勒索作者再出手，這次是遠控+竊密

背景

繼七月份監測到某幫派利用混淆AutoIt腳本加載Globeimposter勒索病毒之後(

Globeimposter勒索病毒新變種分析

)。阿裡雲安全近期又監測到兩個攻擊手法類似，但攻擊載荷不同的惡意樣本，樣本A的攻擊載荷為Remcos遠控木馬， 樣本B的攻擊載荷疑似CryptoBot竊密木馬。初步判定屬于同一幫派， 判定依據主要來源以下三個方面：

· 所規避的使用者名相同。 當計算機的使用者名為DESKTOP-QO5QU33、NfZtFbPfH、tz和ELICZ時， 腳本會自動退出。

· AutoIt腳本所使用的混淆方法相同。

· 攻擊者都對樣本的編譯時間進行了修改來對抗分析。

遠控載荷的樣本

該樣本是一個7z sfx壓縮檔案， 運作過程中釋放四個檔案， 包括: Gia.xla、Qui.xla、Sconvolge.xla 和 Bellissima.xla。

· Gia.xla 是一個修改之後的帶簽名的AutoIt程式

· Qui.xla 是混淆之後的AutoIt腳本， 用于解密攻擊載荷并将其注入到AutoIt.exe程序中。

· Sconvolge.xla 是一個Bat腳本， 用于生成Auto.exe程式， 并執行AutoIt腳本。

· Bellissima.xla是加密之後的遠控木馬Remcos。

對上述四個檔案進行分析， 判定該樣本的攻擊流程與

一文相同。但部分細節略有不同， 如下：

· 解密密鑰。 樣本A在對載荷解密時所使用的密鑰為1233。

· 傀儡程序。 本次注入的程序對象是AutoIt.exe。

· 攻擊載荷。 樣本A使用的載荷為Remcos 3.13 Pro遠控木馬。 Remcos木馬于2016年開始在黑客論壇公開售賣，至今已經經曆81個版本的改進， 最新版本為3.2.0。

竊密載荷的樣本

同遠控載荷樣本的執行流程相同， 釋放的四個檔案分别為:Accendeva.pub、Dianzi.pub、Inebriato.pub和Osi.pub。

· Dianzi.pub功能同上Gia.xla

· Osi.pub功能同上Qui.xla， 但注入手法略有不同。

· Accendeva.pub功能同上Sconvolge.xla。

· Inebriato.pub為加密之後的竊密木馬CryptBot。

Osi.pub檔案分析

對該檔案去混淆之後， 發現使用的解密密鑰為458348364， 且注入手法與之前略有不同。 本次使用注入手法如下：

· 解密CryptBot攻擊載荷。

· 調用LoadLibraryExA函數加載Explore。exe檔案， 随後調用NtUnmapViewOfSection解除相關記憶體映射。

· 為了規避相關檢測， 将解密之後的載荷映射到Explorer。exe在程序中位址。

· 執行CryptBot竊密木馬。

流程圖:

竊密木馬CryptBot分析

本次捕獲的CryptBot木馬主要竊取以下四類資訊:

· 浏覽器存儲的使用者名和密碼、Cookie和信用卡憑證。

· 數字貨币錢包的應用程式資訊。

· 截圖。

· 使用者計算機的資訊。

将以上四類資訊分門别類放入特定的檔案夾中，打包成ZIP檔案發送至遠端。

1. 檢測相關殺軟體

檢測AVAST和AVG防毒軟體是否存在，若存在則sleep随機時間進行對抗。

2. 建立檔案夾

在%tmp%建立如下檔案夾結構， 其中files和Files搜集的資訊是相同的。

3. 竊取浏覽器資訊

主要收集的浏覽器包括: Chrome浏覽器、Brave浏覽器、Opera浏覽器和Firefox浏覽器， 下面以Chrome浏覽器為例進行講解。 拷貝Chrome浏覽器下存儲使用者資訊的檔案Login Data、Cookie和WebData至GKg147x下， 并以随機字元串重命名。

竊取密碼

建立檔案\files_AllPasswords_list.txt和_Files\passwords.txt用于存放收集所有浏覽器賬号和密碼，并建立\files_AllForms_list.txt和_Files\forms.txt存放所有浏覽器自動填充字段。

竊取Cookie

竊取信用卡憑證

建立檔案\files__All_CC_list.txt和_Files\cc.txt用于存放搜集的所有信用卡憑證。

4.竊取加密貨币

竊取數字貨币錢包的應用程式資訊， 如下圖所示:

5.竊取螢幕截屏

截取目前螢幕内容儲存至\files__Screen_Desktop。jpeg

6.竊取使用者計算機資訊

将收集計算機資訊儲存至\files__Information。txt， 包括: 作業系統版本、使用者名、CPU資訊和已安裝的軟體等。

7.上傳檔案

壓縮_Files和\files_檔案夾為ZIP檔案， 通過http協定向URL1和URL2以POST方式上傳兩檔案。

Iocs

檔案MD5

IP和域名

專家建議

阿裡雲安全中心建議雲上客戶做好以下三點，進一步降低被惡意攻擊的機會：

1. 定期修複系統漏洞，避免被黑客利用。
2. 不使用弱密碼，對重要的系統開啟雙因子認證。
3. 使用安全組，限制IP段通路，避免不必要的網絡端口暴露在網際網路，減小攻擊面。
4. 關閉或者修改一些常用端口：445、135、139等等。對内網的安全域進行合理的劃分，域之間做好各種ACL的限制。
5. 開啟阿裡雲安全中心->惡意行為防禦功能。