BaizeSec 2025-07-15 08:45 上海
安小圈
📧 **鱼叉式网络钓鱼:** 攻击者伪装成中国铁通内部员工,发送包含恶意软件的邮件,利用员工培训计划更新通知为诱饵,诱导受害者下载并运行恶意文件。
🔄 **DLL侧加载与恶意代码执行:** 攻击者利用DLL侧加载技术,将恶意DLL文件(VELETRIX)与合法软件放置在同一目录下,当用户运行合法软件时,恶意DLL被加载并执行。
🛡️ **反沙箱机制:** VELETRIX加载器内置多种反沙箱机制,包括进程、注册表、时间、文件系统和硬件指纹检查,以检测和规避沙箱环境,确保恶意代码在真实环境中运行。
🔑 **动态API加载与Shellcode加密:** 加载器采用动态API加载技术,避免静态链接,并使用Stack Strings技术混淆API调用;Shellcode则通过XOR加密存储,增加检测难度。
📡 **C&C通信与第二阶段Payload:** VELETRIX Shellcode通过TCP协议与C&C服务器通信,下载并执行第二阶段Payload,实现更复杂的恶意功能,如数据窃取。
BaizeSec 2025-07-15 08:45 上海
安小圈
一、事件背景概述
2025年7月2日,国外网络安全研究员0x0d4y发表了一篇题为《VELETRIX Loader解剖:中国电信基础设施定向攻击的杀伤链分析》的长文分析报告,系统披露了一场代号DragonClone的攻击活动。这场攻击活动的主角是一个被上述报告作者称为国内的威胁组织Earth Alux,攻击目标是中国移动旗下的中国铁通有限公司。结合目前国内现在正在进行的护网行动,初步判断这应该是护网行动的一部分,且红队攻击样本疑似被捕获分析。
二、攻击过程及技术分析
1. 鱼叉式网络钓鱼(Spearphishing)
攻击者通过鱼叉式网络钓鱼技术发起攻击,目标明确且高度定制化。攻击者伪装成中国铁通内部员工,发送了一封电子邮件,邮件主题设计为“员工培训计划更新通知”,与公司日常运营高度相关,旨在降低受害者的戒心。邮件正文声称附件包含一个名为“Recover.zip”的培训软件包,要求用户下载并安装以完成培训内容。
“Recover.zip”解压后包含多个文件,其中包括一个合法的Wondershare软件(万兴恢复专家系统)可执行文件(例如“Wondershare.exe”)和若干依赖文件。表面上看,这些文件与正版软件一致,但其中一个关键的DLL文件(例如“helper.dll”)已被替换为恶意DLL,命名为“VELETRIX”。当用户运行Wondershare.exe时,恶意DLL被加载,触发后续攻击链。邮件的发件人地址可能是伪造的,例如“trai****@chinamobiletietong.com”,并可能通过社会工程学手段(如引用员工姓名或部门信息)增强可信度。
图 1 恶意软件分发过程
攻击者利用Windows操作系统的DLL加载机制中的搜索顺序漏洞实施DLL侧加载攻击。具体而言,Windows在加载DLL时会优先搜索应用程序所在目录中的文件,而非系统目录。攻击者将恶意DLL“VELETRIX”放置在Wondershare软件的同一目录下,并确保其文件名与合法DLL(例如“helper.dll”)完全匹配。当用户启动Wondershare.exe时,操作系统会加载目录中的恶意VELETRIX,而不是系统中的合法版本。
VELETRIX被加载后,首先执行初始化操作,包括分配内存、检查运行环境,并为后续恶意代码的执行做准备。它通过调用Windows API(例如VirtualAlloc)创建内存空间,并加载嵌入其中的Shellcode。这一技术利用了合法软件的信任地位,绕过了许多安全软件的检测。
VELETRIX加载器内置了复杂的反沙箱机制,以确保其在分析环境中难以被检测。具体的检测方法包括但不限于以下几种:
进程检查:加载器调用EnumProcesses或CreateToolhelp32Snapshot枚举系统中的运行进程,查找沙箱或虚拟机相关的进程名(如“vmtoolsd.exe”或“vboxservice.exe”)。
注册表检查:查询特定注册表键值,例如HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.或HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF,以检测VMware或VirtualBox的安装痕迹。
时间测量:GetTickCount在循环前后调用,计算休眠时间是否与预期(10秒)一致。沙箱环境可能会加速或跳过Sleep,导致时间差异常。
文件系统检查:检查是否存在虚拟机相关的文件或目录,如“C:\Program Files\VMware”或沙箱工具的临时文件。
硬件指纹:通过GetSystemInfo或CPUID指令检测CPU核心数、内存大小等硬件特征,判断是否为典型的沙箱环境(通常配置较低)。
一旦检测到沙箱或虚拟化环境,VELETRIX会立即调用ExitProcess终止自身执行,避免暴露其行为。这种设计显著增加了逆向工程和动态分析的难度。
VELETRIX加载器避免在编译时静态链接Windows API,而是通过运行时动态加载的方式调用所需功能。具体实现依赖于LoadLibraryA和GetProcAddress两个核心函数。例如:使用LoadLibraryA("kernel32.dll")加载核心系统库。
使用GetProcAddress获取所需API的地址,例如VirtualAlloc或CreateThread,并在内存中动态调用。
为了进一步混淆,加载器采用Stack Strings技术,将API名称以字符数组的形式存储在栈上(例如,将“VirtualAlloc”拆分为“V”、“i”、“r”等的单独字符),然后在运行时拼接完整。这种方法使静态分析工具难以直接识别调用的API。此外,加载器可能通过加密或哈希表存储API名称,进一步增加逆向难度。
VELETRIX加载器中嵌入的Shellcode以伪装成IPv4地址的字符串形式存储,例如“192.168.1.1”、“10.0.0.1”等。这些字符串并非真实的网络地址,而是经过XOR加密的Shellcode数据。
解密过程如下:
密钥:使用固定密钥@9SPAGE_EXECUTE_READWRITE,长度为23字节。
算法:对每个加密字节与密钥的对应字节进行XOR运算,循环使用密钥。例如,若Shellcode加密数据为0xAA,密钥对应字节为0x40,则解密结果为0xAA XOR 0x40 = 0xEA。
内存加载:解密后的Shellcode被写入通过VirtualAlloc分配的可执行内存区域(具有PAGE_EXECUTE_READWRITE权限),并通过函数指针或CreateThread执行。这种加密方式不仅隐藏了Shellcode内容,还规避了基于特征码的防病毒检测。
VELETRIX设计的核心原则是避免在磁盘上生成任何持久性文件。所有恶意代码,包括初始Shellcode和后续Payload,均在内存中完成解密和执行。
具体流程为:
使用VirtualAlloc分配内存块,指定PAGE_EXECUTE_READWRITE权限。
将解密的Shellcode写入该内存块。
通过直接调用内存地址或创建线程(CreateThread)执行Shellcode。
这种方法确保了恶意代码不会在文件系统中留下痕迹,使传统基于文件扫描的取证工具(如杀毒软件)失效,同时提高了隐蔽性。
VELETRIX Shellcode通过TCP协议与命令与控制(C&C)服务器建立通信,使用的端口为9999。
通信流程如下:
Beacon发送:Shellcode首先发送一个Beacon数据包,包含加载器版本号(例如“w4”)、受害者系统的基本信息(如IP地址、操作系统版本)以及C&C服务器的IP地址(例如62.234.24.38)。
Payload下载:C&C服务器响应后,Shellcode通过HTTP或自定义协议下载约5MB的加密第二阶段Payload。下载的数据存储在内存中,使用与Shellcode相同的XOR算法解密(密钥为@9SPAGE_EXECUTE_READWRITE)。
执行:解密后的Payload被加载到内存并执行,完成攻击链的下一阶段。这种动态通信机制允许攻击者实时更新Payload内容并保持对受害系统的控制。
第二阶段Payload是一个独立的Shellcode,与恶意VELETRIX Shellcode在技术上高度相似,但功能更复杂。
其关键特征包括:
API解析:使用ROR13(Rotate Right 13位)哈希算法动态解析Windows API。例如,对“VirtualAlloc”计算ROR13哈希值,与预存储的哈希表匹配后获取函数地址。
IP混淆:通过Stack Strings技术将C&C服务器IP地址(例如121.37.80.227)拆分为单独字符,在运行时拼接,避免硬编码。
内存执行:Payload从C&C服务器下载进一步的恶意代码(大小未知),在内存中解密并执行,可能包括数据窃取、持久化或横向移动功能。
此阶段Shellcode负责完成攻击的最终目标,例如窃取敏感数据或部署更多恶意软件。
三、关键IOC指标
c9dc947b793d13c3b66c34de9e3a791d96e34639c5de1e968fb95ea46bd52c23
27c04c7d2d6dbbb80247adae62e76dfa43c39c447f51205e276b064555a6eb84
a15f30f20e3df05032445697c906c3a2accf576ecef5da7fad3730ca5f9c141c
fef69f8747c368979a9e4c62f4648ea233314b5f41981d9c01c1cdd96fb07365
156.238.236.130
121.37.80.227
62.234.24.38
参考链接:
【新!】CNNVD通报微软多个安全漏洞
2025-07-11 HW情报分享
【HVV】护网—2025 | 网警公布适用《网络数据安全管理条例》典型案例
微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统
【HVV】护网系列 威胁情报共享7.8
【HVV】护网系列 威胁情报共享7.7
25HVV最新0day更新,各单位自查...
【HW】8个因护网被开除的网安人
HW应急溯源:50个高级命令实战指南
震惊全球!中国团队攻破RSA加密!RSA加密告急?
突发!小红书惊现后门......
2025年“净网”“护网”专项工作部署会在京召开,看看都说了哪些与你我相关的关键内容?
护网在即,企业还有什么新思路可以应对吗?
HW必备:50个应急响应常用命令速查手册二(实战收藏)
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑