金眼狗(APT-Q-27)近期使用银狐系Winos木马的攻击活动
字数 2664
更新时间 2025-12-31 12:31:07
金眼狗组织(APT-Q-27)攻击手法分析教学文档
一、攻击活动概述
金眼狗组织(APT-Q-27)近期发起新一轮攻击活动,通过升级的恶意载荷投递程序分发银狐系Winos木马。攻击者采用Virbox Protector加壳技术增强反分析能力,并利用数字签名伪装合法程序。
二、攻击链技术细节分析
2.1 初始投递阶段
样本特征:
- 文件名:photo202512176896m.pif
- 文件大小:3152640字节
- 哈希值:
- MD5:78D10E4CF557109DC24637EEC878EDCD
- SHA256:A508358A0786DDF2AD9496BB9374D54E71C5044DF9C10FE686D43FC70484E54C
保护技术:
- 使用Virbox Protector进行加壳处理
- 具备反调试、反分析、反沙箱检测功能
- 检测到虚拟机环境时会触发弹窗警告
2.2 载荷下载机制
外联行为:
- 样本运行后向https://yyexnew.s3.ap-northeast-2.amazonaws.com/yy.txt发起请求
- 根据返回内容下载后续载荷
- 文件保存路径:C:\Users\admin\AppData\Local\Temp\updatecache\20251217002210@27
下载文件列表:
| 文件名 | 哈希值 | 性质 |
|---|---|---|
| yyex.exe | 64B07B1C385CF94A3559E323009F7641 | 正常YY语音程序 |
| vcruntime140.dll | 4113057339D9E4E376BDED9074D20C17 | 系统库文件 |
| msvcp140.dll | 7E8BDD2C2304E204B44A3BEC09D66062 | 系统库文件 |
| image.jpg | 4DE8079431D85D3A37FD77FB26E8328F | 诱饵文件 |
| crashreport.dll | F92EDAEB081CFD92D376CC96C4B57DFE | 恶意组件 |
| yyex.log | B591EE37860F35A788B10531A00BBBD2 | 加密载荷 |
2.3 白加黑技术实施
执行流程:
- yyex.exe(合法程序)运行后加载同目录下的crashreport.dll
- crashreport.dll解密yyex.log文件
- yyex.log实际为shellcode,内含压缩的PE文件
2.4 内存加载技术
Shellcode执行过程:
- 在内存中解压缩PE文件
- 解压后的PE文件MD5:69CECFC2549EAF971FA04212EC4A121D
- 加载远控木马,具备以下功能:
- 环境检查
- C2通信
- 权限验证
- 服务创建
- 远控指令执行
三、第二投递渠道分析
3.1 释放机制
主样本:
- 文件名:letsvpn-latest.exe
- 文件大小:23015744字节
- 版本信息:3.16.4.0
释放路径: %APPDATA%\Crash
释放文件详情:
| 文件名 | 哈希值 | 数字签名 |
|---|---|---|
| letsvpn-latest.exe | 8505973D18396E2D8FB7AD77431971C0 | LetsGo Network Incorporated |
| Crash.exe | 4F1408428019996A7B2782B1623FC9D9 | 合肥诺拉网络科技有限公司 |
| Crash.ini | 401A6FE67CD97EF9AF5F17935E24E929 | 无 |
| qr.dll | 1524AA4964374EF3E3D210B618435E23 | 威海市明骏信息科技有限公司 |
| libcurl.dll | 104DB8DDA726C646E393207F0BA589C1 | 威海市明骏信息科技有限公司 |
3.2 持久化机制
计划任务创建:
- 任务1:MicrosoftEdgeUpdate_QR
- 执行命令:
C:\Windows\System32\rundll32.exe "C:\Users\admin\AppData\Roaming\Crash\qr.dll",StartQR
- 执行命令:
- 任务2:MicrosoftEdgeUpdate_TenioDL
- 执行命令:
C:\Users\admin\AppData\Roaming\Crash\Crash.exe
- 执行命令:
3.3 模块功能分析
3.3.1 qr.dll - 截屏功能
- 周期性截取屏幕画面
- 保存路径:C:\Users\Public\
- 技术问题:GdiplusStartup函数异常导致截屏功能失效
3.3.2 Crash.exe - 白加黑加载
- 实际为飞火壁纸安装包中的CrashReporter.exe
- 运行后加载同目录libcurl.dll文件
3.3.3 libcurl.dll - 核心恶意功能
反检测技术:
- 篡改内存中ntdll.dll模块链表记录
- 绕过安全机制,隐藏自身存在
键盘记录功能:
- 安装WH_KEYBOARD_LL钩子
- 记录数据保存路径:C:\Users\Public\keylog\keylog.txt
内存加载技术:
- 读取Crash.ini文件内容
- 文件头包含Winos木马配置信息
- 将文件内容倒置后解析为shellcode加载
四、防御检测建议
4.1 检测指标
网络IoC:
- C2地址:yyexnew.s3.ap-northeast-2.amazonaws.com
文件检测特征:
- Virbox Protector加壳特征
- 特定数字签名:威海市明骏信息科技有限公司
- 异常文件释放行为(%APPDATA%\Crash目录)
4.2 行为检测
- 异常计划任务创建(MicrosoftEdgeUpdate_*)
- 键盘记录钩子安装
- 内存中PE文件加载行为
- 异常网络连接模式
4.3 防护措施
- 监控数字签名异常使用
- 加强沙箱检测能力
- 实施行为监控和内存保护
- 建立完善的应急响应机制
五、总结
金眼狗组织通过多层技术叠加实现有效攻击,包括加壳保护、白加黑技术、内存加载和持久化机制。防御方需要从多个层面建立检测和防护体系,重点关注异常行为模式和内存操作特征。
金眼狗组织(APT-Q-27)攻击手法分析教学文档
一、攻击活动概述
金眼狗组织(APT-Q-27)近期发起新一轮攻击活动,通过升级的恶意载荷投递程序分发银狐系Winos木马。攻击者采用Virbox Protector加壳技术增强反分析能力,并利用数字签名伪装合法程序。
二、攻击链技术细节分析
2.1 初始投递阶段
样本特征:
- 文件名:photo202512176896m.pif
- 文件大小:3152640字节
- 哈希值:
- MD5:78D10E4CF557109DC24637EEC878EDCD
- SHA256:A508358A0786DDF2AD9496BB9374D54E71C5044DF9C10FE686D43FC70484E54C
保护技术:
- 使用Virbox Protector进行加壳处理
- 具备反调试、反分析、反沙箱检测功能
- 检测到虚拟机环境时会触发弹窗警告
2.2 载荷下载机制
外联行为:
- 样本运行后向https://yyexnew.s3.ap-northeast-2.amazonaws.com/yy.txt发起请求
- 根据返回内容下载后续载荷
- 文件保存路径:C:\Users\admin\AppData\Local\Temp\updatecache\20251217002210@27
下载文件列表:
| 文件名 | 哈希值 | 性质 |
|---|---|---|
| yyex.exe | 64B07B1C385CF94A3559E323009F7641 | 正常YY语音程序 |
| vcruntime140.dll | 4113057339D9E4E376BDED9074D20C17 | 系统库文件 |
| msvcp140.dll | 7E8BDD2C2304E204B44A3BEC09D66062 | 系统库文件 |
| image.jpg | 4DE8079431D85D3A37FD77FB26E8328F | 诱饵文件 |
| crashreport.dll | F92EDAEB081CFD92D376CC96C4B57DFE | 恶意组件 |
| yyex.log | B591EE37860F35A788B10531A00BBBD2 | 加密载荷 |
2.3 白加黑技术实施
执行流程:
- yyex.exe(合法程序)运行后加载同目录下的crashreport.dll
- crashreport.dll解密yyex.log文件
- yyex.log实际为shellcode,内含压缩的PE文件
2.4 内存加载技术
Shellcode执行过程:
- 在内存中解压缩PE文件
- 解压后的PE文件MD5:69CECFC2549EAF971FA04212EC4A121D
- 加载远控木马,具备以下功能:
- 环境检查
- C2通信
- 权限验证
- 服务创建
- 远控指令执行
三、第二投递渠道分析
3.1 释放机制
主样本:
- 文件名:letsvpn-latest.exe
- 文件大小:23015744字节
- 版本信息:3.16.4.0
释放路径: %APPDATA%\Crash
释放文件详情:
| 文件名 | 哈希值 | 数字签名 |
|---|---|---|
| letsvpn-latest.exe | 8505973D18396E2D8FB7AD77431971C0 | LetsGo Network Incorporated |
| Crash.exe | 4F1408428019996A7B2782B1623FC9D9 | 合肥诺拉网络科技有限公司 |
| Crash.ini | 401A6FE67CD97EF9AF5F17935E24E929 | 无 |
| qr.dll | 1524AA4964374EF3E3D210B618435E23 | 威海市明骏信息科技有限公司 |
| libcurl.dll | 104DB8DDA726C646E393207F0BA589C1 | 威海市明骏信息科技有限公司 |
3.2 持久化机制
计划任务创建:
- 任务1:MicrosoftEdgeUpdate_QR
- 执行命令:
C:\Windows\System32\rundll32.exe "C:\Users\admin\AppData\Roaming\Crash\qr.dll",StartQR
- 执行命令:
- 任务2:MicrosoftEdgeUpdate_TenioDL
- 执行命令:
C:\Users\admin\AppData\Roaming\Crash\Crash.exe
- 执行命令:
3.3 模块功能分析
3.3.1 qr.dll - 截屏功能
- 周期性截取屏幕画面
- 保存路径:C:\Users\Public\
- 技术问题:GdiplusStartup函数异常导致截屏功能失效
3.3.2 Crash.exe - 白加黑加载
- 实际为飞火壁纸安装包中的CrashReporter.exe
- 运行后加载同目录libcurl.dll文件
3.3.3 libcurl.dll - 核心恶意功能
反检测技术:
- 篡改内存中ntdll.dll模块链表记录
- 绕过安全机制,隐藏自身存在
键盘记录功能:
- 安装WH_KEYBOARD_LL钩子
- 记录数据保存路径:C:\Users\Public\keylog\keylog.txt
内存加载技术:
- 读取Crash.ini文件内容
- 文件头包含Winos木马配置信息
- 将文件内容倒置后解析为shellcode加载
四、防御检测建议
4.1 检测指标
网络IoC:
- C2地址:yyexnew.s3.ap-northeast-2.amazonaws.com
文件检测特征:
- Virbox Protector加壳特征
- 特定数字签名:威海市明骏信息科技有限公司
- 异常文件释放行为(%APPDATA%\Crash目录)
4.2 行为检测
- 异常计划任务创建(MicrosoftEdgeUpdate_*)
- 键盘记录钩子安装
- 内存中PE文件加载行为
- 异常网络连接模式
4.3 防护措施
- 监控数字签名异常使用
- 加强沙箱检测能力
- 实施行为监控和内存保护
- 建立完善的应急响应机制
五、总结
金眼狗组织通过多层技术叠加实现有效攻击,包括加壳保护、白加黑技术、内存加载和持久化机制。防御方需要从多个层面建立检测和防护体系,重点关注异常行为模式和内存操作特征。