当Cerberus代码于 2020 年底泄露时,IBM Trusteer 研究人员预测新的 Cerberus 突变只是时间问题。多个攻击者使用了泄露的 Cerberus 代码,但没有对恶意软件进行重大更改。然而,MalwareHunterTeam于 2022 年 9 月下旬发现了 Cerberus 的一个新变种,称为 Ermac(也称为 Hook)。
为了更好地理解新版本的 Cerberus,我们可以尝试了解一下维护 Ermac 的幕后操作者。虽然该恶意软件的新版本已经发布,但我们将重点关注原始 版本。
深入了解恶意软件的后台操作不仅仅是对发布到野外的恶意软件样本进行逆向工程。然而,一旦逆向工程完成,恶意软件内部运作的独特且有趣的方面就会被揭示。
塞伯鲁斯连接
作为 Cerberus 的后代,Ermac 共享相同的源代码和欺诈功能,包括窃取用户的银行凭证和通过 SMS 或通知传递给用户的第二因素身份验证 (2FA) 消息。
以下是 Cerberus 和 Ermac 创建的共享首选项文件的示例。我们可以很容易地看到,Ermac 恶意软件具有与 Cerberus 相同的元素,并且还有代表Ermac 中新功能的新条目。
图 1:Cerberus 共享偏好。
图 2:Ermac 共享首选项。
Ermac 有何独特之处
Ermac 的功能已经深入讨论过。然而,值得一提的是,Ermac 恶意软件包含与 Cerberus 不同的加壳程序。Ermac 加壳器是开源的,可以在网上找到。
这进一步证明Ermac 可能是一个新的运营商,并且威胁行为者正在积极维护泄露的 Cerberus 代码并不断改进 Ermac 的代码库。
图 3:这是连接到 Ermac 命令和控制服务器后显示的第一个页面。
深入研究 Ermac 命令和控制服务器 (C&C) 用户界面 (UI),揭示了 Cerberus 和 Ermac 之间的差异,并提供了对 Ermac 功能、货币化方案和正在开发的功能的独特了解。IBM Trusteer 研究人员在 Ermac 恶意软件中发现了两个新的测试版功能:勒索软件和虚拟专用网络 (VPN) 连接。
广泛的能力
这些从 C&C 拍摄的图像展示了 Ermac 的不同功能。
图 4:ERMAC C&C 机器人管理页面。
C&C 管理的数据组织在具有多列的结构化表中。
第一列显示为每个机器人生成的 ID。我们还可以看到不同的操作和设备模式:例如,用户当前是否正在观看屏幕,是否加载了不同的模型等等。
下一列存储有关受害者设备和操作系统版本的信息。
第三列存储有关机器人状态的不同标签;例如,“收藏夹”、“黑名单”和“垃圾”。
下一列称为 GEO,存储有关机器人的国家/地区和设备位置的信息。
接下来,有有关恶意软件安装日期和时间以及机器人上次成功连接到 C&C 的时间的信息。
“注入”列包含恶意软件可以执行覆盖攻击的不同应用程序。
“操作”列列出了 C&C 操作员可以命令机器人在受害者设备上执行的不同操作。这些操作包括打开注入、转发调用、清除应用程序数据等(见图 8-13)。
日志列包含从受害者设备中窃取的原始数据,包括联系人列表、2FA、已安装应用程序列表、应用程序通知、击键日志等。
图 5:Ermac 功能。
最有趣的屏幕之一是“自动命令”,它仍处于测试模式。在屏幕上,我们可以看到发送短信、打开注入(覆盖屏幕)、抓取联系人列表和killbot(这是一个Ermac自毁开关)等功能。我们还可以看到独特的命令,例如“清除应用程序数据”和“获取帐户”。
C&C 的可见性暴露了仍在开发中的新命令:“beta Ransomware”和“beta Set bot VPN”。
图 6:Ermac 事件。
在这里,我们可以看到 Ermac 事件。机器人的所有活动都可以在此图中看到。
图 7:设备列表屏幕(正在开发中)。
另一项仍在开发中的功能是从机器人本身上传或下载文件的能力。在生产中,这使得机器人操作员能够更好地控制受害者的机器,并为新的攻击策略打开了大门。
图 8:机器人命令。
恶意软件操作者可以选择任何受感染的设备,从该设备发起呼叫,甚至选择用于呼叫的 SIM 卡。可以打开或关闭“锁定屏幕”复选框。在开启状态下,Ermac 在整个通话过程中向受害者显示一个假屏幕,从而向受害者隐藏正在进行的通话,同时防止该设备的任何其他使用。
图 9:调用命令
图 10:SMS 命令。
清除缓存命令可用于清除应用程序的所有数据。当恶意软件清除数据时,它也会清除缓存。
图 11:清除缓存命令。
欺诈者可以通过发送带有“银行”短信的推送通知来引诱受害者打开银行申请。
图 12:发送推送命令。
欺诈者可以从用于加密钱包的用户设备中窃取种子短语,然后使用它登录受害者的帐户,而无需证明其身份。
图 13:获取种子短语命令。
在C&C用户管理面板中,我们可以看到系统中存在的所有用户和角色。这表明 Ermac 是为了在欺诈即服务 (FaaS) 模型中运行而构建的。Ermac 操作员“root”可以从此屏幕创建一个新用户和密码,稍后欺诈者客户可以使用该用户和密码通过使用该新用户登录 C&C 来管理其机器人。
图 14:C&C 用户管理面板。
图 15:C&C 用户管理面板“创建新用户”屏幕。
当管理员创建新用户时,他们可以选择用户登录时使用的令牌(密码),并可以为用户分配角色。
图 16:C&C 用户管理面板“创建新用户”屏幕定义角色。
图 17:权限屏幕。
每个角色都有自己的权限配置文件,并在权限屏幕上进行管理。
欺诈即服务不断发展
尽管 Ermac 的风险与 Cerberus 非常相似,但 Ermac 具有一些以前从未见过的新功能。这是更复杂的 Cerberus 变体之一,因为它提供了新功能,例如“勒索软件”和“设置机器人 VPN”。
我们预计会使用 Cerberus 泄露的代码看到更多具有新功能的突变。正如我们在本文中所做的那样,从恶意软件的“另一面”观察 C&C 以及欺诈者如何管理和控制世界各地的机器人,这是很有趣且罕见的。
原文始发于微信公众号(河南等级保护测评):Ermac 恶意软件:代码的另一面
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论