事件背景

AT&T Alien Labs 最近披露了一场历时 11 个月 攻击活动。攻击者采用钓鱼页面传递初始 文件，涉及 300 多个样本和 100 多个域名。这次攻击选择目标经过仔细挑选，其中包括美国关键基础设施管理者。为了规避检测，加载器使用了大量混淆和反沙箱技术，同时 DGA 域每周更新一次。值得注意的是，攻击仍在持续进行中，不断有新的域和 样本注册。

是 2019 年发布的开源远程访问工具，可被用作远程访问特洛伊（RAT）。攻击过程包括通过恶意钓鱼网页传递 文件，利用多层混淆和反分析技术。攻击者还灵活使用反沙箱技术，通过计算受害者虚拟机概率，巧妙规遍各个受害者，成功逃避检测。最终，脚本执行下载 客户端。

总体而言，这场攻击呈现出精心策划、持续时间长、具有高度混淆和反分析技术的异步远程访问工具活动。攻击者通过选择特定目标、采用反沙箱技术和使用动态域名生成器，成功地更新网络基础设施，从而有效地逃避了检测。

工具的识别

安装 需要.Net （客户端）和 v4.6+（服务器）才能运行。

运行程序启动开始需要自定义生成证书名称，默认证书名称为" "。

启动后默认开启端口6606、7707、8808。

通过默认证书资产测绘可以100%识别，但大多数有经验的攻击者不会使用默认证书，会进行自定义修改。

默认证书微步资产测绘查询语法：cert.=" " || cert.=" "。

相关检索：953包含独立IP：554条，如下图：

仅通过证书只能识别部分未改变默认证书名称的C2，因此可以深入源码分析木马工具与C2的交互来识别更多有效的资产数据。分析工具客户端与服务端的交互，我们可以通过相关代码构建自己的扫描识别方式，相关部分代码如下：

通过全网主动扫描进一步确认的方式我们还发现大量自签名的证书信息，其证书的使用者名称包括如： Edge 、 Inc、Orcus 、Mini 、等等。

总结：基于以上对工具代码的深度解析和研究，我们使用的模拟发包校验识别技术准确度为100%，识别数量也比基于单纯的证书的数据丰富很多。

情报拓线

针对已经发现的 C2工具数据集我们分析师进行了详细分析，其中发现一个的测绘资产数据的IP上同时开放了443端口，进一步判断该网站为“搜狗”的克隆网站，如下图：

根据该克隆站点的title特征，微步资产测绘查询语法为：title=="综合导航网"，在最近的数据中我们又发现了6个在美国加州的资产，如下图信息：

其中198.2.204.74、198.2.204.77与198.2.204.76在同一个C段同时也是 C2工具。

观察证书数据分析发现他们具有共同的证书名称：

通过该证书我们利用微步Graph进一步又拓线出与之相关联的10个相关C2资产，其中部分数据为历史数据最近的结果已经失效，查询结果如下：

同时在微步资产测绘上的查询语法为：cert.=""

通过Graph数据分析进一步发现另一个证书使用者为*.

发现这类C2服务器也经常使用过该证书，如下图发现了4个IP交集：

该证书绑定了63个IP，其中微步威胁情报大多数被标记为恶意情报，分析发现这批资产主要集中在美国、韩国和中国香港，结合微步情报社区域名解析发现这些新IP地址存在大批量的域名解析行为，如下图：

其中大部分IP都存在大批量的域名解析行为，如下图：

结合微步攻击画像数据，其中部分主机还存在对外扫描攻击的行为，如下图：

根据上面的分析我们发现这批”*.”组织，微步资产测绘查询语法：cert.="*."

根据上面198.2.204.76的Graph查询结果，我们注意到另一个证书的使用者为，如下图：

访问该域名的网站信息为一个赌博色情站点，如下图：

综上通过这批资产的Graph拓线，我们发现使用 C2工具的其中一个“组织”在从事一些黑灰产活动，该工具可能是该组织对外进行扫描后获取主机权限再进行黑灰产活动的基础设施机器。

总结：通过对 C2资产的情报拓线，我们不仅发现了新的证书特征数据，以及可能存在的利用该工具进行批量安装部署的团伙组织，这些团伙组织也在从事黑灰产活动。

归因及溯源分析

本文通过 AT&T Alien Labs 最近披露的一场历时 11 个月 攻击活动，针对 进行了深入研究。介绍了 安装方法与使用流程，首先使用默认证书识别测绘数据中C2，然后深入分析源代码，解析了整个交互流程与编码并自己构建数据包与C2进行识别，情报准确性率达到100%。接着针对其中一个IOC进行情报拓线，使用微步测绘数据完成了对一个黑产团伙的全部基础设施情报挖掘。

附录-IOC

网安人不容错过的年度盛会——CSOP 2024 正在火热报名中，只有干货，席位紧俏。扫码立即报名北京站大会↓↓↓

- END -