窃密病毒伪装Windows激活程序 盗取用户资金

VSole2024-01-29 09:17:43

近期,火绒威胁情报系统发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。



查杀图


火绒工程师对样本进行分析发现,该病毒与CryptBot家族有关。CryptBot是一个窃密软件,最早出现在2019年,主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息,获取电脑和已安装程序信息,拍摄上传屏幕截图。


与以往不同的是,此次分析中发现新增了"clipboard hijacker"模块,通过劫持受害者的剪贴板数据,将其中的加密货币地址替换成自己的钱包地址,来盗取资金。该样本病毒流程图,如下所示:



病毒执行流程图


一、样本分析:


第一阶段:


样本是一个名为 Windows_Loader 的文件夹,其内包含多个文件,伪装成 windows 激活程序来欺骗用户:



文件集合


以 "Windows Loader.exe" 为执行主体,这是一个自解压的可执行文件,内部包含用于激活 windows 用的 Windows Loader1.exe,Keys.ini 文件是激活用的序列号,这里最高只支持到 Windows7:



Keys.ini 和 sfx 自解压


双击启动 "Windows Loader.exe" 后,其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe,其中恶意行为集中在 activate.exe 中:



进程启动


第二阶段:


activate.exe 是一个近 700M 的大文件,逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调(反软件断点):



SMC


内存校验计算 hash 的过程中,如果遇到内存修改或调试用的软件断点,则校验失败,从而跳转到报错弹框中并结束程序:



报错弹框


样本在运行过程中会在 rdata 区解压出通用的数据,数据的内容展现出其要窃取的信息以及要上传的格式:



解压 rdata 段数据


通过配置字符串及调试验证可以发现,其窃取信息包括主流的浏览器相关的配置、钱包、关键插件、用户数据等:



窃取 chrome 示例


窃取的浏览器列表如下:



浏览器列表


对于浏览器数据的获取方式,样本会根据配置数据遍历并复制指定的配置文件到内存中,用于后续打包上传:



获取 Chrome 配置文件示例


除了窃取浏览器相关数据外,样本还会获取受害者电脑的相关信息,包括“用户名、时间、操作系统、键盘语言、CPU、RAM、GPU”等。此外,样本还会遍历注册表 "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" 和 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" 获取 32 位和 64 位已安装的用户程序:



已窃取的信息列表


在窃取受害者相关信息后,样本会新开辟一个内存空间用于存放数据,并解密出后续操作需要的字符串,包括前面 .rdata 区未出现的 information.txt,screen.jpg,以及 fAyc127FnH9rd0NqvpI7 等。其中 Information.txt 用于存放前面提到的受害者用户信息,screen.jpg 用于后续拍摄屏幕截图,fAyc127FnH9rd0NqvpI7 则是将所有窃密数据以文件为单位存放后,对文件夹进行压缩时的压缩密码:



窃密压缩包


在整理好窃密信息到内存压缩文件,样本会解密出要连接的 C2:"gjseven7vs.top" 作为回传域名,发送的目录及其它 http 字段都在前面 .rdata 段中有定义:



域名连接



流量包截获


随后样本会解密嵌在自身中的 Sukibas.exe 和 Sukibas.jpg 文件,释放在 "C:\Users\Administrator\AppData\Roaming\ServiceData\" 目录下,以供下一阶段使用:



文件释放


样本继续解密出关联的命令参数,并调用 ShellExecuteW 函数来执行 cmd 命令以注册计划任务,执行的命令如下所示:


"/c schtasks /create /tn \Service\Data /tr """"C:\Users\Administrator\AppData\Roaming\ServiceData\Sukibas.exe""" """C:\Users\Administrator\AppData\Roaming\ServiceData\Sukibas.jpg"""" /st 00:01 /du 9800:59 /sc once /ri 1 /f"



注册计划任务



计划任务截图


第三阶段:


第三阶段属于写在计划任务中的 Sukibas.exe 和 Sukibas.jpg 中的执行过程,Sukibas.exe 是 Autoit 官方的脚本加载器:



信息查看


Sukibas.jpg 则是一个经过混淆的 Autoit 语言编写的脚本,经过对比,可以确认利用的混淆工具是 "Autoit Obfuscator" 这款工具:



混淆工具


由于该脚本没有使用任何 Autoit 的导入库,所以可以把调用的函数范围限制在标准函数列表中。且该混淆工具对函数的混淆策略是将函数分配给变量来隐藏调用的函数信息,所以仔细搜寻就能发现 3 个关键的标准函数,Run、ClipGet、ClipPut。



Autoit Obfuscator


由于没有外联类函数的调用,结合相关威胁情报及该组织的 TTP,可以猜测出其是使用了一种叫 "clipboard hijacker" 的模块。该模块曾在 2019 年由研究人员在 MyKings僵尸网络中发现,其原理是通过劫持用户剪贴板数据,对受害者复制的数据进行正则匹配,筛选出类似于加密货币地址的文本字符串,最后将其替换为自己的钱包地址,以吸走资金。



相关报告截图


该手法在 Sukibas.jpg 上得以验证,样本在获取剪粘板数据中不断循环,直到匹配出类似于加密货币地址的文本字符串:



获取剪粘板数据


获取匹配的剪粘板数据后,样本会用自己内置的钱包地址进行替换。替换地址随加密货币的种类不同而不同,有比特币、以太坊、Tron等:



比特币地址替换


额外的,在替换钱包地址后,样本会执行一个自删除操作,为了防止由于 Sukibas.exe 正在执行而无法删除,样本还特定延迟两秒后才进行相关操作。


执行的命令如下:


"C:\Windows\system32\cmd.exe /c timeout /t 2 & del /f /q "C:\Users\Administrator\AppData\Roaming\ServiceData\Sukibas.exe" & del /f /q "C:\Users\Administrator\AppData\Roaming\ServiceData\Sukibas.jpg""



文件删除


二、附录:


HASH:



C&C:


软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
根据SecurityScorecard发布的《全球第三方网络安全漏洞报告》显示,2023年大约29%的违规行为可归因于第三方攻击媒介,因为许多违规行为的报告没有指定攻击媒介,所以实际比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的软件供应链方面三个最广泛利用的漏洞,其中MOVEit零日漏洞产生广泛影响可能被归咎于第三方、第四方甚至第五方。
近日,以色列网络安全公司Seal Security宣布获得由Vertex Ventures Israel领投的740万美元种子轮融资,Seal归属软件供应链安全赛道,其研发的平台产品主要利用生成式AI为客户提供自动化的修复解决方案,其平均修复时间可从过去几个月缩短到现在的几个小时,足以以应对软件供应链这一日益严峻的挑战。
通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而,最新的研究发现,如果用户等待大约14天后再将这些软件包更新到最新版本,就可以避免受到软件包劫持攻击的不良影响。
软件组成分析(SCA)应用程序安全测试(AST)工具市场的一个细分市场,负责管理开源组件的使用。SCA工具自动扫描应用程序的代码库,包括容器和注册表等相关构件,以识别所有开源组件、它们的许可证遵从性数据和任何安全漏洞。除了提供对开源使用的可见性之外,一些SCA工具还通过区分优先级和自动补救来帮助修复开源漏洞。SCA工具通常从扫描开始,生成产品中所有开源组件的清单报告,包括所有直接和传递依赖项。拥有
软件安全之CRC检测
2023-04-19 09:47:57
k++)//因为这里异或是从数据的高位开始,所以需要计算的数据左移8位,这里就需要计算8次。1)//判断最高位是否为1. 0xEDB88320;//最高位为1,右移一位,然后与0xEDB88320异或???相当于例子2中110与000异或值是不变的
基于各方在自身领域的专业积累,将此次调研工作进行了明确的分工,并将不定期进行调研分享交流会。
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
新推出的开放框架寻求为公司和安全团队提供全面且可行的方式深入了解软件供应链攻击行为及技术。这项名为开放软件供应链攻击参考(OSC&R)的计划由以色列软件物料安全管理公司OX Security主导,评估软件供应链安全威胁,覆盖一系列攻击途径,比如第三方库和组件漏洞、构建及开发系统供应链攻击,以及被黑或恶意软件更新包。
当下,软件开发安全的理念很火,各行各业都已认识到保障应用系统开发安全的重要性,但是要真正实现起来,结果却不是那么理想。
软件常见漏洞的解析
2022-11-28 10:16:06
理论基础漏洞可以定义为“在软件和硬件组件中发现的计算逻辑(例如代码)中的弱点,当被利用时,会对机密性,完整性
VSole
网络安全专家