近日，360安全大脑独家捕获“看门狗”团伙新 动向，其正通过伪造某聊天软件官网以及钓鱼邮件等方式，对特定目标人群精准投毒祸乱网络。该组织命名来源于攻击样本包含的中文PDB路径，也有安全厂商称其为“金眼狗”组织。

　　360安全大脑基于持续跟踪数据，并对攻击样本进行梳理分析后发现，“看门狗”团伙长期通过申请正规软件开发商签名，进而利用白加黑方式执行远控木马;钓鱼邮件定向投毒，并通过漏洞利用启动远控木马;伪装正规聊天工具捆绑远控模块等三大手段横行网络。

　　手段1：以假乱真，冒用签名投放远控木马

　　一直以来，冒用软件开发厂商签名都是“看门狗”团伙的惯用伎俩。从360安全大脑长期监测数据来看，9月下旬至今已追踪到该团伙冒用的十余个数字证书，具体如下：

　　与此同时，360安全大脑新 数据显示，“看门狗”团伙除申请了与原厂商相同的签名外，还申请了部分同名但大小写不同的高迷惑性签名，以便于测试安全软件反应，为冒用签名投放远控木马试水。

　　手段2：迷惑性诱饵，钓鱼邮件扩散远控木马

　　冒用签名之外，360安全大脑数据显示，钓鱼邮件是“看门狗”团伙的 二大惯用伎俩。从360安全大脑捕获的钓鱼邮件攻击样本来看，该团伙通过钓鱼邮件，将伪装成技术资料等文档的恶意程序，投递至目标用户邮箱，以诱骗点击下载。

　　一旦触发，恶意程序会利用muse音乐播放器栈溢出漏洞执行后续shellcode，并经过几轮内存加载后， 终运行大灰狼远控。

　　值得一提的是，该团伙频繁利用不同软件的栈溢出漏洞来试图绕过 软的监测，本次利用的muse音乐播放器为该团伙新 利用的软件漏洞。

　　具体执行流程如下：

　　在此基础上，针对特定人群，“看门狗”团伙还会向其邮箱投放一些携带木马的“文档”，此类木马通常会使用神似word文件的图标或极具诱导性的文件名，迷惑不明真相的用户点击，具体如下：

　　该木马首先会检测自身文件是否以字符“-”开头。木马启动后会在C盘根目录下创建以木马文件名 一个字母+字符串“Help”的文件，然后检测C:\-Help文件是否存在，不存在则弹窗“意外崩溃”并退出程序，用来对抗分析。

　　然后该木马会从hxxp://15083142945.com:99/apbc下载木马压缩包并解压到文件夹C:UsersPublicDownloads。解压后的文件结构如下:

　　 后执行 C:UsersPublicDownloadshashiqiwcnmlgb.exe和C:UsersPublicDownloads下指定的诱导文件，诱导文件如下图:

　　wcnmlgb.exe运行后检测当同目录下如果没有RW.txt，则会弹出一个文字替换工具的窗口，用来对抗检测，起到混淆视听的作用。

　　如果检测到RW.txt存在则读取文本里面的内容，并在内存中解密运行其中的恶意AutoRun.dll，AutoRun.dll通过运行快捷方式的方法 后以命令行参数sydb.pls运行C:UsersPublicDownloads$Recycle.Binmtfx.exe。mtfx.exe则是一个带有栈溢出漏洞的的音乐播放器程序(muse.exe)。通过命令行参数会读取指定*.m3u和*.pls后缀的文件。而如果文件内容太大，则会引发本地溢出造成漏洞从而可以执行shellcode。

　　通过对mtfx.exe代码分析，发现在函数中使用了不检查输入数据长度的fscanf函数，所以会将打开的sybd.pls文件中数据全部读入局部变量，从而覆盖掉返回地址和SEH异常处理函数。

　　fscanf函数读取sydb.pls文件数据后，覆盖了当前函数返回地址和SEH的回调函数。当函数返回时，由于返回地址0x41414141是一个无法访问的地址，触发异常从而跳入被覆盖的SEH回调函数，而回调函数地址是sdll.dll的一个固定地址，运行其中两个pop一个ret后又跳回之前被覆盖地址中构造好的shellcode中继续执行。