针对FinGhost黑产组织攻击样本的详细分析
熊猫正正 发表于 广东 历史精选 3570浏览 · 2024-02-16 14:47

概述

FinGhost组织是一个专业从事黑灰产的攻击组织,该攻击组织此前主要针对金融从业者,利用钓鱼网站、社工、间谍软件以及各种最新的热点事件捆绑病毒文件,然后诱导用户点击安装病毒文件,从而实现远控肉鸡控制。

笔者对该组织进行跟踪,捕获到该组织的攻击样本,并对该样本进行详细分析,该组织正处于发展阶段,通过肉鸡控制大量主机,从而进行网络违法犯罪活动。

详细分析

1.捕获到的样本时间戳为2023年4月12日,如下所示:

2.解密样本中硬编码数据段中的加密数据,如下所示:

3.解密之后,如下所示:

4.在内存中分配空间,将解密的数据,传入到分配的内存空间中,如下所示:

5.然后跳转到解密数据执行,如下所示:

6.执行解密出来的恶意Payload的Shellex函数,如下所示:

7.将文件拷贝到C:\Windows目录,如下所示:

8.设置相关的注册表项,如下所示:

9.创建一个自启动服务,服务名为程序名,参数为-auto,并启动服务,如下所示:

10.创建完成之后的服务项,如下所示:

11.解密远程C2服务器IP:45.195..,如下所示:

12.遍历进程获取一些常用安全软件信息,如下所示:

13.连接远程服务器,返回相应的执行指定,如下所示:

14.拷贝自身到C:\Program Files\Common Files\scvhost.exe,并设置自启动项,如下所示:

15.从远程服务器下载Mimikatz,获取主机登录密码,如下所示:

16.截屏桌面屏幕信息、鼠标记录、获取和设置剪切版信息、获取桌面相关信息等,如下所示:

17.获取键盘记录,如下所示:

18.通过调用QQ接口API,获取登录的QQ帐号的相关信息,如下所示:

19.远控监听,开启3389远控连接等功能,如下所示:

20.该木马为Gh0st远控变种样本,功能非常强大,就不一一列举了,如下所示:

总结

最近一两年黑产团伙非常活跃,主要通过钓鱼攻击的方式对受害者进行攻击,然后再安装远控后门,控制受害者主机,然后再进行相关的网络犯罪活动,需要持续关注。

0 条评论
某人
表情
可输入 255
目录