22 )
https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html
[ 7 ] " 游蛇 " 黑产团伙专题分析报告 [ R/OL ] . ( 2023-10-12 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html
[ 8 ] " 游蛇 " 黑产团伙针对财务人员及电商客服的新一轮攻击活动分析 [ R/OL ] . ( 2023-11-11 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html
[ 9 ] " 游蛇 " 黑产近期攻击活动分析 [ R/OL ] . ( 2024-04-07 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html
[ 10 ] " 游蛇 " 黑产团伙利用恶意文档进行钓鱼攻击活动分析 [ R/OL ] . ( 2024-06-21 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html
[ 11 ] 钓鱼下载网站传播 " 游蛇 " 威胁,恶意安装程序暗藏远控木马 [ R/OL ] . ( 2024-12-20 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html
[ 12 ] " 游蛇 " 黑产攻击肆虐,速启专项排查与处置 [ R/OL ] . ( 2025-04-23 )
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202504.html
参考资料
[ 1 ] [ 已鉴定 ] 假的 WPS 网站 [ R/OL ] . ( 2025-05-08 )
https://bbs.kafan.cn/thread-2281325-1-1.html