借助碼云，仿冒微軟，回連某電視臺網站的RT樣本分析

概述

借助代碼托管平臺（如Github）或文件共享平臺托管后續惡意軟件，已成為當前網絡攻擊者繞過網絡檢測的一種常用手段。在最近的威脅狩獵過程中，紅雨滴云沙箱也捕獲到幾例利用國內代碼托管平臺Gitee（碼云）分發惡意軟件的攻擊樣本，并且攻擊者將自身Gitee平臺的用戶名與代碼倉庫名稱偽裝為微軟相關工具，以迷惑受害者。經過進一步分析發現，這些樣本通信的C2域名屬于某地電視臺，疑似該電視臺網站被攻擊者控制。

相關樣本信息

近期，紅雨滴云沙箱狩獵流程監控到大量RT木馬樣本,攻擊者使用的手段多種多樣，惡意軟件使用語言除了常規的C/C++/C#外，還包括Go、Rust、Python、Nim等語言,同時我們也注意到有攻擊者通過代碼托管平臺分發后續惡意軟件。

紅雨滴云沙箱捕獲的這類相關惡意樣本包括：“李**-**大學-研究生-Li **- ** University - graduate student.exe ”，“[應聘]劉**-**大學-研究生.exe ”等。這兩個以個人簡歷命名的攻擊樣本由C#編寫，樣本運行后會執行一段Powershell代碼，向代碼托管平臺Gitee請求后續載荷。

Gitee（碼云）為國內知名代碼托管平臺，同Github一樣，用戶可以在上面創建代碼倉庫。

攻擊者創建的Gitee賬戶名稱為”Microsoft_windows_tools”，通過賬戶名稱和頭像偽裝成微軟，以迷惑受害者。

使用紅雨滴云沙箱分析樣本

通過訪問紅雨滴云沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page） 使用沙箱進行輔助分析。

紅雨滴云沙箱分析入口

上傳分析完成后，通過概要信息可看到該樣本的基本信息：包括hash、文件類型、文件大小等。可見紅雨滴云沙箱基于智能的惡意行為綜合判斷已經識別出文件可疑并給出了10分的惡意評分，通過概要信息的文件信譽檢測信息可見樣本已被云端打上了惡意標簽。

紅雨滴云沙箱提供Restful API接口，可將深度惡意文件檢查能力集成到企業安全運營系統或安全廠商產品中，進行惡意文件檢測。通過點擊導航欄的AV引擎可以看到樣本的殺軟引擎檢測結果。

點擊右側導航欄的深度解析功能，PE文件信息部分顯示該樣本由C#編寫。

沙箱報告的行為異常部分顯示樣本會通過HTTP請求從Gitee用戶Microsoft_windows_tools的Windows_Updates和Defender_security兩個倉庫中獲取文件。

查看紅雨滴云沙箱主機行為的進程信息，可以看到樣本會執行命令行命令，設置指定文件和目錄的文件屬性為系統隱藏，被修改文件屬性的目錄路徑為” C:\Users\Public\Windows Defender\”和“C:\Users\Public\Windows Update\”。

網絡行為顯示樣本會向Gitee平臺發送可疑HTTP請求，獲取一系列exe和dll文件。在請求的URL中，攻擊者將用戶名和代碼倉庫名偽裝為微軟相關，極具迷惑性。

在另一個同源樣本沙箱報告的釋放文件部分，可以看到樣本將下載的文件保存在設置為隱藏屬性的目錄中。

經過沙箱輔助分析，解讀分析報告后，我們對該樣本的整體行為有了初步了解：樣本運行后會從攻擊者創建的代碼倉庫中請求后續惡意軟件，代碼倉庫的URL和保存文件目錄均偽裝為與微軟相關，以迷惑受害者，并且樣本將保存后續載荷的文件目錄屬性設置為系統隱藏，增加了隱蔽性。

詳細分析

通過分析發現，該樣本為使用SAPIEN Script Packager 工具對PowerShell 腳本進行打包生成的C# 程序。

樣本所含的Powershell腳本如下。

該腳本在執行后會去以下地址下載后續文件，這些文件托管在上述提到的偽造為微軟工具包的Gitee 倉庫中。

其中ConfigSecurityPolic.exe 和Windows.Update.exe 為惡意木馬，且同樣為使用SAPIEN Script Packager 打包PowerShell 腳本生成的C# 樣本。Powershell代碼會為這兩個文件創建偽造成系統服務的定時任務。

接著分析這兩個后續文件，由于這里實際上只啟動了偽造為Windows Update 更新的任務，且這兩個后續樣本功能相似，因此以Windows.Update.exe 樣本為例進行分析。同樣提取出其中的PowerShell 腳本。

這段Powershell代碼通過base64解碼和異或處理得到shellcode ，然后調用VirtualAlloc開辟內存并寫入shellcode 執行。

該段shellcode 會去請求hxxps://post.i.api.***tv.cn/themes/default/js/jquery-3.3.2.slim.min.js 獲取后續載荷，并將其寫入分配的內存中執行。

下載回來的后續為Cobalt Strike生成的木馬，C2 為hxxps://post.i.api.***tv.cn/bilibilibilibili

C2域名post.i.api.***tv.cn經過查詢后發現關聯到某地電視臺的域名www.***tv.cn，疑似該電視臺網站被攻擊者控制。

通過瀏覽器訪問C2相關的主域名www.***tv.cn可以看到是某地電視臺主頁。

部分IOC信息

MD5:

333d84212ab88f09464b897809927ed8

b378e68580d946088d0d7db11fb4fc5a

URL:

hxxps://gitee.com/Microsoft_windows_tools/Defender_security/

hxxps://gitee.com/Microsoft_windows_tools/Windows_Updates/

C2:

post.i.api.***tv.cn（主域名***tv.cn是屬于某廣播電視臺的正常域名，疑似被攻擊者控制）