电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

admin 2022年6月27日23:15:39安全新闻评论11 views2131字阅读7分6秒阅读模式
电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


恶意通告名称:

Snake Keylogger

威胁类型:

窃密木马

简单描述:

Snake Keylogger 是使用  .NET  开发的恶意软件。它于 2020 年底首次出现,专注于从受害者的设备中窃取敏感信息,包括保存的凭据、受害者的键盘记录、受害者的屏幕截图和剪贴板数据。

2021 年 7 月,Snake Keylogger  首次进入 TOP 10 流行恶意软件家族报告,这意味着  Snake Keylogger  家族正在增加其影响力,并影响更多人的设备和敏感数据。



恶意文件分析

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

恶意文件描述

近期,深信服深盾终端实验室在运营工作中发现,一款名为  Snake Keylogger  的窃密木马正在国内范围传播。


该窃密木马通过钓鱼邮件进行传播,压缩包附件内存储着伪装成 Word 文档的可执行程序,诱导受害者运行后,会通过一系列操作释放最终窃密载荷,从受害者的设备中窃取敏感信息,包括应用凭据、受害者的键盘记录、受害者的屏幕截图和剪贴板数据。

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

恶意文件分析

该恶意程序通过钓鱼邮件进行传播,邮件主题为“五一劳动节职工福利名单”。邮件带有一个压缩包附件,解压后为两张图片和一个伪装成 Word 文档的可执行程序,诱导受害者点击。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


该恶意文件经过了混淆处理,类名、函数名和变量名都是随机生成的无意义字符串,这给分析人员分析时造成了一定困难。

1.恶意文件运行后,将一段字符串进行翻转,并根据秘钥取模依次相减,得到一串 Base64 字符串。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


2.经过 Base64 解码,可以看到 PE 文件数据。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


3.之后这个 PE 文件作为模块加载到内存中,该 DLL 伪装成 UI 制图库,并调用其 Alpha 命名空间下 Beta 类的 Bunifu_TextBox 函数。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


4.该模块,首先会调用 Sleep 函数沉睡 25500 毫秒,这是一种常见的对抗恶意文件分析工具的手段。然后,获取主程序中 Sales_Dashboard.Resources 资源目录下名为jXEamol 的图片资源。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


5.从图片中提取数据后,进行 Gzip 解密,得到另外一个可执行程序,同样作为模块加载到内存中,然后通过 Invoke函数从入口点进入。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


6.该程序主要通过 API WriteProcessMemory()  将  Snake Keylogger  有效负载逐段复制到子进程中。它接下来调用 SetThreadContext()  使子进程指向  Snake Keylogger  的入口点函数。在父进程退出之前,调用  API ResumeThread()  使子进程恢复运行。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


7.被注入的程序,就是 Snake Keylogger 的核心程序,包含全部的信息窃取功能:


(1)键盘记录功能:


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


(2)窃取应用凭证:

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


(3)窃取Wifi密码:

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


(4)屏幕截图:


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


(5)通过邮件回传窃取到的数据:


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马


8.目标应用包括浏览器、电子邮箱等以下几十种:

kinza,Sputnik,SalamWeb,Chrome plus,QIP Surf,BlackHawk,7Star,Sleipnir5,Citrio,Chrome SxS,Chrome,Coowon,CocCoc,Uran,QQBrowser,Orbitum,Slimjet,Iridium,Vivaldi,Chromium,GhostBrowser,CentBrowser,Xvast,Chedot,SuperBird,360Browser,360Chrome,Dragon,Brave-Browser,Torch,UCBrowser,Blisk,Epic Privacy Browser,YandexBrowser,Nichrome,Amigo,Kometa,Xpom,Elements Browser,Edge,Opera,Liebao7,AVAST,SlimBrowser,FileZilla,Pidgin,Firefox,Waterfox,Thunderbird,SeaMonkey,SeaMonkey,CyberFox,icecat,PostBox,PaleMoon。


9.数据回传除了邮件,还有 FTP 和 Telegram API 两种方式。


解决方案

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

1.处置建议

1. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

2. 定期使用杀毒软件进行全盘扫描。

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

2.深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;

电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马



原文始发于微信公众号(深信服千里目安全实验室):电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日23:15:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  电子邮件内有毒蛇:揭秘Snake Keylogger窃密木马 http://cn-sec.com/archives/1141249.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: