360日均阻斷逾千次，RustDog釣魚木馬愈演愈烈

RustDog釣魚木馬橫行

在剛剛過去的2023年上半年中，針對財務人員的RustDog釣魚木馬始終活動頻繁。而就在近期，360安全大腦再次監測到該釣魚木馬活躍度進一步提升——據360終端安全產品的大數據日志統計——360各類安全產品日均阻斷該木馬攻擊已達數千次。

RustDog釣魚木馬因其早期版本由Rust語言編寫而得名。其背后的團伙是一個專門針對企業員工發起釣魚攻擊的組織，該團伙一般以涉稅相關內容作為釣魚文件標題（如“2023減免企業及個人所得稅最新標準”）來迷惑潛在的攻擊目標，同時擅長利用powershell、cmstp等LOLBINs完成部分入侵功能。而一旦攻擊成功，攻擊者會在受害機器中植入遠控木馬，對受害用戶進行遠程控制并伺機竊取用戶數據。 

近期傳播愈發猖獗

最近，該團伙再次通過釣魚網頁、即使通訊工具、郵箱等傳播方式進行大范圍攻擊。攻擊者通過上述媒介構建的虛假頁面誘導用戶點擊釣魚鏈接，再通過連接跳轉至后門木馬的下載鏈接。一旦用戶中招，攻擊者便會通過后門木馬下發遠控程序，進而控制受害者的電腦。此外，攻擊者還會利用遠控木馬控制用戶的即時通訊軟件再次傳播木馬，對用戶造成極大的連帶損失。

圖1  攻擊者偽造的虛假“諾諾網”釣魚頁面 

近期傳播的該家族木馬名稱中時常有類似于“fapiao (1).zip”、“2023-07-07 清 單.rar”、“關于公司薪資調整通過相關部門審核.exe”等的字樣。同時，木馬在傳播對抗中也使用到了多款遠程控制工具——包括Gh0st遠控變種、修改版向日葵遠程協助工具和超級網控等，并在此基礎上頻繁的更新釣魚頁面。

圖2攻擊者偽造的虛假“國家稅務總局”釣魚頁面

樣本技術分析

下面以近期捕獲到的該家族木馬的其中一個為例，進行技術層面的分析：

樣本MD5：4b45026b5faeb8d744f0b141a5772fee

圖3  樣例樣本圖標

初始化及基本功能

木馬一經啟動，首先會完成一系列檢查與初始化。這之后，代碼會連接CC服務器：

43.132.194.41:1150

連接成功后，木馬會嘗試接收從該服務器中下放的payload內容并進行加載執行。執行后的payload會在內存中解密出一個dll文件——該dll則是一個具有完整功能的遠控木馬。而有趣的是，在該dll運行時，其代碼會檢測360Tray.exe進程是否存在——如果存在，則會彈一個應用程序錯誤的窗口，用于迷惑用戶。

圖4  檢測“360Tray.exe”的功能代碼

圖5  當檢測到360Tray.exe存在時彈出的迷惑彈窗

如果該程序在啟動時參數個數為1或者是帶有-Puppet字符串，則會把payload注入到notepad.exe或者explorer.exe進程

圖6  參數決定進程注入功能

此外，該樣本還會把自己復制到以下位置并將文件屬性為隱藏，同時在注冊表中將該路徑添加為自啟動項：

C:\ProgramData\rundl123.exe

主體控制功能

而到了具體的功能部分，該木馬首先會獲取用戶機器的基本信息信息——這其中包括操作系統信息、CPU信息、內存信息等，并把獲取的這些信息經過加密后發送到遠程機器上。

圖7  獲取用戶機器基本信息

遠控的控制通信也是經過了簡單加密的，而在分析人員對其進行解密之后可以看到該木馬所具備的控制功能均屬于比較常規的遠控指令。

圖8  遠控功能代碼 

表1  遠控控制功能

典型控制功能樣例分析

木馬通過0x83命令功能，首先會獲取temp目錄下”ldr”開頭的文件，然后復制向日葵配置文件到如下路徑中：

C:\ProgramData\Oray\SunloginClientLite

之后啟動向日葵遠控——利用這種替換配置的方法，就實現了對向日葵程序的控制。

圖9  利用部署自定義配置文件實現對向日葵軟件的控制

攻擊意圖

該團伙千方百計進行免殺傳播，并向財務相關人員的設備植入木馬，主要是為了竊取用戶隱私數據，進而為進一步的詐騙提供幫助。攻擊者不僅會通過一般的釣魚方式進行傳播，還會利用受害者的即時通信軟件來發送釣魚、欺詐類信息，政企單位應對此類事件提高警惕，防范該木馬的攻擊。

安全防護

360安全終端產品可攔截并查殺此類木馬，已安裝有360終端安全產品的用戶不必太過擔心。

圖10 360安全大腦攔截RustDog木馬

安全建議

l  安裝并確保開啟安全軟件，保證其對本機的安全防護。

l  對于安全軟件報毒的程序，不要輕易添加信任或退出安全軟件。

l  下載軟件、文件時，注意識別下載地址，謹防釣魚頁面，推薦使用帶有防釣魚功能的360安全瀏覽器進行訪問。

l  如果曾經運行過此類木馬或者懷疑設備已經中招，可以盡快使用360終端安全產品進行檢測查殺。 

IOCs（部分）

HASH

4b45026b5faeb8d744f0b141a5772fee

12880aa1bf0d2981c8d62322d8a58730

496427e5ce7a1ba83dcd520dbca357c1

e4300313c94c8b7a7ad9f347b94be810

e057ef7b0dd5ec18af600fd7b5add8a3

87287951799b09c207be8ace4d760548

IP:Port

43.132.194.41:1150

154.91.228.82:1150

38.47.220.97:1150

URL

hxxp://piaotongdd.top

hxxp://y8vv.cn/HmHPCh

hxxp://kgefbeewlgk.vip/HmvWMq

hxxp://yjndfvsfvsg.com.cn/Hmo9OB

hxxp://dianzifapiaoi.cn/HmEoBm