商业窃密木马Ficker活动及样本分析报告
时间 : 2021年05月04日 来源: 安天CERT
1、概述
近日,安天CERT监测到一个活跃的商业窃密木马Ficker,最早出现于2020年10月。近期通过伪造Microsoft Store、Spotify、在线文档转换器等网站进行传播,在一个月内快速迭代十多个版本。
Ficker窃密木马具备多种窃密功能,包括窃取系统信息、窃取浏览器信息、窃取应用程序凭证、屏幕截图等功能,并且可以窃取多个加密货币钱包。该窃密木马通过检测计算机语言环境,如果为俄罗斯、乌兹别克斯坦、乌克兰、亚美尼亚、哈萨克斯坦、阿塞拜疆、白俄罗斯的语言环境,则不会执行恶意代码。2021年1月,该窃密木马开始在俄语黑客论坛上公开售卖,传播方式由于购买者的不同逐渐产生了变化,例如通过伪装成主题为DocuSign的Word文档进行传播。与此同时,多个攻击组织实施过该木马的分发。例如,Hancitor恶意软件在感染独立主机时,选择使用Ficker窃密木马窃取数据。 经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
2、事件对应的ATT&CK映射图谱
该起攻击行动样本技术特点分布图:
图 2-1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表 2-1 ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
初始访问 |
网络钓鱼 |
利用钓鱼网站传播 |
|
执行 |
诱导用户执行 |
伪装成国际象棋应用程序诱导用户执行恶意代码 |
|
防御规避 |
仿冒 |
将图标伪装成国际象棋应用程序 |
|
防御规避 |
反混淆/解码文件或信息 |
将字符串解码为可执行程序 |
|
防御规避 |
混淆文件或信息 |
利用多层编码及加密混淆 |
|
防御规避 |
进程注入 |
将代码注入到进程中以规避检测 |
|
凭证访问 |
获取应用程序访问令牌 |
窃取Steam等应用程序保存的登陆凭证 |
|
凭证访问 |
窃取Web会话Cookie |
窃取Web会话Cookie |
|
发现 |
查询注册表 |
通过注册表收集有关系统、配置和已安装软件的信息 |
|
发现 |
发现系统信息 |
发现系统信息 |
|
发现 |
发现系统网络配置 |
通过访问www.ipify[.]org/查询外部IP地址 |
|
收集 |
收集本地系统数据 |
收集本地系统数据 |
|
收集 |
数据暂存 |
将查询得到的外部IP地址暂存在本地 |
|
收集 |
获取屏幕截图 |
获取屏幕截图 |
|
数据渗出 |
使用C2信道回传 |
回传到攻击者指定的C2服务器 |
3、防护建议
针对该窃密木马安天建议企业采取如下防护措施:
3.1 企业防护
(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
(4)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
3.2 网站传播防护
(1)尽量不打开来历不明的网页链接;
(2)不随意点击网站上的广告信息;
(3)在威胁情报分析系统中查询URL是否具有威胁。
经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
图 3-1 安天IEP对该窃密木马的查杀截图
4、攻击流程
4.1 攻击流程图
攻击者首先制作了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者伪造的Mircosoft Store页面。网页会自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件,压缩包内是伪装成“xChess 3”国际象棋的Ficker窃密木马。
图 4-1 攻击流程图
4.2 攻击流程详述
攻击者首先制作并投放了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者事先伪造的Mircosoft Store页面。
图 4-2 攻击者伪造的Mircosoft Store页面
攻击者设置网页延时2秒后,自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件。
图 4-3 延时2秒后跳转到指定服务器
解压后,得到一个伪装成国际象棋应用程序的可执行文件,诱导用户执行。
图 4-4 伪装成国际象棋的Ficker窃密木马
5、样本分析
5.1 样本标签
表 5-1 Ficker窃密木马样本标签
|
病毒名称 |
Trojan[Spy]/Win32.Ficker |
|
原始文件名 |
xChess_v.709.exe |
|
MD5 |
562DAF0DAFE1EEED0D7B541D39136156 |
|
处理器架构 |
Intel 386 or later, and compatibles |
|
文件大小 |
390.68 KB
(400,054字节) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
时间戳 |
2019-12-26
13:49:16 |
|
数字签名 |
无 |
|
加壳类型 |
无 |
|
编译语言 |
Microsoft
Visual C++ 9.0 |
|
VT首次上传时间 |
2021-04-20
12:29:11 |
|
VT检测结果 |
50/70 |
5.2 样本详细分析
该样本运用Shellcode技术规避检测,样本中包含了大量对抗分析的技术,如进程镂空、代码自解密等。样本窃取系统信息、浏览器信息、应用程序凭证、屏幕截图、加密钱包等,并将窃取的信息回传到攻击者指定的C2服务器。
5.2.1 解密Shellcode
图 5-1 解密Shellcode
Shellcode解码完成后,样本会运行自身,创建一个挂起的进程,卸载该进程占用的内存,将解密完成的核心代码注入到新创建的进程里,最后恢复挂起的进程。攻击者使用这种进程镂空的攻击技术以规避杀软检测。
图 5-2 创建自身进程
5.2.2 窃密回传
注入的核心代码是一个PE文件,运行后会创建一个名为“serhershesrhsfesrf”的互斥量。
图 5-3 创建互斥量
检测计算机的语言环境,如果为以下国家的语言环境,则不会执行恶意代码。
表 5-2 规避的国家/地区
|
缩写 |
国家 |
|
ru-RU |
俄罗斯 |
|
uz-UZ |
乌兹别克斯坦 |
|
ua-UA |
乌克兰 |
|
hy-AM |
亚美尼亚 |
|
kk-KZ |
哈萨克斯坦 |
|
az-AZ |
阿塞拜疆 |
|
be-BY |
白俄罗斯 |
访问www.ipify[.]org/查询外部IP地址,并将返回的信息下载到C:\ProgramData\kaosdma.txt。
图 5-4 查询外部IP地址并保存到本地
获取系统用户名、系统版本、Windows序列号等信息。
图 5-5 获取Windows序列号
窃取Web浏览器中的保存的用户名称、登陆凭证、Cookie等信息。
图 5-6 窃取浏览器用户信息
窃取多个加密货币钱包,如下表所示:
表 5-3 窃取的加密钱包名称
|
Exodus |
Atomic |
Electrum |
Zcashrum |
bytecoin |
|
Litecoin |
Dash |
vault |
Ethereum |
Monero |
窃取Pidgin、Steam、Discord等应用程序客户端和FTP客户端中保存的登陆凭证。
图 5-7 尝试窃取Steam登陆凭证
对当前计算机上正在运行的活动应用程序进行截图。
图 5-8 屏幕截图
将窃取的信息回传到攻击者指定的C2服务器188.120.251.192。
图 5-9 回传到指定服务器
Ficker窃密木马于2020年10月末发现,并衍生多个版本,该家族其他版本曾下载其他流行远程控制木马。该窃密木马对用户的数据安全造成了极大的威胁,一旦感染,用户应及时清除,并且立即修改相关应用程序密码,通过反病毒扫描检查计算机中是否存在其他恶意软件。
6、IoCs
|
MD5: |
|
562DAF0DAFE1EEED0D7B541D39136156 |
|
C8BB9EB65027CF82FBE11FFE55C37B53 |
|
6987DF0DEF75225847F7A1B44B4AC858 |
|
0C9221E48CA29B7CC30DCE61433CD17B |
|
D615F7790D258DC87F05494838A8BE75 |
|
26E9921B4FA07DCE963C4EB4C703EA9A |
|
9C807B433F45181DDB3060E9FFB54129 |
|
419549395F9DF96E24530CBBE81318AF |
|
C5230EE45C145A14B202CA87E7B6317C |
|
6E9D4EF64DE1B821579F6457F07CFE4C |
|
4CA4725BD607EF1361B88D181A82DEE0 |
|
IP: |
|
188.120.251.192(以上样本均连接此IP) |