独家揭秘“看门狗”团伙三大手段，360安全大脑释能戳穿远控木马“画皮”

近日，360安全大脑独家捕获“看门狗”团伙最新动向，其正通过伪造某聊天软件官网以及钓鱼邮件等方式，对特定目标人群精准投毒祸乱网络。该组织命名来源于攻击样本包含的中文PDB路径，也有安全厂商称其为“金眼狗”组织。

360安全大脑基于持续跟踪数据，并对攻击样本进行梳理分析后发现，“看门狗”团伙长期通过申请正规软件开发商签名，进而利用白加黑方式执行远控木马；钓鱼邮件定向投毒，并通过漏洞利用启动远控木马；伪装正规聊天工具捆绑远控模块等三大手段横行网络。

手段1

以假乱真

冒用签名投放远控木马

一直以来，冒用软件开发厂商签名都是“看门狗”团伙的惯用伎俩。从360安全大脑长期监测数据来看，9月下旬至今已追踪到该团伙冒用的十余个数字证书，具体如下：

与此同时，360安全大脑最新数据显示，“看门狗”团伙除申请了与原厂商相同的签名外，还申请了部分同名但大小写不同的高迷惑性签名，以便于测试安全软件反应，为冒用签名投放远控木马试水。

手段2

迷惑性诱饵

钓鱼邮件扩散远控木马

冒用签名之外，360安全大脑数据显示，钓鱼邮件是“看门狗”团伙的第二大惯用伎俩。从360安全大脑捕获的钓鱼邮件攻击样本来看，该团伙通过钓鱼邮件，将伪装成技术资料等文档的恶意程序，投递至目标用户邮箱，以诱骗点击下载。



一旦触发，恶意程序会利用muse音乐播放器栈溢出漏洞执行后续shellcode，并经过几轮内存加载后，最终运行大灰狼远控。



值得一提的是，该团伙频繁利用不同软件的栈溢出漏洞来试图绕过杀软的监测，本次利用的muse音乐播放器为该团伙最新利用的软件漏洞。



具体执行流程如下：

在此基础上，针对特定人群，“看门狗”团伙还会向其邮箱投放一些携带木马的“文档”，此类木马通常会使用神似word文件的图标或极具诱导性的文件名，迷惑不明真相的用户点击，具体如下：

手段3

伪造软件

隐秘捆绑投递远控木马



除上述两种惯用手段外，“看门狗”团伙第三种常用的攻击手段则是伪造聊天软件，扩散远控木马。360安全大脑监测数据显示，12月份该团伙将攻击荷载从Telegram换到了POTATO CHAT，并在其伪造的potato网站上放置伪造签名的PotatoInstaller.exe，以扩散远控木马。360安全大脑追踪到的样本显示，该安装包除了会安装正常potato软件外，还会释放由MFC编写的内存加载器，运行后内存加载远控模块ServerDll.dll。



具体执行流程如下：

从360安全大脑追踪到的细节来看，“看门狗”团伙近乎完全地复制potato官方网站(hxxps://potato.im/)，制作出了自己的假网站(hxxp://potato.fit/index.html)，且在页面中，除了动态变化的使用人数和被替换了的windows版下载链接外，几乎与官网毫无区别，极大地提高了中招率。

在“看门狗”团伙制作的假网站，点击windows版下载后的安装程序，是签名无效的程序，但由于高隐蔽性，常常用户难以察觉。官方网站安装程序与“看门狗”团伙制作版对比如下图：

远控木马威胁此起彼伏

360安全大脑强势截杀

从冒用签名、钓鱼邮件到伪造网站，“看门狗”团伙投递远控木马的手段，可谓花样百出。而面对远控木马等网络安全威胁，360安全大脑赋能下的新一代防护体系，先后推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力，以及应对RDP爆破攻击、web应用系统漏洞、webshell攻击等多项针对服务器的防护能力，持续为党政军企等各领域用户输出安全防护力。



值得一提的是，“360安全大脑-主防威胁可视化平台”可持续对每日新出现的威胁事件进行聚合与可视化展示，精准实时呈现各种流行病毒、木马的攻击态势，并生成囊括病毒木马攻击趋势、相关网络与终端维度威胁情报数量以及生命周期的全维度数据，进而帮助技术分析人员高效掌握各类安全威胁，辅助人工分析、研判。

例：全方位呈现“匿影”僵尸网络的攻击趋势图

目前，在360安全大脑的极智赋能下，360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时，针对此类威胁360安全大脑给出如下安全建议：



1. 对于个人用户，可及时前往weishi.360.cn下载安装360安全卫士，强力查杀此类病毒木马；

2. 对于广大政企用户，可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而对于小微企业，则可直接前往safe.online.360.cn，免费体验360安全卫士团队版，抵御木马病毒攻击；

3. 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中，用户可以通过采购这些产品获取高效及时的最新威胁情报支持，提升安全产品防御能力；

4. 目前360沙箱云已对外提供公开服务，可及时前往ata.360.cn在线体验。通过沙箱云可以快速准确对可疑样本完成自动化分析，帮助企业管理员更好应对企业内部面临的安全问题；

5. 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；

6. 提高安全意识，不随意打开陌生人发来的各种文件，如需打开务必验证文件后缀是否与文件名符合。



360安全卫士