背景
繼七月份監測到某幫派利用混淆AutoIt腳本加載Globeimposter勒索病毒之後(
Globeimposter勒索病毒新變種分析)。阿裡雲安全近期又監測到兩個攻擊手法類似,但攻擊載荷不同的惡意樣本,樣本A的攻擊載荷為Remcos遠控木馬, 樣本B的攻擊載荷疑似CryptoBot竊密木馬。初步判定屬于同一幫派, 判定依據主要來源以下三個方面:
· 所規避的使用者名相同。 當計算機的使用者名為DESKTOP-QO5QU33、NfZtFbPfH、tz和ELICZ時, 腳本會自動退出。
· AutoIt腳本所使用的混淆方法相同。
· 攻擊者都對樣本的編譯時間進行了修改來對抗分析。
遠控載荷的樣本
該樣本是一個7z sfx壓縮檔案, 運作過程中釋放四個檔案, 包括: Gia.xla、Qui.xla、Sconvolge.xla 和 Bellissima.xla。
· Gia.xla 是一個修改之後的帶簽名的AutoIt程式
· Qui.xla 是混淆之後的AutoIt腳本, 用于解密攻擊載荷并将其注入到AutoIt.exe程序中。
· Sconvolge.xla 是一個Bat腳本, 用于生成Auto.exe程式, 并執行AutoIt腳本。
· Bellissima.xla是加密之後的遠控木馬Remcos。
對上述四個檔案進行分析, 判定該樣本的攻擊流程與
一文相同。但部分細節略有不同, 如下:
· 解密密鑰。 樣本A在對載荷解密時所使用的密鑰為1233。
· 傀儡程序。 本次注入的程序對象是AutoIt.exe。
· 攻擊載荷。 樣本A使用的載荷為Remcos 3.13 Pro遠控木馬。 Remcos木馬于2016年開始在黑客論壇公開售賣,至今已經經曆81個版本的改進, 最新版本為3.2.0。
竊密載荷的樣本
同遠控載荷樣本的執行流程相同, 釋放的四個檔案分别為:Accendeva.pub、Dianzi.pub、Inebriato.pub和Osi.pub。
· Dianzi.pub功能同上Gia.xla
· Osi.pub功能同上Qui.xla, 但注入手法略有不同。
· Accendeva.pub功能同上Sconvolge.xla。
· Inebriato.pub為加密之後的竊密木馬CryptBot。
Osi.pub檔案分析
對該檔案去混淆之後, 發現使用的解密密鑰為458348364, 且注入手法與之前略有不同。 本次使用注入手法如下:
· 解密CryptBot攻擊載荷。
· 調用LoadLibraryExA函數加載Explore。exe檔案, 随後調用NtUnmapViewOfSection解除相關記憶體映射。
· 為了規避相關檢測, 将解密之後的載荷映射到Explorer。exe在程序中位址。
· 執行CryptBot竊密木馬。
流程圖:
竊密木馬CryptBot分析
本次捕獲的CryptBot木馬主要竊取以下四類資訊:
· 浏覽器存儲的使用者名和密碼、Cookie和信用卡憑證。
· 數字貨币錢包的應用程式資訊。
· 截圖。
· 使用者計算機的資訊。
将以上四類資訊分門别類放入特定的檔案夾中,打包成ZIP檔案發送至遠端。
1. 檢測相關殺軟體
檢測AVAST和AVG防毒軟體是否存在,若存在則sleep随機時間進行對抗。
2. 建立檔案夾
在%tmp%建立如下檔案夾結構, 其中files和Files搜集的資訊是相同的。
3. 竊取浏覽器資訊
主要收集的浏覽器包括: Chrome浏覽器、Brave浏覽器、Opera浏覽器和Firefox浏覽器, 下面以Chrome浏覽器為例進行講解。 拷貝Chrome浏覽器下存儲使用者資訊的檔案Login Data、Cookie和WebData至GKg147x下, 并以随機字元串重命名。
竊取密碼
建立檔案\files_AllPasswords_list.txt和_Files\passwords.txt用于存放收集所有浏覽器賬号和密碼,并建立\files_AllForms_list.txt和_Files\forms.txt存放所有浏覽器自動填充字段。
竊取Cookie
竊取信用卡憑證
建立檔案\files__All_CC_list.txt和_Files\cc.txt用于存放搜集的所有信用卡憑證。
4.竊取加密貨币
竊取數字貨币錢包的應用程式資訊, 如下圖所示:
5.竊取螢幕截屏
截取目前螢幕内容儲存至\files__Screen_Desktop。jpeg
6.竊取使用者計算機資訊
将收集計算機資訊儲存至\files__Information。txt, 包括: 作業系統版本、使用者名、CPU資訊和已安裝的軟體等。
7.上傳檔案
壓縮_Files和\files_檔案夾為ZIP檔案, 通過http協定向URL1和URL2以POST方式上傳兩檔案。
Iocs
檔案MD5
IP和域名
專家建議
阿裡雲安全中心建議雲上客戶做好以下三點,進一步降低被惡意攻擊的機會:
- 定期修複系統漏洞,避免被黑客利用。
- 不使用弱密碼,對重要的系統開啟雙因子認證。
- 使用安全組,限制IP段通路,避免不必要的網絡端口暴露在網際網路,減小攻擊面。
- 關閉或者修改一些常用端口:445、135、139等等。對内網的安全域進行合理的劃分,域之間做好各種ACL的限制。
- 開啟阿裡雲安全中心->惡意行為防禦功能。