7.24 每日情报总结 | 2023年磐石行动 - 新鲜讯息

截至2023年7月24日，微步情报局助力磐石行动，发布已验证的重要 IP 情报 38 条，样本情报 24 条，典型样本分析 4 篇。

IP 情报

IP	攻击类型
106.54.221.154	漏洞利用
121.23.165.119	漏洞利用
27.115.124.114	漏洞利用
43.139.101.135	资产扫描行为
47.103.90.171	漏洞利用
47.108.75.166	漏洞利用
58.215.103.138	漏洞利用
61.171.75.66	漏洞利用
47.110.130.51	扫描行为
183.195.11.126	漏洞利用
119.45.155.136	漏洞利用
118.195.140.207	漏洞利用
146.56.213.200	漏洞利用
119.45.94.138	漏洞利用
129.211.191.226	漏洞利用
45.40.228.19	扫描行为
47.103.112.90	扫描行为
182.150.1.62	漏洞利用
124.222.236.52	漏洞利用
120.232.252.13	漏洞利用
125.120.116.97	漏洞利用
122.140.133.7	漏洞利用
113.239.243.106	漏洞利用
61.75.17.124	漏洞利用
113.207.1.119	Webshell探测
123.56.12.58	扫描
47.94.213.58	扫描
59.110.142.90	扫描
47.103.53.10	漏洞利用
39.107.82.214	漏洞利用
39.105.20.100	漏洞利用
124.70.155.3	漏洞利用
219.152.95.122	漏洞利用
39.103.165.178	漏洞利用
47.108.195.168	漏洞利用
61.130.197.38	漏洞利用
111.230.252.149	扫描
39.107.254.181	扫描、漏洞利用

通用处置建议：如发现以上IP访问，建议加强关注或采取封禁措施。

样本情报

如内部发现以下恶意样本，建议加强关注并及时排查。

警惕不明来源文件，不随意点击任何可疑链接和文件，如需打开，建议先使用微步云沙箱（https://s.threatbook.com/）进行分析检测。

典型样本分析

（1）wwlib.dll样本分析

所分析样本：wwlib.dll

病毒家族：CS

攻击和危害定性：后门远控

连接地址：eln.meizu.com（cdn）

静态信息：

SHA256	33f1334eff4480923e02015f9e1c7e2e62d8b32b3723f23ba63869ed3412c6a4
SHA1	ba023f40ee75817c890b98a4242377af9041ff99
MD5	5d9599c9f16d651221cee9ea0746d846
样本大小	244.51KB
样本格式	DLLx86

详细功能：

1. 调用该样本的文件是白文件，有微软的签名。

2. 样本解密恶意shellcode，创建线程进行调用。

3. 加载的shellcode为CS后门。

4. 样本连接地址：eln.meizu.com，通信方式使用域前置。

（2）libwim-15.dll样本分析

样本名称：libwim-15.dll

病毒家族：下载器

攻击和危害定性：下载恶意代码

连接地址：cos.ap-nanjing.myqcloud.com

静态信息：

SHA256	a29c82af71d80efc96483676e2b647c8124a6b4cd7e937e0c76f5dad21fb761f
SHA1	3545ba6a97370aabdd45f94aa14102f5411a5252
MD5	c8ff38a1020f2c2778b763285a5934bd
样本大小	288.50KB
样本格式	DLLx64

详细功能：
1. 样本会事先创建两个纤程，用于处理下载的数据。

2. 随后样本进行链接下载。下载地址为：
cos.ap-nanjing.myqcloud.com（地址失效，无法得知下载数据）

3. 样本会对下载的数据进行解密。

4. 样本调度纤程对解密后的数据进行调用执行。

（3）**公司业务招待管理规定样本分析

样本名称：**公司业务招待管理规定⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ .exe

病毒家族：后门木马

攻击和危害定性：后门远控

连接地址：service-ogf120ck-1300456157.nj.apigw.tencentcs.com

静态信息：

SHA256	6b38c58e21514e600cbcbda241d7bfd7ca125e94b086376fb612ba2962a4eb18
SHA1	b5d049db1d50916a0ca6de2467aab710f7ea7380
MD5	4dac07b031c3db62920f3c653aae026e
样本大小	8.78MB
样本格式	EXEx64

详细功能：

1. 样本是golang编写，样本将符号信息进行混淆。

2.样本内置一个特定时间，根据当前时间计算时间差，如果时间差超出设定范围，就会直接退出。

3.样本进行C2连接，连接地址：

service-ogf120ck-1300456157.nj.apigw.tencentcs.com

相关url：

https://service-ogf120ck-1300456157.nj.apigw.tencentcs.com/IMXO

https://service-ogf120ck-1300456157.nj.apigw.tencentcs.com/www/handle/doc

（4）xmu.com 样本分析

样本名称：xmu.com

病毒家族：CS木马

攻击和危害定性：高危，经分析样本为HW攻击队投递的样本，其具备远程控制和后门功能，当运行该样本后，攻击者便可控制当前主机的控制权。

C2: 123.125.16.228:80

静态信息：

SHA256	3fdeddc9561a7e9db358f815379cdd77a62715039d9fb03cf45bddee21f52e2f
SHA1	1498d7051ae1b0c38eeb391da1dc1aceb35da9a3
MD5	8c4f0654f95f4b48751b3e886c496411
样本大小	18.44MB
样本格式	EXEx64

详细功能：

1. 样本内记录一段base64编码的数据。样本解码这段数据，这段数据是一个PE文件。之后使用GoPeLoader将这个PE文件在内存中加载。

2. 解密出的PE文件哈希：

bb4e1d7f71e4cda7d524b5bd095a19271c0c284d2045c21bc5bb0e31252a23f7

该文件是CS木马。

CS配置信息如下：

3. 随后样本执行iris框架。该项目github地址：https://github.com/kataras/iris。

4. 在iris框架样本设置Get和Post请求，可进行上传下载数据。本地监听端口8080。

行动建议-安全加固

1. 及时更新系统/应用程序补丁或版本；

2. 加强内部员工网络安全意识，加强用户登录密码，禁止使用弱口令密码，防范钓鱼邮件；

3. 建立办公软件库，严格把控第三方软件下载渠道；

4. 及时排查威胁检测设备告警，及时处置相关威胁。

微步情报局

微步情报局，即微步在线研究响应中心，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

微步样本分析服务

随着数字化发展和攻防态势不断升级，恶意软件也呈指数级增长，变种及对抗手法层出不穷，传统单一检测纬度已经难以应对。导致企业在安全运营过程中时常遇到疑似恶意样本无法界定或已知恶意样本不知其功能等问题。

为解决上述问题，微步在线提供了专业的样本分析服务，将云沙箱产品S与专业的样本分析师团队结合，对可疑文件进行快速黑白鉴定、恶意功能分析、团伙归因定性。将安全分析能力转化为可见的安全处置能力，先后提供专业的紧急处置建议和完整分析报告，帮助企业对恶意样本进行快速阻断、完全清除，深入了解恶意软件所具备的恶意功能，并对恶意样本进行关联拓线和团伙归属等深度溯源分析，使企业不仅知威胁、更懂威胁。