【恶意文件通告】InnoStealer恶意文件分析

admin 2022年4月22日13:21:14评论51 views字数 1194阅读3分58秒阅读模式

恶意文件名称

InnoStealer

威胁类型

窃密木马

简单描述

InnoStealer 是一款窃密木马,主要功能是窃取浏览器凭证和数字加密货币钱包等信息。


漏洞分析


1 恶意文件描述

近期,深信服终端安全团队发现一款名为 InnoStealer 窃密木马家族正通过谷歌 SEO 仿冒 Windows11 升级程序进行传播。该程序能够窃取用户桌面数据和网络浏览器数据,如 cookie、浏览器用户数据等,还能够窃取加密钱包和其他秘密数据。



2 恶意文件分析

1. 程序运行后,会在用户目录下,Temp 目录下释创建名为 “is-” 开头,加随机字符串,tmp 后缀的文件,这个文件是一个可执行程序。


【恶意文件通告】InnoStealer恶意文件分析


2. 随后程序会通过一个包含自身路径的参数,启动 .tmp 程序。


【恶意文件通告】InnoStealer恶意文件分析


3. 子进程会通过 “/verysilent /sp-” 参数再次启动安装程序。


【恶意文件通告】InnoStealer恶意文件分析


4. 新的进程会在C盘下创建 tmp 目录,然后释放 dfl.cmd,pr.exe 和 mbl.vbs。

 

【恶意文件通告】InnoStealer恶意文件分析

 

5. dfl.cmd 是一个混淆过的脚本文件,去混淆后可以看到其调用 pr.exe,通过关闭系统保护、卸载安全软件、提升权限等操作。

 

【恶意文件通告】InnoStealer恶意文件分析

 

6. 另一边,会在 AppDataRoaming 目录下释放 Windows11InstallationAsssistant目录,里面的 .scr 就是最终阶段的窃密程序。该程序会窃取数据, 并发送回 C2 服务器。 

 

【恶意文件通告】InnoStealer恶意文件分析


该恶意程序的行为和之前被国外安全媒体曝光的 SolarMarker 分析报告中提到的部分样本行为非常相似,而且会在同样的未知释放 .tmp 文件。


【恶意文件通告】InnoStealer恶意文件分析


解决方案


处置建议

1. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

2. 定期使用杀毒软件进行全盘扫描。


深信服解决方案

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于 XDR 安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。



深信服千里目安全实验室

【恶意文件通告】InnoStealer恶意文件分析

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们




原文始发于微信公众号(深信服千里目安全实验室):【恶意文件通告】InnoStealer恶意文件分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日13:21:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【恶意文件通告】InnoStealer恶意文件分析http://cn-sec.com/archives/936380.html

发表评论

匿名网友 填写信息