解密新晋信息窃取木马Spymel-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

解密新晋信息窃取木马Spymel

简介:
+关注继续查看

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

木马简介

感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。

研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。

图一 硬编码的URL的屏幕截图

分析过程

已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后,出现了新变种,该变种使用了SBO INVEST的另一个已撤销的证书。

图二 Spymel使用的证书

Spymel的有效载荷散列值:

4E86F05B4F533DD216540A98591FFAC2
2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平台上以“svchost.exe”或“Startup32.1.exe”形式存在:

WinXP

%ApplicationData%ProgramFiles(32.1)svchost.exe
%User%StartMenuProgramsStartupStartup32.1.exe

Win7

%AppData%RoamingProgramFiles(32.1)svchost.exe
%AppData%RoamingMicrosoftWindowsStartMenuProgramsStartupStartup32.1.exe

Spymel安装后会创建以下注册表,以保证其可以持续感染:

WinXP

HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRun@Sidebar(32.1)
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun@Sidebar(32.1)

Win7

HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRunSidebar(32.1)
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRunSidebar(32.1)

Spymel的配置数据包括Command & Control服务器和File & Registry信息,这些信息都硬编码在可执行安装包中,如图三:

图三 Spymel的配置数据

分析发现,该安装包中存在以下模块:

1、Keylogging模块

该模块将用户的键盘信息记录在日志文件中(位置:%Application Data%ProgramFiles(32.1)svchost.exe.tmp)。图四为该模块对应的类“kyl”:

图四 Keylogging代码

2、ProtectMe模块

该模块防止中断用户终止恶意软件,它禁用了确认提示中的“OK”按钮。进而Taskkill命令不会如预期一样正常工作。图五为该模块对应的类“ProtectMe”:

图五 ProtectMe代码

信息窃取

该恶意软件可以像Task Manager一样监控应用程序,它使用GetForegroundWindow() API获取活动窗口的句柄,并更改其功能。

Spymel使用1216端口连接远程域android.sh(213.136.92.111),一旦连接成功,它就开始发送活动进程窗口的信息。下表为Command & Control服务器发送给该恶意软件的命令:

恶意软件发送的文件内容使用base64编码进行加密,图六为记录浏览器播放视频的代码:

图六 记录浏览器播放视频的代码

总结

目前,使用数字证书伪装恶意软件成为一种通用方法,Spymel是其中一例。攻击者借助社会工程学向目标发送电子邮件,导致感染,进一步窃取敏感信息,Spymel便会监控用户行为并转发给攻击者。对于普通终端用户而言,慎点邮件中的链接是保护自己免受Spymel木马危害的最好方式,毕竟,它使用的链接是很好识别的。


原文发布时间为:2016-01-13

本文作者:FreeBuf

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。





版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10081 0
asp.net 获取服务器相关信息
 #region 返回操作系统信息 .net版本 数据库大小  程序大小等方法        ///         /// 获取服务器系统信息        ///         public string GetOSVersion()        {            OperatingSystem os = Environment.
619 0
夯实信息安全底座,统信软件“云”上跑出加速度
在网站运维方面,由于后端存储不统一,统信软件需要收集Nginx、Apache等服务器以及安全产品等不同类型日志,无法统一采集管理,为数据分析、故障排查带来了不便。为了改变这一现状,统信软件亟需构建一个高效的运维平台,提高IT运维效率。在与阿里云进行深入的沟通与交流后,统信软件采用了日志服务SLS智能运维方案。
226 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13887 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11889 0
【视频】配置信息管理 的 使用方法(四):功能节点维护
用配置信息管理来功能节点的维护的演示。  
425 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7365 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载