【观成科技】活跃黑产团伙“黑猫”攻击武器加密通信分析

最新推荐文章于 2025-12-13 19:38:49 发布
原创 最新推荐文章于 2025-12-13 19:38:49 发布 · 1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #科技 #信息与通信

  • 概述

“黑猫”黑产团伙通过仿冒热门软件的官方网站,结合SEO优化和竞价排名将钓鱼页面推至搜索引擎前列,诱骗用户下载并运行捆绑远控木马的恶意安装包,从而实现大规模自动化传播和攻击。本次分析的样本伪装成常见的代理工具 Clash for Windows,执行后释放并加载恶意组件,进一步利用“白加黑”技术绕过安全防护机制,最终在内存中解密执行远控木马。该木马(命名为“ZlibB远控木马”)采用TCP自定义协议与C&C服务器通信,传输数据经zlib压缩后添加固定标识符与长度标头,构成完整通信报文。ZlibB远控木马具备远程控制、信息窃取等功能,对企业网络安全构成严重威胁。

  • 样本行为分析

1 样本信息

文件名

clashx64.exe

文件Hash

ca3639aecca8171099b9f30256317687b7bf70d2

C&C服务器

golomee.com/27.124.37.8

clashx64.exe运行后会在C:\Clash for Windows_11.20目录下释放相关文件,在res子文件夹下存放恶意程序,同时在桌面创建Clash for Windows快捷方式,指向的目标为res文件夹下的Facation.exe。

1 释放恶意组件

Facation.exe运行后会加载恶意的 libcef.dll,并读取同目录下的 Facation.btu56 文件内容,使用 RC4 算法(密钥:HTUY3a9PK3t1aFgaBSG)解密出后续执行的 Shellcode。

2 解密shellcode

Shellcode是一个DLL 文件,采用内存加载方式执行其功能是向注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 中添加一个名为 FacationFacation 的自启动项,指向路径 C:\Clash for Windows_11.20\res\Facation.exe,以实现持久化,并与攻击者C2服务器进行通信。

3 设置自启动项

  • 通信分析
  1. 通信数据包分析

样本使用TCP 自定义协议通信,传输的数据遵循特定格式,具体结构如下:

4 通信数据包结构

  1. 固定标识符(4字节):10 0D;
  2. 校验和(4字节):原始数据长度值和压缩数据的字节校验和,采用小端序存储。示例:校验和为0xA2F时,存储为2F 0A 00 00;
  3. 数据长度(4字节):后续内容数据长度,采用大端序存储。示例:长度为0x1C时,存储为:00 00 00 1C。
    1. 原始数据长度(4字节):压缩前数据长度,采用小端序存储。示例:若原始Unicode字符串长度为0x16字节,存储为:16 00 00 00;
    2. Zlib压缩数据(可变长度):原始数据经 zlib Best Compression(最高压缩级别)压缩后的内容,其起始标志为 78 DA(zlib 默认压缩头,表示使用 Deflate 算法 + 默认字典 + 高压缩率)。
  • 上线包

上线数据包内容如图所示,经 Zlib 解压后得到的数据为:1|manager。其中,1为上线包标识符,|为拼接字符, manager为程序中硬编码的固定内容。

5 上线包

  • 心跳包

心跳数据包内容如图所示,经Zlib解压后得到的数据为:5|。其中,5为心跳包标识符,|为拼接字符。

6 心跳包

2.控制指令包

控制指令的下发与对应数据回传内容如图所示,服务器向客户端发送控制指令“2|***”,客户端接收到控制指令后收集系统信息压缩并上传给服务器。

7 控制指令下发与数据回传

8 解压缩后的数据 

2.1控制指令展示

指令分发逻辑如下,共支持 275 种指令码。

 

9 指令分发

部分指令及其功能如表2所示。

2 部分控制指令功能

指令码

功能

2

将当前系统时间、用户名、系统版本等信息以 $ 符号拼接,附加于 2| 之后,作为主机信息上报至 C2 服务器

……

……

261

木马启用剪贴板监控功能,当检测到虚拟货币地址时,自动替换为攻击者控制的地址,以实施资金劫持

263

键盘记录、USB设备文件窃取和进程注入等功能

271

添加 Windows Defender 排除项

273

禁用UAC

274

禁用系统Internet代理设置

  • 产品检测

观成瞰云(ENS)-加密威胁智能检测系统能够基于通信特征对“黑猫”黑产团伙的ZlibB远控木马进行有效检出。

10检测结果

  • 总结

“黑猫”黑产团伙在恶意样本的传播方式上与“银狐”类似,均通过SEO优化手段提升钓鱼页面在搜索引擎中的排名,诱导用户点击并下载木马程序。“黑猫”的木马采用了反调试、反沙箱等技术,以对抗安全分析环境,避免其关键恶意行为被检测。在网络流量层面,木马使用TCP自定义协议进行通信,传输数据经zlib压缩,流量中可见固定字符串,压缩数据亦包含固定标识头,特征相对明显,易于被检测系统识别。观成科技安全研究团队将持续追踪“黑猫”黑产团伙的动态,并及时更新相应检测策略,提升对该组织攻击活动的防护能力。

  1. IoC

IP

27.124.37.8

文件Hash

ca3639aecca8171099b9f30256317687b7bf70d2

Domain

golomee.com

  • 参考链接
  1. 新黑产团伙“黑猫”技术细节曝光

https://mp.weixin.qq.com/s/fvAqqKiDddeY_qibULT3Rg

GCKJ_0824
关注
【红队利器】——某团伙的IIS内存马源码
4SecNet团队专栏
02-22 516
近期,我们追踪了某团伙的一起攻击活动,发现该团伙有能力劫持IIS服务器上的所有请求,并针对特定请求伪造特殊返回包,从而实现流量劫持、命令执行、帽SEO等功能。我们定位到该团伙通过IIS流量劫持的模块开发技术实现了全局HTTP流量劫持。目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台,为大家创建一个技术交流的渠道,欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。✅。
2018年网站攻击态势及“攻击团伙”挖掘分析报告.pdf
07-09
2018年网站攻击态势及“攻击团伙”挖掘分析报告,由国家计算机网络应急技术处理协调中心(CNCERT/CC)在2019年3月发布,重点分析了2018年网站攻击的态势以及网络攻击团伙的特点。报告从攻击源和被攻击端的角度,对...
科技:银狐新木马加密通信分析
GCKJ_0824的博客
06-25 756
摘要:"银狐"木马近期升级通信加密方式,采用AES-256-GCM算法增强隐蔽性。该木马攻击分两阶段:下载阶段维持原有TCP协议和异或加密;远控阶段升级为带认证标签的高级加密模式,有效保障通信机密性和完整性。研究显示团伙持续优化流量隐藏技术,增加了检测难度。安全通过多维度检测方案实现对新型加密威胁的有效识别。
黑猫”又伸出恶魔之手?解析BlackCat勒索病毒的三重勒索
wangluo12138的博客
01-31 1945
BlackCat 是第一个广为人知的用 Rust编写的勒索病毒
记一次团伙黑猫远控恶意程序应急响应
sudamasami的博客
10-15 2230
某客户网络检测到恶意域名sbido.com的DNS查询记录,溯源发现外包人员主机下载了伪装Notepad++的恶意压缩包(NoteplusV2.0.25.0910.zip)。该压缩包释放M9OLUM4P.exe和libcef.dll文件,通过DLL劫持技术篡改系统记事本程序,实现持久化攻击。9月30日恶意程序首次执行后,向恶意域名发起网络连接进行C2通信。经分析攻击载体可能通过非官方渠道传播,暂未发现业务数据泄露。处置措施包括主机隔离、全盘查杀及威胁情报分析
WINRAR进行程序打包为EXE文件
树袋熊的博客
02-29 1808
WINRAR进行程序打包为EXE文件方法: 需要打包的文件路径 1.        D:\MYOA\webroot\general\outgoing\out_count\view\vacation\index.php 2.        D:\MYOA\webroot\general\outgoing\out_count\view\vacation\get_search.php 3
FanControl更新器详解:自动保持最新版本
gitblog_00375的博客
09-08 306
你是否还在为错过FanControl关键更新而烦恼?作为一款高度可定制的Windows风扇控制软件,FanControl的版本迭代往往带来重要的兼容性修复和功能增强。本文将系统剖析FanControl更新器(Updater.exe)的工作机制,带你掌握自动更新配置技巧,确保软件始终运行在最佳状态。**读完本文你将获得**:版本管理全流程指南、自动更新零接触配置、更新故障诊断方案、安全校验实践方法。...
网络安全中的远程控制活动检测防御策略
weixin_42515842的博客
05-18 1102
随着信息技术的飞速发展,远程控制技术已经为IT管理中不可或缺的一部分。它不仅提升了工作效率,还实现了跨时空的资源共享。然而,随之而来的安全风险也日益凸显,引发我们对远程控制技术的深入探讨和认识。在本章中,我们将首先对远程控制技术进行概述,包括其发展历程、主要应用场景以及网络环境的交互关系。我们会了解到远程控制技术如何在企业IT基础设施中发挥作用,并带来便利的同时,也引入了潜在的风险。此外,本章还将简要介绍远程控制技术的基本原理,为后续章节深入讨论远程控制技术的潜在安全问题打下基础。
“暗蚊”团伙通过国内下载站传播Mac远控木马攻击活动分析
2401_84466361的博客
06-17 1462
近期,安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,并深入分析攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。此下载站目前可下载数十个破解软件,其中五款运维工具包含恶意文件,这五款运维工具集中在服务运维工具分类中,安天CERT判断该事件针对的目标为国内IT运维人员。
”在做什么数据分析.pdf
08-08
陈杨轲,ID为Zer0ne,作为广州凌晨网络科技有限公司的CIO及"夜莺"反小组负责人,揭示了数据分析的内幕。 首先,""现状日益严峻。过去,获取的第一手信息可能依赖于线人或者卧底,但现在,这种手段...
奇安信:金相狐团伙:AI人脸识别诈骗敲响金融安全警钟.pdf
05-15
### 奇安信报告解析:金相狐团伙利用AI人脸识别技术实施金融诈骗 #### 一、背景介绍 近年来,随着人工智能技术的发展,尤其是人脸识别技术的进步普及,其在金融领域的应用越来越广泛。然而,这也为网络犯罪...
高位视角下的网络攻击团伙发现追踪方法探讨.pdf
08-10
高位视角下的网络攻击团伙...近几年来,国家互联网应急中心在高位视角下,尝试对全域海量攻击事件进行综合关联分析,发现其中的团伙攻击行为,并实现对攻击团伙的长期持续追踪。 思路分享 团伙态势 案例分享 下一步工作
交换机ACL防火墙的区别
imtech的博客
12-11 1017
对比维度交换机 ACL防火墙核心机制无状态逐包匹配(五元组 / 端口 / VLAN)状态检测(会话表 + 安全策略)处理层级L2-L4 层L3-L7 层性能表现硬件加速,低延迟、高线速硬件款低延迟,软件款性能一般,复杂规则损耗大功能范围仅简单访问控制访问控制 + 安全防护 + 高级功能(NAT/VPN/IDS)控制方向双向阻断(默认),需手动配置反向规则单向阻断,响应包自动放行适用场景局域网内分段隔离(高带宽、低延迟需求)网络边界防护(深度安全、复杂策略需求)
Kamailio usrloc 细节测试
fs交流的博客
12-11 155
版本 kamailio 5.7.xIP 地址 192.168.43.68窥视 usrloc 细节,重点是内存跟数据库的同步慢慢测试,慢慢写。
Kamailio的学习
2301_79965178的博客
12-12 595
摘要:本文详细介绍了Kamailio SIP服务器的架构配置。Kamailio是一款支持高并发、多协议的高性能SIP服务器,采用模块化设计,包含150多个功能模块。文章从配置文件结构(全局参数、模块设置、路由区块)入手,深入解析其多进程模型、Epoll多路复用机制、共享内存和锁定系统等底层实现。重点阐述了Kamailio处理SIP消息的完整流程,包括请求/响应处理、进程间通信等核心机制,并展示了通过kamcmd命令查看进程状态的实践示例。
Netty(7)如何实现基于Netty的TCP客户端和服务器?
最新发布
qq_43012298的博客
12-13 338
本文介绍了使用Netty框架实现TCP客户端和服务器的基本方法。服务器端通过ServerBootstrap配置NioEventLoopGroup、NioServerSocketChannel和字符串编解码器,绑定指定端口启动服务;客户端通过Bootstrap设置NioEventLoopGroup、NioSocketChannel和编解码器,连接服务器主机和端口。两者都需要自定义ServerHandler和ClientHandler来实现业务逻辑处理。代码展示了Netty网络编程的基本结构和配置方式,为开发T
VPP中ARP实现第三章:ARP模块详解
clearhenry的博客
12-09 754
本章介绍ARP模块的整体定位、功能和特性,为后续深入分析奠定基础。ARP模块是VPP网络栈中连接L2(以太网)和L3(IP)的关键桥梁,负责将IP地址解析为MAC地址,使得IP数据包能够在以太网上正确传输。ARP_ERROR_REPLIES_SENT, // 已发送响应(正常情况)ARP_ERROR_DISABLED, // ARP已禁用ARP_ERROR_L2_TYPE_NOT_ETHERNET, // L2类型不是以太网。
科技:Zloader木马家族加密流量分析
GCKJ_0824的博客
12-12 719
摘要:Zloader木马最初作为银行木马Zeus的下载器,现被广泛用于勒索软件投递。其采用多种加密通信技术规避检测:1)DGA技术生随机域名;2)DNS隧道隐藏数据;3)HTTPS加密通信;4)Websocket掩码加密。最新版本通过会话密钥强化DNS隧道加密科技利用AI模型结合TLS指纹检测HTTPS加密流量,持续通过行为分析和机器学习应对加密威胁。研究表明,恶意软件正不断升级流量对抗技术,凸显加密流量检测的重要性。(149字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值