近期,天穹沙箱分析人员发现线上数个样本的流量均检出相似的Lumma Stealer活动,其中两个样本为Powershell脚本,另一个为伪装的EXE安装器,三个样本在运行后都连接了相同的C2地址。经分析,这三个样本实际存在父子关联关系,如图1所示:
Lumma Stealer 是一种高级信息窃取木马,能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 等浏览器中获取 cookie、凭证、密码、信用卡信息和浏览历史记录。此外,它还会窃取加密货币钱包、私钥,以及 Steam、Discord、AnyDesk 等应用的密码、令牌和用户配置文件等敏感信息。近年来,Lumma Stealer的活动愈发猖獗,本次我们将以上图样本为例,深度分析 Lumma Stealer 家族近期的攻击手法。
样本1:Trigger.ps1
-
样本名:Trigger.ps1
-
SHA1:a6a765c0b779678525e17a841341a124f8625bfc
-
文件类型:PS1
-
文件大小:116 B
样本2:BMB1tcTf.txt
-
样本名:BMB1tcTf.txt
-
SHA1:afc1d3d5dd2ba1e275a49b3813dd3321b8e831f3
-
文件类型:PS1
-
文件大小:29.00 MB
样本3:hhh.exe
-
样本名:hhh.exe
-
SHA1:ee201db9ca8802a08156879f9603f72e4057e385
-
文件类型:EXE
-
文件大小:10.89 MB
-
Trigger.ps1
Trigger.ps1脚本内容简短,仅包含一行命令,如图2所示,其功能是从https[:]//asgbucket.oss-ap-southeast-3.aliyuncs.com/class/initiate/BMB1tcTf.txt下载BMB1tcTf.txt并执行。
-
BMB1tcTf.txt
下载的BMB1tcTf.txt文件大小接近30M,我们让TQGPT来解读一下关键代码逻辑,如图3所示:
由解读结果可知,BMB1tcTf.txt在检测运行环境合法后,最终将释放hhh.exe文件并执行。
-
hhh.exe
初步分析确认,hhh.exe 属于GHOSTPULSE(也称为 HijackLoader 或 IDAT Loader)家族。该家族是一个恶意软件加载程序,最初于 2023 年被发现,主要用于加载和分发 Amadey、Lumma Stealer、Remcos RAT 等多种恶意软件。
样本运行后,首先获取运行环境信息,包括操作系统信息、硬件信息、加载的模块和正在运行的进程等,如图4所示:
随后,样本创建more.com进程,more.com实际是 MS DOS 中的 more 命令,用于显示文本内容。创建新进程成功后,样本利用Process Doppelgänging技术将自身携带的有效载荷注入到新进程中。在报告的动态行为类目中可以看到注入和执行行为,如图5所示:
这里让TQGPT讲解一下Process Doppelgänging技术,如图6所示:
被注入的more.com进程向%AppData%LocalTemp目录释放了两个文件,一个名为Hadar.com,另一个以随机小写字母组合作为文件名,如图7所示:
通过查看文件属性信息,释放的Hadar.com实际为AutoIt3.exe,如图8所示,这是AutoIt脚本的解释器。
另一个文件类型实际为PNG,图片内容为雪花状彩色散点,如图9所示,显然有其他用途。
深入分析发现,这张图片被GHOSTPULSE嵌入了 Payload 数据以作他用。这里使用ghostpulse_payload_extractor.py工具[https://github.com/elastic/labs-releases/tree/main/tools/ghostpulse]提取 Payload 做进一步分析。我们从Payload中提取到配置相关字符串,发现其版本号为4,安全功能处于启用状态,广告相关功能处于关闭状态,检测虚拟机功能处于关闭状态,可窃取与加密货币和密码相关的敏感文件和数据。
{"v":4,"se":true,"ad":false,"vm":false,"ex":[{"en":"ejbalbakoplchlghecdalmeeeajnimhm","ez":"MetaMask"},{"en":"aeblfdkhhhdcdjpifhhbdiojplfjncoa","ez":"1Password"},{"en":"jnlgamecbpmbajjfhmmmlhejkemejdma","ez":"Braavos"},{"en":"dlcobpjiigpikoobohmabehhmhfoodbb","ez":"Agrent X"},{"en":"jgaaimajipbpdogpdglhaphldakikgef","ez":"Coinhub"},{"en":"fcfcfllfndlomdhbehjjcoimbgofdncg","ez":"Leap Wallet"},{"en":"lgmpcpglpngdoalbgeoldeajfclnhafa","ez":"Safepal"},{"en":"hdokiejnpimakedhajhdlcegeplioahd","ez":"LastPass"},{"en":"kjmoohlgokccodicjjfebfomlbljgfhk","ez":"Ronin Wallet"},{"en":"abogmiocnneedmmepnohnhlijcjpcifd","ez":"Blade Wallet"},{"en":"pioclpoplcdbaefihamjohnefbikjilc","ez":"Evernote"},......{"t":4,"p":"\REGISTRY\CURRENT_USER\Software\TigerVNC\WinVNC4","v":"Password","z":"Applications/TigerVNC/Password.txt"},{"t":0,"p":"%programw6432%\UltraVNC","m":["ultravnc.ini"],"z":"Applications/UltraVNC","d":0,"fs":20971520},{"t":0,"p":"%programfiles%\UltraVNC","m":["ultravnc.ini"],"z":"Applications/UltraVNC","d":0,"fs":20971520},{"t":0,"p":"%localappdata%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState","m":["plum.sqlite-wal"],"z":"Notes","d":0,"fs":20971520},{"t":0,"p":"%appdata%\Conceptworld\Notezilla","m":["Notes9.db"],"z":"Notes/Notezilla","d":0,"fs":20971520},{"t":0,"p":"%appdata%\The Bat!","m":["*.TBB","*.TBN","*.MSG","*.EML","*.MSB","*.mbox","*.ABD","*.FLX","*.TBK","*.HBI","*.txt"],"z":"Mail Clients/TheBat","d":3,"fs":20971520},{"t":0,"p":"C:\PMAIL","m":["*.CNM","*.PMF","*.PMN","*.PML","*CACHE.PM","*.WPM","*.PM","*.USR"],"z":"Mail Clients/Pegasus","d":3,"fs":20971520},{"t":0,"p":"%localappdata%\Mailbird\Store","m":["*.db"],"z":"Mail Clients/Mailbird","d":3,"fs":20971520},{"t":0,"p":"%appdata%\eM Client","m":["*.dat","*.dat-shm","*.dat-wal","*.eml"],"z":"Mail Clients/EmClient","d":3,"fs":20971520}]}
接着,more.com执行hadar.com创建子进程,并利用天堂之门技术执行敏感 API 完成对hadar.com进程的注入,使用该技术可在64位环境中执行32位 API 规避检测,如图10、11所示:
最后,被注入的hadar.com进程收集大量系统敏感信息,包括系统信息、剪贴板、浏览器密码等内容,如图12所示:
完成窃密操作后,样本连接C2地址 https[:]//opinioratty.click/api,其流量被IDS规则检出,被标记为Lumma Stealer,如图13所示:
通过分析样本会话流量发现,样本上线时首先发送act=life消息,用于确认服务器是否存活,如图14所示:
紧接着发送第二次请求,请求体内容为act=recive_message&ver=4.0&lid=5Fwxx--xxx1&j=,参数说明如下:
| 参数 | 值 | 说明 |
|---|---|---|
| act | recive_message | 接收消息 |
| ver | 4.0 | 版本号 |
| lid | 5Fwxx–xxx1 | 推测可能指代lifeid,表示通信会话id |
C2服务器在收到第二次请求后返回了一个HTML文档,如图15所示:
之后,样本继续发送multipart/form-data类型的数据。在此次会话中指定边界字符串为SR3SP0I59JAF4M1,并依次发送hwid(硬件ID)、pid(进程ID号)、lid(liefid,即会话ID)、act和压缩后的窃密数据,如图16所示:
解压发送的窃密数据,发现样本窃取的数据主要是火狐浏览器的密码数据,如图17所示:
综合以上分析结果,Lumma Stealer不仅会伪装为正常的应用程序或文件等诱导用户下载并执行,也会通过钓鱼攻击、恶意广告、软件漏洞或其他社交工程手段传播,读者应提高警惕,避免点击可疑链接和附件等。
恶意文件(SHA1)
a6a765c0b779678525e17a841341a124f8625bfc Trigger.ps1afc1d3d5dd2ba1e275a49b3813dd3321b8e831f3 BMB1tcTf.txtee201db9ca8802a08156879f9603f72e4057e385 hhh.exee264ba0e9987b0ad0812e5dd4dd3075531cfe269 Hadar.come9726d1d5d9c7999b2ec0aa491d0ac068df862a3
恶意链接
https[:]//opinioratty.click/apihttps[:]//se-blurry.biz/apihttps[:]//zinc-sneark.biz/apihttps[:]//dwell-exclaim.biz/apihttps[:]//formy-spill.biz/apihttps[:]//covery-mover.biz/apihttps[:]//dare-curbys.biz/apihttps[:]//print-vexer.biz/apihttps[:]//impend-differ.biz/apihttps[:]//razaseoexpertinbd.com
天穹沙箱分析hhh.exe分析报告:
https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=b7f44e6e28c62eae0c7647048a08161a&sk=01458073
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。
天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。
天穹内网地址(使用域账号登录):
https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):
https://sandbox.qianxin.com
奇安信技术研究院是专注于网络空间安全相关技术的研究机构,聚焦网络空间安全领域基础性或前沿性的研究课题,结合国家和社会的实际需求,开展创新性和实践性的技术研究。
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、南京、成都等城市,详情请参见:
https://research.qianxin.com/recruitment/
原文始发于微信公众号(奇安信技术研究院):天穹 | 警惕Lumma Stealer:深入剖析高级窃密木马攻击手法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论