行业标准网
关于“魔盗”窃密木马大规模传播的风险提 示 本报告由国家互联网应急中心(CNCERT)与安天科技集 团股份有限公司(安天)共同发布。 一、 概述 近期,CNCERT 和安天联合监测到一批伪装成 CorelDraw、 Notepad++、IDA Pro、WinHex 等多款实用软件进行传播的窃 密木马。通过跟踪监测发现其每日上线境内肉鸡数(以 IP 数 计算)最多已超过 1.3 万, 由于该窃密木马会收集浏览器书签、 邮箱账户等信息,故我们将命名为“魔盗”。 攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域 名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗” 窃密木马。窃密木马运行后会收集受害者主机中已安装的软件 列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账 户信息,并加密回传至攻击者服务器。由于部分恶意程序具备 在线升级能力,因此攻击者可随时更改攻击载荷(如勒索、挖 矿、窃密等不同目的的攻击载荷),给受害者造成更大损失。 二、 “魔盗”窃密木马分析 1 (一)传播方式分析 攻击者利用“cdr[.]jyxwlkj.cn”域名建立软件下载页面, 将伪装为“破解版 CorelDraw”绘图工具的压缩包投放至该页 面进行大范围传播。用户一旦执行压缩包中的恶意程序便会在 主机中创建服务并添加注册表启动项,实现持久化驻留,随后 从攻击者服务器中下载窃密组件进行数据窃取并回传。 图 1 攻击流程图 (二)相关样本分析 “魔盗”窃密木马整体执行流程可分为 3 个阶段:诱导执 行阶段、执行阶段与窃密阶段。组件调用关系图如下: 2 图 2 组件调用关系图 1、诱导阶段 为了诱导受害者执行恶意程序,攻击者在压缩包中提供了 4 个配套文件,具体文件信息见下表: 文件名 MD5 功能简述 一键激活.zip 0EC96FF955932E185DAA904027B41DF6 激活工具压缩包 coreldraw.exe CD70268ABEE2F2AFC846E9F1BE6D8AD0 NSIS 安装程序 安装教程.docx F84AAA3A4A39730994962FFC53F1AECE 安装教程文档 一键激活密码.txt D6A69EDA56D5CB760C71C32DFD16715F 一键激活.zip 解压密码 其中“安装教程.docx”以“杀毒软件会误报盗版软件” 为由,诱导用户关闭杀毒软件,后通过文字+配图的方式诱导 受害者执行“安装程序”与“激活工具”。其中,安装程序是 包含恶意模块的 NSIS 安装包,激活工具仅用于关闭 UAC 账 户控制并无实际激活功能。 3 图 3 安装教程文档部分内容 2、执行阶段 本阶段以 NSIS 安装程序“coreldraw.exe”作为初始载荷, 通过其释放的多个组件间的协同作业保证恶意程序的持续运 行。这些组件包括“服务管理组件”、“启动器组件”、“插 件加载组件”和“杀软对抗组件”。 2.1 初始载荷 病毒名称 Trojan[Spy]/Win32.APS 原始文件名 coreldraw.exe MD5 CD70268ABEE2F2AFC846E9F1BE6D8AD0 处理器架构 Intel 386 or later, and compatibles 文件大小 11.4MB(12,041,288 字节) 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 2012-02-24 19:20:04 数字签名 无 加壳类型 无 编译语言 C++ VT 首次上传时间 无 4 VT 检测结果 无 压缩包中的“coreldraw.exe”为执行阶段的初始载荷。该 程序运行后会创建“%appdata%\Microsoft\Network”、“Sys Wow64\security”两个目录并向其中释放多个恶意载荷及大量 C++运行库文件。释放的恶意载荷信息见下表: 所在目录 %appdata%\Microsoft\Network 主要文件及目录 NetworkService.exe 功能简述 1.回传上线的受控主机基本情况 2.下载并加载窃密插件 3.监视 SearchIndexerService.exe 的 运行状态 SearchIndexerService.exe 对抗杀毒软件 System_Warning.exe 展示虚假盗版提示 plugin 目录 包含下载的 DreamApslop.dll 窃密插 件 SysWow64\security SystemSecurityService.exe 1.创建服务实现持久化驻留 2.监视 NetworkService.exe 的运行状 态 system_laungher.exe 启动器组件,仅负责运行“NetworkSe rvice.exe” NetworkService 目录 %appdata%\Microsoft\Network 目 录的完整副本 文件释放完毕后会执行 “NetworkService.exe”与“Syst emSecurityService.exe”。且分别携带启动参数“nsis winhex. exe”、“start”。 2.2 服务管理 “SystemSecurityService.exe”为服务管理组件,其主要功 能为通过创建系统服务实现持久化驻留并确保“NetworkServi ce.exe”进程的持续执行。该组件的样本标签如下: 病毒名称 Trojan[Spy]/Win32.APS 原始文件名 SystemSecurityService.exe MD5 6ED3E57FDBEF38530385248D2ED7E96B 5 处理器架构 Intel 386 or later, and compatibles 文件大小 308.0 KB (315,392 字节) 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 2022-07-19 00:57:49 数字签名 无 加壳类型 无 编译语言 C++ VT 首次上传时间 2022-08-02 08:01:36 VT 检测结果 3/70 该组件执行后会根据创建名为“SystemSecurityService” 的服务实现自身的持久化驻留。通过不同的启动参数控制服务 的启动与停止。服务的参数如下表: 显示名称 系统安全主动服务+7 位随机数 注册名称 自身文件名(不包括扩展名) 描述内容 管理系统安全程序主机进程。如果此服务被停止,则系统安全服务将无法 正确运行,任何依赖它的服务将无法启动。 启动类型 自动 该组件以服务启动后会持续监视“NetworkService.exe” 进程是否存在,若不存在则以管理员方式运行“system_laung her.exe”。除此之外,当服务停止或崩溃时还会在自身文件所 在目录创建一个自身文件副本并执行,新进程会重复上文操作 以实现自身进程的持续运行。 6 图 4 崩溃或停止后的再启动 2.3 启动器 “system_laungher.exe”为启动器组件,该组件仅负责运 行“NetworkService.exe”。攻击者疑似误将该组件文件名中 的 “launcher”(发射器)写为“laungher”。该组件的样本 标签如下: 病毒名称 Trojan[Stealer]/Win32.APS 原始文件名 system_laungher.exe MD5 F7CDC25E606FF80B0F72CE6323827374 处理器架构 Intel 386 or later, and compatibles 文件大小 38.0 KB (38,912 字节) 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 2022-07-19 00:59:21 数字签名 无 加壳类型 无 编译语言 C++ VT 首次上传时间 2022-08-02 08:01:36 VT 检测结果 2/70 该组件运行后会判断“%appdata%\NetworkService\”路径 下是否存在“NetworkService.exe”文件,此处与初始载荷释 放文件的路径不同,因此在该组件首次运行时文件并不存在。 若文件存在则通过“open”或“rundll32 shell32,OpenAs_ RunDLL”命令启动“%appdata%\NetworkService\NetworkSer vice.exe”。 7 图 5 利用命令行启动目标程序 若文件不存在,则会将自身运行目录下的“NetworkServi ce”目录完整复制到“%appdata%”中。随后以上文相同方式 启动复制后的“NetworkService”目录下的“NetworkService.e xe”。 图 6 拷贝 NetworkService 目录 2.4 插件加载 “NetworkService.exe”组件用于实现插件加载。该组件 根据运行参数的不同分为三个模式:“完整模式”、“简易模 式”与“看门狗模式”,三个模式的具体功能见下文。该组件 的样本标签如下: 病毒名称 Trojan[Spy]/Win32.APS 原始文件名 NetworkService.exe MD5 AB4FB51F10548AF01AA8C0829BB723E5 处理器架构 Intel 386 or later, and compatibles 文件大小 311.0 KB (318,464 字节) 8 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 2022-07-29 14:56:06 数字签名 无 加壳类型 无 编译语言 C++ VT 首次上传时间 2022-08-03 18:05:02 VT 检测结果 4/69 该组件也是所有组件中唯一标注了版本号的组件。 图 7 样本中标注的版本号 完整模式 当运行参数为“nsis”、随机数或为空时,组件执行该模 式。 在该模式下,组件会在注册表“HKCU\Software\Microsof t\Windows\CurrentVersion\Run”及“HKCU\SOFTWARE\Micr osoft\Windows\CurrentVersion\Explorer\StartupApproved\Run” 两处位置添加名为“NetworkServ

pdf文档 安天 关于 魔盗 窃密木马大规模传播的风险提示

文档预览
中文文档 24 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
安天 关于 魔盗 窃密木马大规模传播的风险提示  第 1 页 安天 关于 魔盗 窃密木马大规模传播的风险提示  第 2 页 安天 关于 魔盗 窃密木马大规模传播的风险提示  第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-10-19 12:25:02上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。