勒索作者再出手,这次是远控+窃密-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

勒索作者再出手,这次是远控+窃密

简介: 勒索作者再出手,这次是远控+窃密

背景


继七月份监测到某犯罪团伙利用混淆AutoIt脚本加载Globeimposter勒索病毒之后(Globeimposter勒索病毒新变种分析)。阿里云安全近期又监测到两个攻击手法类似,但攻击载荷不同的恶意样本,样本A的攻击载荷为Remcos远控木马, 样本B的攻击载荷疑似CryptoBot窃密木马。初步判定属于同一犯罪团伙, 判定依据主要来源以下三个方面:


· 所规避的用户名相同。 当计算机的用户名为DESKTOP-QO5QU33、NfZtFbPfH、tz和ELICZ时, 脚本会自动退出。

1.png

· AutoIt脚本所使用的混淆方法相同。

· 攻击者都对样本的编译时间进行了修改来对抗分析。


2.png


远控载荷的样本


该样本是一个7z sfx压缩文件, 运行过程中释放四个文件, 包括: Gia.xla、Qui.xla、Sconvolge.xla 和 Bellissima.xla。


· Gia.xla 是一个修改之后的带签名的AutoIt程序

· Qui.xla 是混淆之后的AutoIt脚本, 用于解密攻击载荷并将其注入到AutoIt.exe进程中。

· Sconvolge.xla 是一个Bat脚本, 用于生成Auto.exe程序, 并执行AutoIt脚本。

· Bellissima.xla是加密之后的远控木马Remcos。


对上述四个文件进行分析, 判定该样本的攻击流程与Globeimposter勒索病毒新变种分析一文相同。但部分细节略有不同, 如下:


· 解密密钥。 样本A在对载荷解密时所使用的密钥为1233。

· 傀儡进程。 本次注入的进程对象是AutoIt.exe。

· 攻击载荷。 样本A使用的载荷为Remcos 3.13 Pro远控木马。 Remcos木马于2016年开始在黑客论坛公开售卖,至今已经经历81个版本的改进, 最新版本为3.2.0。


窃密载荷的样本


同远控载荷样本的执行流程相同, 释放的四个文件分别为:Accendeva.pub、Dianzi.pub、Inebriato.pub和Osi.pub。

· Dianzi.pub功能同上Gia.xla

· Osi.pub功能同上Qui.xla, 但注入手法略有不同。

· Accendeva.pub功能同上Sconvolge.xla。

· Inebriato.pub为加密之后的窃密木马CryptBot。


Osi.pub文件分析


对该文件去混淆之后, 发现使用的解密密钥为458348364, 且注入手法与之前略有不同。 本次使用注入手法如下:

· 解密CryptBot攻击载荷。

· 调用LoadLibraryExA函数加载Explore。exe文件, 随后调用NtUnmapViewOfSection解除相关内存映射。

· 为了规避相关检测, 将解密之后的载荷映射到Explorer。exe在进程中地址。

· 执行CryptBot窃密木马。


流程图:


3.png


4.png5.png


6.png


窃密木马CryptBot分析


本次捕获的CryptBot木马主要窃取以下四类信息:


· 浏览器存储的用户名和密码、Cookie和信用卡凭证。

· 数字货币钱包的应用程序信息。

· 截图。

· 用户计算机的信息。


将以上四类信息分门别类放入特定的文件夹中,打包成ZIP文件发送至远端。


1. 检测相关杀软件

检测AVAST和AVG杀毒软件是否存在,若存在则sleep随机时间进行对抗。

7.png


2. 创建文件夹

在%tmp%创建如下文件夹结构, 其中filesFiles搜集的信息是相同的。

8.png


3. 窃取浏览器信息


主要收集的浏览器包括: Chrome浏览器、Brave浏览器、Opera浏览器和Firefox浏览器, 下面以Chrome浏览器为例进行讲解。 拷贝Chrome浏览器下存储用户信息的文件Login Data、Cookie和WebData至GKg147x下, 并以随机字符串重命名。


窃取密码


创建文件\files_AllPasswords_list.txt和_Files\passwords.txt用于存放收集所有浏览器账号和密码,并创建\files_AllForms_list.txt和_Files\forms.txt存放所有浏览器自动填充字段。

9.png


窃取Cookie


11.png


窃取信用卡凭证


创建文件\files__All_CC_list.txt和_Files\cc.txt用于存放搜集的所有信用卡凭证。


11.png


4.窃取加密货币


窃取数字货币钱包的应用程序信息, 如下图所示:


12.png


5.窃取屏幕截屏


截取当前屏幕内容保存至\files__Screen_Desktop。jpeg


13.png


6.窃取用户计算机信息


将收集计算机信息保存至\files__Information。txt, 包括: 操作系统版本、用户名、CPU信息和已安装的软件等。


14.png


7.上传文件


压缩_Files和\files_文件夹为ZIP文件, 通过http协议向URL1和URL2以POST方式上传两文件。


15.png


Iocs


文件MD5


16.png


IP和域名


17.png


专家建议

阿里云安全中心建议云上客户做好以下三点,进一步降低被恶意攻击的机会:

  1. 定期修复系统漏洞,避免被黑客利用。
  2. 不使用弱密码,对重要的系统开启双因子认证。
  3. 使用安全组,限制IP段访问,避免不必要的网络端口暴露在互联网,减小攻击面。
  4. 关闭或者修改一些常用端口:445、135、139等等。对内网的安全域进行合理的划分,域之间做好各种ACL的限制。
  5. 开启阿里云安全中心->恶意行为防御功能。


18.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章
最新文章
相关文章