[2024]黑产组织伪造WindTerm工具官网投放白加黑远控后门 huoji APT,黑产 2024-04-13 198 次浏览 1 次点赞 ### 简介 戎码安全公众号发的那个图片太小了,图片也比较模糊,这边发一个偏重技术的并且配上高清图 原来的公众号地址: https://mp.weixin.qq.com/s/hxIih2bJ4lPUGjxJviEahA ### 虚假的官网 截至发文前,在搜索引擎搜索windterm(**无论是国内还是国外的**),极大概率首页前五是银狐伪造的官网windterm: ![](https://key08.com/usr/uploads/2024/04/787982916.png) 伪造的页面也基本是之前伪造的finalshell模板: ![](https://key08.com/usr/uploads/2024/04/562805419.png) 之前银狐组织伪造的finalshell官网: ![](https://key08.com/usr/uploads/2024/04/2133877828.png) ### 技术手法分析 样本静态对杀毒软件做了免杀处理,在VT上只有两个杀毒软件报毒: ![](https://key08.com/usr/uploads/2024/04/2890054232.png) 也做了足够多的混淆,静态估计搞不出啥来.这个时候动态分析的好处出来了,整个过程就用了五分钟,非常的舒服 ### 使用翼龙EDR进行分析 #### 执行 样本通过捆绑安装的方式传播,用户运行安装包后,会释放”qt.exe”到 C:\Users\%username%\AppData\Local\WindTerm\WindTerm_2.6.0\qt.exe ![](https://key08.com/usr/uploads/2024/04/2513705331.png) “qt.exe”会释放白加黑的文件”yourphone.exe”到 C:\ProgramData\Microsoft\ 目录 ![](https://key08.com/usr/uploads/2024/04/2618811682.png) Programdata目录的”yourphone.exe”会通过http下载payload并且放到 C:\ProgramData\{67E70800-8D3C-46aa-B7C4-68xv55w556CF}\{E459B5D3-B916-45f6-8656-9DxvA1w52A78}.exe ![](https://key08.com/usr/uploads/2024/04/1398277861.png) ![](https://key08.com/usr/uploads/2024/04/2341006868.png) #### 权限维持 Qt.exe通过资源管理器启动” C:\ProgramData\{67E70800-8D3C-46aa-B7C4-68xv55w556CF}\{E459B5D3-B916-45f6-8656-9DxvA1w52A78}.exe”,这个文件负责增加自启动实现持久化. **由于这两个是白文件,从而完成进程链断链实现链路全白的操作.因此不会被常规基于HIPS的安全设备拦截.** **这边通过explorer runshell断链,导致告警也断了,所以切换到edr的incident视角,全局视角汇聚了告警与进程信息从而实现断链修复.** ![](https://key08.com/usr/uploads/2024/04/3997504622.png) #### 防御绕过 在C:\ProgramData\{67E70800-8D3C-46aa-B7C4-68xv55w556CF}的yourphone.exe启动后,会使用内存反射加载技术,加载远控payload到内存中并且连接C2地址107[dot]148[dot]48[dot]225: 9990 ![](https://key08.com/usr/uploads/2024/04/1778541606.png) 实现上线与其他功能 ### ATT&CK热力图 ![](https://key08.com/usr/uploads/2024/04/1307267726.png) (这部分从AI报告截图的) ### IOC列表 windterm[.]net windterm[.]org 107[.]148[.]48[.]225:9990 4BF01520B41133585400E28A0B169783 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 1
还不快抢沙发