金眼狗(APT-Q-27)滥用AWS S3存储桶分发最新恶意载荷
字数 3839 2025-12-10 12:14:16

APT-Q-27(金眼狗)恶意软件分析与检测教学文档

一、概述

APT-Q-27(金眼狗)组织近期发起新一轮攻击活动,通过滥用AWS S3存储桶分发恶意载荷。该攻击活动具有以下特点:

攻击特征

  • 使用携带正常数字签名的文件进行木马传播
  • 采用多种反沙箱、反调试技术对抗安全检测
  • 通过亚马逊AWS S3存储桶下载并执行最新恶意载荷
  • 远控样本与历史活动同源,指令功能更加丰富

涉及数字签名

  • 山西荣升源科贸有限公司
  • Shandong Saibo Information Technology Co., Ltd.
  • Kingston Technology Company, Inc
  • RichQuest Network Technology Ltd.

二、初始样本分析

样本基本信息

文件名称: photo20251208698m.exe
文件大小: 209792字节
文件版本: 8.0.401.0
哈希值:

  • MD5: 4B70F3B7BD86678722BC1843517CD4A2
  • SHA256: 06531922fdad68677036e45406c8a283ed20d07f6ae80ddd4f29053dca846809

数字签名验证

样本携带"山西荣升源科贸有限公司"的数字签名,需注意攻击者滥用合法签名绕过安全检测。

文件名检测机制

样本运行后检查进程文件名是否包含"m"字符串:

if (!Process.GetCurrentProcess().ProcessName.Contains("m"))
{
    MessageBox.Show("系统不兼容");
    Environment.Exit(0);
}

不满足条件时显示"系统不兼容"并退出。

三、字符串解密技术

解密函数分析

样本通过Class1.smethod_0()函数解密字符串,解密后的关键字符串包括:

重要字符串列表

  1. 用户代理字符串
  2. HTTP请求头相关字符串
  3. 目录路径字符串(C:\Users\admin\AppData\Local\Oracle\Java\Updates\)
  4. 注册表检查路径
  5. 虚拟机相关关键词

解密方法

采用自定义解密算法,分析时需动态调试或编写解密脚本提取完整字符串列表。

四、反检测技术详解

1. 注册表检查

检查以下注册表路径中的虚拟机标识:

@"HARDWARE\DEVICETREE\SYSTEM"
@"HARDWARE\DESCRIPTION\System" 
@"SYSTEM\CurrentControlSet\Services\Disk\Enum"

搜索关键词: "vmware", "virtual", "vbox", "qemu", "xen"

2. 进程枚举检测

检查以下虚拟机进程:

  • vboxservice, vboxtray
  • vmwaretray, vmwareuser, vmacthlp
  • vmsrvc, vmusrvc
  • prl_cc, prl_tools

3. MAC地址检测

验证网卡MAC地址前三个字节:

00:05:69, 00:0C:29, 00:1C:14
00:50:56, 08:00:27, 0A:00:27
00:1C:42, 00:03:FF

4. 系统环境检测

  • CPU核心数: 要求 ≥ 2核心(否则退出)
  • 内存大小: 要求 ≥ 2GB(否则退出)
  • 系统运行时间: 要求 ≥ 120秒(否则退出)
  • 进程数量: 要求 ≥ 20个进程(否则退出)
  • 用户名: 检查是否包含"sandbox", "malware", "analy"等关键词
  • 磁盘容量: 要求 ≥ 20GB(否则退出)

5. 调试器检测

使用IsDebuggerPresent API检查调试状态:

if (Debugger.IsAttached || Debugger.IsLogging())
{
    Environment.Exit(0);
}

6. 安全工具进程检测

检测以下安全分析工具:

  • 调试器: ollydbg, ida, x32dbg, x64dbg, windbg
  • 监控工具: procmon, wireshark, processhacker, tcpview
  • 其他工具: fiddler, process explorer, regshot等

五、网络通信分析

C2通信机制

  1. 初始通信: Base64解码获取AWS S3地址

    • 编码字符串: YUhSMGNITTZMeTlrWVhSaGNtVndiM0owYm1WM0xuTXpMbUZ3TFc1dmNuUm9aV0Z6ZEMweUxtRnRZWHB2Ym1GM2N5NWpiMjB2ZFhVdWRIaDA=
    • 解码结果: https://datareportnew.s3.ap-northeast-2.amazonaws.com/uu.txt

  2. 下载目录: C:\Users\admin\AppData\Local\Oracle\Java\Updates\xxxxxxxxxxxxxxxx@27\

下载文件列表

文件名 哈希值 性质
DataReport.exe 3151B934F1F285211AF6D4C816881900 加载器
DataReport.dll FD260E4849FA91414439CED74B1A25E2 恶意
DataReport.log B591EE37860F35A788B10531A00BBBD2 恶意
vcruntime140.dll 4113057339D9E4E376BDED9074D20C17 正常
msvcp140.dll 7E8BDD2C2304E204B44A3BEC09D66062 正常
image.jpg 4DE8079431D85D3A37FD77FB26E8328F 诱饵

六、第二阶段载荷分析

DataReport.dll分析

文件大小: 11768字节
SHA256: ec355f76ff1e54054f660e86853bfed9f825f2aa21ae85831eb2d3e6930fec25

DataReport.log解密执行

  • 文件大小: 162674字节
  • 实际内容: Shellcode载荷
  • 执行方式: 内存解密后直接加载执行

Shellcode分析

  1. 结构特征: 包含压缩的PE文件
  2. 解密过程: 内存中解压缩后加载执行
  3. 最终载荷: UPX加壳的PE文件(01220000_upx.mem)

内存PE文件特征

  • 文件大小: 161792字节
  • MD5: 69CECFC2549EAF971FA04212EC4A121D
  • 保护机制: UPX加壳,需脱壳分析

七、远控功能分析

环境检查

最终载荷检查更严格的环境要求:

  • 必须无调试器附加
  • CPU核心数 ≥ 3
  • 物理内存 ≥ 3GB

权限提升与持久化

  1. 管理员权限检查: 使用ShellExecuteExA尝试提权
  2. 服务创建:
    • 复制到C:\Users\admin\Videos\XXXXXXXX@27\
    • 创建"Windows Eventn"服务实现持久化

远控指令功能表

指令码 功能描述 详细行为
5430-5431 文件操作插件 DllFile相关功能
5477 屏幕捕获插件 屏幕监控功能
5452 隐藏屏幕捕获 隐蔽截图
5492 键盘记录 键盘输入监控
5513 Shell操作 系统命令执行
5511 消息框操作 显示自定义消息
5497 系统信息收集 获取系统数据
3217 代理功能 网络流量转发
2446 SOCKS连接 代理服务器功能
3216 进程终止 结束explorer.exe
3215 权限提升 以管理员重新运行
5520-5522 文件写入执行 下载并执行文件
5515 痕迹清理退出 清除日志后退出
5514 正常退出 简单退出程序
5525 注册表操作 修改系统注册表
5512 连接组管理 网络连接控制
5516 日志清除 清理Windows事件日志
5519 程序执行 运行指定应用程序
5523-5524 URL访问 打开指定网页
3221-3234 数据清理 清除浏览器历史等

八、关联分析与溯源

同源样本关联

基于以下特征确认与金眼狗组织的关联:

  1. 加密C2数据结构相同
  2. 远控指令功能高度重叠
  3. 文件行为、进程行为、服务行为一致
  4. 外联地址模式相似

扩展样本列表

发现多个相关样本,具有不同的数字签名和创建时间,表明攻击活动持续进行。

C2基础设施

攻击活动涉及大量外联IP地址,主要分布在中国香港、日本、美国等地,使用域名包括:

  • uu.goldeyeuu.io (185.135.79.196)
  • e.nkking.com

九、检测与防护建议

检测指标

  1. 文件特征: 检查特定哈希值的文件
  2. 行为检测: 监控注册表、进程、网络访问模式
  3. 网络通信: 拦截AWS S3特定域名的访问
  4. 内存特征: 检测Shellcode加载行为

防护措施

  1. 签名验证: 严格验证数字签名有效性
  2. 沙箱检测: 部署高级沙箱环境检测逃避技术
  3. 网络监控: 监控异常外联AWS S3行为
  4. 端点防护: 部署行为检测解决方案

取证要点

  1. 检查Oracle\Java\Updates\异常目录
  2. 分析服务列表中异常的"Windows Eventn"服务
  3. 检查浏览器历史清理痕迹
  4. 监控进程创建和网络连接模式

本教学文档详细分析了APT-Q-27组织的最新攻击技术,为安全研究人员提供完整的技术参考和检测方案。

APT-Q-27(金眼狗)恶意软件分析与检测教学文档 一、概述 APT-Q-27(金眼狗)组织近期发起新一轮攻击活动,通过滥用AWS S3存储桶分发恶意载荷。该攻击活动具有以下特点: 攻击特征 使用携带正常数字签名的文件进行木马传播 采用多种反沙箱、反调试技术对抗安全检测 通过亚马逊AWS S3存储桶下载并执行最新恶意载荷 远控样本与历史活动同源,指令功能更加丰富 涉及数字签名 山西荣升源科贸有限公司 Shandong Saibo Information Technology Co., Ltd. Kingston Technology Company, Inc RichQuest Network Technology Ltd. 二、初始样本分析 样本基本信息 文件名称 : photo20251208698m.exe 文件大小 : 209792字节 文件版本 : 8.0.401.0 哈希值 : MD5: 4B70F3B7BD86678722BC1843517CD4A2 SHA256: 06531922fdad68677036e45406c8a283ed20d07f6ae80ddd4f29053dca846809 数字签名验证 样本携带"山西荣升源科贸有限公司"的数字签名,需注意攻击者滥用合法签名绕过安全检测。 文件名检测机制 样本运行后检查进程文件名是否包含"m"字符串: 不满足条件时显示"系统不兼容"并退出。 三、字符串解密技术 解密函数分析 样本通过Class1.smethod_ 0()函数解密字符串,解密后的关键字符串包括: 重要字符串列表 用户代理字符串 HTTP请求头相关字符串 目录路径字符串(C:\Users\admin\AppData\Local\Oracle\Java\Updates\) 注册表检查路径 虚拟机相关关键词 解密方法 采用自定义解密算法,分析时需动态调试或编写解密脚本提取完整字符串列表。 四、反检测技术详解 1. 注册表检查 检查以下注册表路径中的虚拟机标识: 搜索关键词: "vmware", "virtual", "vbox", "qemu", "xen" 2. 进程枚举检测 检查以下虚拟机进程: vboxservice, vboxtray vmwaretray, vmwareuser, vmacthlp vmsrvc, vmusrvc prl_ cc, prl_ tools 3. MAC地址检测 验证网卡MAC地址前三个字节: 4. 系统环境检测 CPU核心数 : 要求 ≥ 2核心(否则退出) 内存大小 : 要求 ≥ 2GB(否则退出) 系统运行时间 : 要求 ≥ 120秒(否则退出) 进程数量 : 要求 ≥ 20个进程(否则退出) 用户名 : 检查是否包含"sandbox", "malware", "analy"等关键词 磁盘容量 : 要求 ≥ 20GB(否则退出) 5. 调试器检测 使用IsDebuggerPresent API检查调试状态: 6. 安全工具进程检测 检测以下安全分析工具: 调试器: ollydbg, ida, x32dbg, x64dbg, windbg 监控工具: procmon, wireshark, processhacker, tcpview 其他工具: fiddler, process explorer, regshot等 五、网络通信分析 C2通信机制 初始通信 : Base64解码获取AWS S3地址 编码字符串: YUhSMGNITTZMeTlrWVhSaGNtVndiM0owYm1WM0xuTXpMbUZ3TFc1dmNuUm9aV0Z6ZEMweUxtRnRZWHB2Ym1GM2N5NWpiMjB2ZFhVdWRIaDA= 解码结果: https://datareportnew.s3.ap-northeast-2.amazonaws.com/uu.txt 下载目录 : C:\Users\admin\AppData\Local\Oracle\Java\Updates\xxxxxxxxxxxxxxxx@27\ 下载文件列表 | 文件名 | 哈希值 | 性质 | |--------|--------|------| | DataReport.exe | 3151B934F1F285211AF6D4C816881900 | 加载器 | | DataReport.dll | FD260E4849FA91414439CED74B1A25E2 | 恶意 | | DataReport.log | B591EE37860F35A788B10531A00BBBD2 | 恶意 | | vcruntime140.dll | 4113057339D9E4E376BDED9074D20C17 | 正常 | | msvcp140.dll | 7E8BDD2C2304E204B44A3BEC09D66062 | 正常 | | image.jpg | 4DE8079431D85D3A37FD77FB26E8328F | 诱饵 | 六、第二阶段载荷分析 DataReport.dll分析 文件大小 : 11768字节 SHA256 : ec355f76ff1e54054f660e86853bfed9f825f2aa21ae85831eb2d3e6930fec25 DataReport.log解密执行 文件大小: 162674字节 实际内容: Shellcode载荷 执行方式: 内存解密后直接加载执行 Shellcode分析 结构特征 : 包含压缩的PE文件 解密过程 : 内存中解压缩后加载执行 最终载荷 : UPX加壳的PE文件(01220000_ upx.mem) 内存PE文件特征 文件大小 : 161792字节 MD5 : 69CECFC2549EAF971FA04212EC4A121D 保护机制 : UPX加壳,需脱壳分析 七、远控功能分析 环境检查 最终载荷检查更严格的环境要求: 必须无调试器附加 CPU核心数 ≥ 3 物理内存 ≥ 3GB 权限提升与持久化 管理员权限检查 : 使用ShellExecuteExA尝试提权 服务创建 : 复制到 C:\Users\admin\Videos\XXXXXXXX@27\ 创建"Windows Eventn"服务实现持久化 远控指令功能表 | 指令码 | 功能描述 | 详细行为 | |--------|----------|----------| | 5430-5431 | 文件操作插件 | DllFile相关功能 | | 5477 | 屏幕捕获插件 | 屏幕监控功能 | | 5452 | 隐藏屏幕捕获 | 隐蔽截图 | | 5492 | 键盘记录 | 键盘输入监控 | | 5513 | Shell操作 | 系统命令执行 | | 5511 | 消息框操作 | 显示自定义消息 | | 5497 | 系统信息收集 | 获取系统数据 | | 3217 | 代理功能 | 网络流量转发 | | 2446 | SOCKS连接 | 代理服务器功能 | | 3216 | 进程终止 | 结束explorer.exe | | 3215 | 权限提升 | 以管理员重新运行 | | 5520-5522 | 文件写入执行 | 下载并执行文件 | | 5515 | 痕迹清理退出 | 清除日志后退出 | | 5514 | 正常退出 | 简单退出程序 | | 5525 | 注册表操作 | 修改系统注册表 | | 5512 | 连接组管理 | 网络连接控制 | | 5516 | 日志清除 | 清理Windows事件日志 | | 5519 | 程序执行 | 运行指定应用程序 | | 5523-5524 | URL访问 | 打开指定网页 | | 3221-3234 | 数据清理 | 清除浏览器历史等 | 八、关联分析与溯源 同源样本关联 基于以下特征确认与金眼狗组织的关联: 加密C2数据结构相同 远控指令功能高度重叠 文件行为、进程行为、服务行为一致 外联地址模式相似 扩展样本列表 发现多个相关样本,具有不同的数字签名和创建时间,表明攻击活动持续进行。 C2基础设施 攻击活动涉及大量外联IP地址,主要分布在中国香港、日本、美国等地,使用域名包括: uu.goldeyeuu.io (185.135.79.196) e.nkking.com 九、检测与防护建议 检测指标 文件特征 : 检查特定哈希值的文件 行为检测 : 监控注册表、进程、网络访问模式 网络通信 : 拦截AWS S3特定域名的访问 内存特征 : 检测Shellcode加载行为 防护措施 签名验证 : 严格验证数字签名有效性 沙箱检测 : 部署高级沙箱环境检测逃避技术 网络监控 : 监控异常外联AWS S3行为 端点防护 : 部署行为检测解决方案 取证要点 检查 Oracle\Java\Updates\ 异常目录 分析服务列表中异常的"Windows Eventn"服务 检查浏览器历史清理痕迹 监控进程创建和网络连接模式 本教学文档详细分析了APT-Q-27组织的最新攻击技术,为安全研究人员提供完整的技术参考和检测方案。