偽裝“黑神話悟空修改器”傳播木馬的活動(dòng)分析

標(biāo)簽：長(zhǎng)沙網(wǎng)站建設(shè) 長(zhǎng)沙軟件開(kāi)發(fā) 長(zhǎng)沙網(wǎng)絡(luò)公司 2024-09-26　次

1 概述

近日，我們的網(wǎng)絡(luò)安全團(tuán)隊(duì)通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)發(fā)現(xiàn)利用“黑神話悟空修改器”傳播惡意代碼的活動(dòng)，攻擊者將自身的惡意代碼程序與《黑神話：悟空》第三方修改器“風(fēng)靈月影”捆綁在一起，再通過(guò)在社媒發(fā)布視頻等方式引流，誘導(dǎo)玩家下載。玩家一旦下載了帶有惡意代碼的修改器版本，在運(yùn)行修改器的同時(shí)，也將在后臺(tái)自動(dòng)運(yùn)行惡意代碼，導(dǎo)致計(jì)算機(jī)被控制，產(chǎn)生隱私泄露、經(jīng)濟(jì)損失等風(fēng)險(xiǎn)。

《黑神話：悟空》作為國(guó)產(chǎn)首款3A游戲大作，千萬(wàn)玩家在線狂歡，盡享盛宴。但玩家盡情在痛毆游戲中的BOSS（或被BOSS痛毆）的時(shí)候，也要小心網(wǎng)絡(luò)中的妖魔鬼怪、惡意代碼。祝玩家在游戲中都成為齊天大圣，在上網(wǎng)時(shí)也擦亮火眼金睛，穿上金甲戰(zhàn)衣。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡(jiǎn)稱IEP）可實(shí)現(xiàn)對(duì)捆綁的惡意代碼的有效查殺。

2 樣本傳播渠道

1.利用視頻圖文引流，攜帶惡意釣魚(yú)網(wǎng)址

攻擊者在視頻網(wǎng)站、博客等平臺(tái)發(fā)布視頻、圖文等格式釣魚(yú)內(nèi)容，并在其中附帶捆綁木馬的游戲修改器下載鏈接，誘導(dǎo)用戶下載并執(zhí)行惡意程序。

圖 2?1通過(guò)視頻網(wǎng)站引流釣魚(yú)網(wǎng)址

圖 2?2通過(guò)發(fā)帖引流釣魚(yú)網(wǎng)址

2.警惕利用閑魚(yú)、淘寶等購(gòu)物平臺(tái)傳播捆綁木馬

《黑神話：悟空》的大量“修改器”上架閑魚(yú)、淘寶平臺(tái)，售價(jià)在1~10元左右，這些修改器很多都標(biāo)注稱是“風(fēng)靈月影”，但實(shí)際上，該修改器均為完全免費(fèi)軟件，在風(fēng)靈月影的網(wǎng)站上就可免費(fèi)下載。攻擊者可能會(huì)將攜帶惡意代碼的《黑神話：悟空》修改器掛到購(gòu)物網(wǎng)站上引流，請(qǐng)廣大用戶謹(jǐn)慎購(gòu)買。

圖 2?3 閑魚(yú)、淘寶平臺(tái)售賣大量修改器

3 樣本分析

3.1樣本標(biāo)簽

表 3?1二進(jìn)制可執(zhí)行文件

病毒名稱	Trojan/Win32.PoolInject
原始文件名	黑神話悟空修改器.exe
MD5	2C00D2DA92600E70E7379BCAFF6D10B1
處理器架構(gòu)	Intel 386 or later, and compatibles
文件大小	6.88 MB (7,215,452 字節(jié))
文件格式	BinExecute/Microsoft.EXE[:X86]
時(shí)間戳	2022-12-14 13:40:00 UTC
數(shù)字簽名	無(wú)
加殼類型	無(wú)
編譯語(yǔ)言	Visual C/C++
VT首次上傳時(shí)間	2024-08-25 06:21:11 UTC
VT檢測(cè)結(jié)果	44/75

3.2樣本分析

樣本是一個(gè)Advanced Installer安裝包，執(zhí)行時(shí)會(huì)在桌面釋放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并執(zhí)行，該文件為正常修改器程序。另外還會(huì)啟動(dòng)msi文件的安裝。該安裝包可使用/extract參數(shù)解包。

圖 3?1樣本安裝包

msi文件設(shè)置了執(zhí)行條件，不支持虛擬機(jī)中運(yùn)行。

圖 3?2檢測(cè)虛擬機(jī)環(huán)境

其捆綁的惡意程序WindowsSandBoxC.exe存放在streams流中，會(huì)在運(yùn)行正常修改器后執(zhí)行。

圖 3?3安裝包內(nèi)嵌的惡意程序

樣本偽裝圖標(biāo)和數(shù)字簽名為Windows Sandbox組件，但與實(shí)際系統(tǒng)組件無(wú)關(guān)。

圖 3?4偽裝的圖標(biāo)和數(shù)字簽名

樣本使用ZeroMQ庫(kù)在進(jìn)程內(nèi)傳遞數(shù)據(jù)。攻擊者對(duì)樣本中的載荷下載地址中的符號(hào)進(jìn)行了替換，實(shí)際的載荷下載地址為https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相關(guān)地址為騰訊云對(duì)象存儲(chǔ)服務(wù)。

圖 3?5利用ZeroMQ進(jìn)行通信

相關(guān)下載代碼如下所示。

圖 3?6下載載荷

目前該載荷下載地址已失效，但通過(guò)情報(bào)關(guān)聯(lián)，可以發(fā)現(xiàn)其后續(xù)載荷還通過(guò)相同對(duì)象云存儲(chǔ)賬號(hào)下的多個(gè)位置下載了載荷。

圖 3?7關(guān)聯(lián)后續(xù)載荷

通過(guò)對(duì)其載荷下載地址中的騰訊云COS存儲(chǔ)桶ID進(jìn)行關(guān)聯(lián)搜索，可發(fā)現(xiàn)近期在該騰訊云存儲(chǔ)賬號(hào)中還出現(xiàn)過(guò)多次惡意載荷，包括與目前活躍的“游蛇”（又稱銀狐）組織相關(guān)的攻擊樣本。

此外還發(fā)現(xiàn)多個(gè)其他軟件被捆綁的樣本，他們的行為中包含下載多個(gè)云存儲(chǔ)文件，以及類似%ProgramFiles%\Adobe\