Lilith殭屍網路及其背後的Jester黑客團伙跟進分析

1.概述

近日，安天CERT捕獲到了Jester黑客團伙開發售賣的Lilith殭屍網路。該殭屍網路除了具備該團伙開發售賣的竊密木馬、剪貼簿劫持器、挖礦木馬等惡意程式碼的功能外，還增加了持久化及遠控功能，對使用者造成機密資料洩露、虛擬財產損失、系統資源耗盡等威脅。

安天CERT曾於2022年5月釋出了《活躍的Jester Stealer竊密木馬及其背後的黑客團伙分析》[1]，報告中詳細分析了Jester黑客團伙開發售賣的Jester Stealer竊密木馬、Merlynn Cliper剪貼簿劫持器等多個惡意程式碼。結合本次捕獲到的Lilith殭屍網路樣本，可以看到黑客團伙為了追求利益最大化，正在開發更多型別的惡意程式碼滿足攻擊者的需求，並且不斷增加新的惡意功能、訂閱模式以獲取更高收益。在商業化惡意程式碼競爭激烈的環境下，攻擊者發動網路攻擊的平均成本和技術門檻被進一步降低，可以預見未來網路攻擊的數量仍會不斷增加，給網路安全行業帶來更加嚴峻的挑戰。

經驗證，安天智甲終端防禦系統（簡稱IEP）可實現對該殭屍網路程式的有效查殺，安天探海威脅檢測系統（簡稱PTD）能夠實現對該殭屍網路C2通訊的精準檢測。

2.樣本對應的ATT&CK對映圖譜

樣本對應的技術特點分佈圖：

圖 2‑1技術特點對應ATT&CK的對映

具體ATT&CK技術行為描述表：

ATT&CK階段/類別	具體行為	註釋
資源開發	獲取基礎設施	搭建C2伺服器
	能力開發	開發惡意軟體
	環境整備	利用Github託管檔案
初始訪問	網路釣魚	利用網路釣魚傳播
執行	誘導使用者執行	誘導使用者執行
持久化	利用自動啟動執行引導或登入	將自身複製到啟動目錄下
提權	濫用提升控制權限機制	繞過UAC
防禦規避	反混淆/解碼檔案或資訊	解密C2地址配置
	隱藏行為	隱藏行為
	修改登錄檔	修改登錄檔
	混淆檔案或資訊	混淆檔案或資訊
憑證訪問	從儲存密碼的位置獲取憑證	從儲存密碼的位置獲取憑證
	作業系統憑證轉儲	作業系統憑證轉儲
	竊取Web會話Cookie	竊取Web會話Cookie
發現	發現賬戶	發現當前使用者名稱
	發現應用程式視窗	發現應用程式視窗
	發現瀏覽器書籤	發現瀏覽器書籤
	發現檔案和目錄	發現檔案和目錄
	發現程序	發現程序
	查詢登錄檔	查詢登錄檔
	發現軟體	發現軟體
	發現系統資訊	發現系統資訊
	發現系統網路配置	發現系統網路配置
收集	壓縮/加密收集的資料	竊密元件將資料打包為ZIP
	自動收集	自動收集資料
	收集剪貼簿資料	讀取剪貼簿
	收集本地系統資料	收集本地系統資料
	收集電子郵件	收集電子郵件
	獲取螢幕截圖	獲取螢幕截圖
命令與控制	使用應用層協議	使用HTTP協議
	編碼資料	使用Base64編碼上線包
	使用加密通道	使用AES加密通訊資料
	使用代理	使用Tor代理
資料滲出	自動滲出資料	自動滲出資料
	使用C2通道回傳	使用與C2相同通道回傳
影響	操縱資料	修改剪貼簿
	網路側拒絕服務（DoS）	發起DDoS攻擊
	資源劫持	執行挖礦程式

3.防護建議

為有效防禦此類惡意程式碼，提升安全防護水平，安天建議企業採取如下防護措施：

（1）安裝終端防護系統：安裝反病毒軟體，建議安裝安天智甲終端防禦系統；

（2）加強口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數字和符號在內的組合，同時避免多個伺服器使用相同口令；

（3）部署入侵檢測系統（IDS）：部署流量監控類軟體或裝置，便於對惡意程式碼的發現與追蹤溯源。安天探海威脅檢測系統（PTD）以網路流量為檢測分析物件，能精準檢測出已知海量惡意程式碼和網路攻擊活動，有效發現網路可疑行為、資產和各類未知威脅；

3.2 提高網路安全防護意識

（1）接收郵件時要確認傳送來源是否可靠，避免開啟可疑郵件中的網址和附件；

（2）建議使用沙箱環境執行可疑的檔案，在確保安全的情況下再使用主機執行。安天追影威脅分析系統（PTA）採用深度靜態分析與沙箱動態載入執行的組合機理，可有效檢出分析鑑定各類已知與未知威脅。

3.3 遭受攻擊及時發起應急響應

聯絡應急響應團隊：若遭受惡意軟體攻擊，建議及時隔離被攻擊主機，並保護現場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

經驗證，安天智甲終端防禦系統（簡稱IEP）可實現對該殭屍網路的有效查殺。

圖 3‑1 安天智甲為使用者終端提供有效防護

4.Lilith 殭屍網路分析

表 4‑1二進位制可執行檔案

病毒名稱	Trojan/Win32.Botnet
原始檔名	EXPLORER.EXE
MD5	1CAE8559447370016FF20DA8F717DB53
處理器架構	Advanced Micro Devices X86-64
檔案大小	492.20 KB (504,008位元組)
檔案格式	BinExecute/Microsoft.EXE[:X64]
時間戳	2089-09-02 08:22:23 UTC（偽造）
數字簽名	無效
加殼型別	無
編譯語言	.NET
VT首次上傳時間	2022-06-21 19:16:14 UTC
VT檢測結果	46/71

4.2 詳細分析

生成GUID作為被感染裝置的使用者ID並以此建立互斥量。

圖 4‑1生成使用者ID

將使用者ID加密儲存在登錄檔中。

圖 4‑2將使用者ID儲存於登錄檔中

解密配置資訊，獲取C2地址、通訊金鑰和殭屍網路代號。

圖 4‑3解密配置資訊

將自身複製到“啟動”目錄下，實現持久化。

圖 4‑4設定持久化啟動

C2伺服器返回的資訊均採用AES-256-CBC加密，其AES加密金鑰由金鑰派生演算法PBKDF2（Password-Based Key Derivation Function 2）生成，具體在演算法中採用的安全雜湊演算法為SHA-512，口令（Passphrase）為樣本中硬編碼的“c4d8c7f433c1e79afe4eff3a4b05c7c9”，鹽值（Salt）為使用者ID，迭代輪數（Iterations）為1000輪。

圖 4‑5生成通訊金鑰

迴圈檢查網路連線，可聯網後向C2伺服器http://45.9.148.203:4545/gate/

圖 4‑6傳送上線包

連線http://45.9.148.203:4545/gate/

圖 4‑7獲取到的配置資訊

根據配置資訊每間隔一段時間連線http://45.9.148.203:4545/gate/

圖 4‑8解析遠控指令的相關程式碼

Lilith殭屍網路具備DDoS攻擊、影片“刷資料”、竊密、挖礦、內網掃描、遠端控制等功能，詳細的控制指令如下。

DDoS攻擊

表 4‑2 DDoS攻擊指令

指令	說明
DDOS:HttpGET:連結	生成隨機請求引數，發起HTTP GET泛洪攻擊
DDOS:HttpPOST:連結	生成隨機資料包，發起HTTP POST泛洪攻擊
DDOS:TCPFlood:主機\:埠	向指定主機埠發起TCP泛洪攻擊，未指定埠時預設為80
DDOS:UDPFlood:主機\:埠	向指定主機埠發起UDP泛洪攻擊，未指定埠時預設為80
DDOS:StopAttacks	停止正在進行的DDoS攻擊

影片“刷資料”

表 4‑3影片“刷資料”功能指令

指令	說明
Advertising:YouTube_ViewVideo:影片連結	通過後臺無聲播放指定網路影片，給影片刷播放量
Advertising:YouTube_ViewStream:直播連結	通過後臺無聲播放指定網路直播，給直播刷瀏覽量
Advertising:YouTube_Subscribe:頻道連結	利用使用者瀏覽器Cookie的登入資訊訂閱指定影片頻道，刷訂閱量
Advertising:YouTube_Like:影片連結	利用使用者瀏覽器Cookie的登入資訊為指定的網路影片點贊
Advertising:YouTube_Dislike:影片連結	利用使用者瀏覽器Cookie的登入資訊為指定的網路影片點踩

挖礦、竊密、遠控、掃描

表 4‑4挖礦、竊密、遠控、掃描功能指令

指令	說明
Miner:StartMiner	啟動挖礦程式
Miner:StopMiner	停止挖礦程式
Stealer:RecoverCredentials:開啟增強模式	竊取並回傳系統中的密碼憑據及數字資產等，增強模式會竊取瀏覽器書籤
HVNC:Start:引數1:引數2	下載並使用引數啟動HVNC遠端控制工具
NetDiscover:ScanNetwork	內網主機掃描

程式下發、自更新、解除安裝等

表 4‑5 程式下發及維護指令

指令	說明
Dropper:DownloadExecute:下載連結:開啟管理員許可權:開啟繞過UAC功能	下載並執行程式，後兩個引數值為true或false，表示對應功能開啟或關閉
Dropper:ExecuteScript:指令碼內容:指令碼型別	將指令碼內容寫入%Temp%並執行，指令碼型別可為BAT或PS1
Lilith:UpdateConfiguration	重新獲取配置資訊
Lilith:UpdateClient:連結	下載並更新殭屍網路程式
Lilith:ExitClient	結束殭屍網路程式
Lilith:DeleteClient	解除安裝殭屍網路程式

5.關聯分析

通過對樣本的關聯分析發現，本次分析的Lilith殭屍網路是由此前安天跟蹤分析的Jester黑客團伙開發售賣。該黑客團伙將開發的所有惡意軟體進行功能整合，以較高的價格打包售賣，形成了Lilith殭屍網路。

圖 5‑1 Jester黑客團伙釋出的Lilith殭屍網路售賣廣告頁面

Jester黑客團伙後續因多次被其他黑客冒充實施詐騙而被多個黑客論壇封禁，因此Jester黑客團伙於2022年2月更名為Eternity繼續進行惡意軟體售賣，同時還改變了運營策略，使殭屍網路程式只包含遠控、DDoS等功能，其他功能單獨購買再下發執行，而非必須捆綁購買。

圖 5‑2 Jester組織改名為Eternity

6.總結

Lilith殭屍網路除了具備持久化、遠端控制等功能，還集成了Jester黑客團伙開發的竊密木馬、剪貼簿劫持器、挖礦木馬等惡意程式碼的全部惡意功能，對使用者系統安全造成極大的威脅。Jester黑客團伙為了追求更大利益，在持續開發更多惡意功能的同時，還在不斷調整運營策略，未來可能會演進為更具威脅的黑客團伙。

安天CERT將會繼續追蹤該黑客團伙的相關技術變化和特點，並提供相應的解決方案。安天智甲終端防禦系統（IEP）不僅具備病毒查殺、主動防禦等功能，而且提供終端管控、網路管控等能力，能夠有效防禦此類威脅攻擊，保障使用者資料安全。

7.IoCs

1CAE8559447370016FF20DA8F717DB53

45.9.148.203:4545

附錄：參考資料

[1]      活躍的 Jester Stealer竊密木馬及其背後的黑客團伙分析

http://www.antiy.cn/research/notice&report/research_report/20220510.html