近日,安天CERT监测到一个活跃的商业窃密木马Ficker,最早出现于2020年10月。近期通过伪造Microsoft Store、Spotify、在线文档转换器等网站进行传播,在一个月内快速迭代十多个版本。
Ficker窃密木马具备多种窃密功能,包括窃取系统信息、窃取浏览器信息、窃取应用程序凭证、屏幕截图等功能,并且可以窃取多个加密货币钱包。该窃密木马通过检测计算机语言环境,如果为俄罗斯、乌兹别克斯坦、乌克兰、亚美尼亚、哈萨克斯坦、阿塞拜疆、白俄罗斯的语言环境,则不会执行恶意代码。2021年1月,该窃密木马开始在俄语黑客论坛上公开售卖,传播方式由于购买者的不同逐渐产生了变化,例如通过伪装成主题为DocuSign的Word文档进行传播。与此同时,多个攻击组织实施过该木马的分发。例如,Hancitor恶意软件在感染独立主机时,选择使用Ficker窃密木马窃取数据。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
该起攻击行动样本技术特点分布图:
图 2‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表2‑1 ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
初始访问 |
网络钓鱼 |
利用钓鱼网站传播 |
|
执行 |
诱导用户执行 |
伪装成国际象棋应用程序诱导用户执行恶意代码 |
|
防御规避 |
仿冒 |
将图标伪装成国际象棋应用程序 |
|
防御规避 |
反混淆/解码文件或信息 |
将字符串解码为可执行程序 |
|
防御规避 |
混淆文件或信息 |
利用多层编码及加密混淆 |
|
防御规避 |
进程注入 |
将代码注入到进程中以规避检测 |
|
凭证访问 |
获取应用程序访问令牌 |
窃取Steam等应用程序保存的登陆凭证 |
|
凭证访问 |
窃取Web会话Cookie |
窃取Web会话Cookie |
|
发现 |
查询注册表 |
通过注册表收集有关系统、配置和已安装软件的信息 |
|
发现 |
发现系统信息 |
发现系统信息 |
|
发现 |
发现系统网络配置 |
通过访问www.ipify[.]org/查询外部IP地址 |
|
收集 |
收集本地系统数据 |
收集本地系统数据 |
|
收集 |
数据暂存 |
将查询得到的外部IP地址暂存在本地 |
|
收集 |
获取屏幕截图 |
获取屏幕截图 |
|
数据渗出 |
使用C2信道回传 |
回传到攻击者指定的C2服务器 |
针对该窃密木马安天建议企业采取如下防护措施:
3.1 企业防护
(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;
(3)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
图 3‑1 安天IEP对该窃密木马的查杀截图
4.1 攻击流程图
攻击者首先制作了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者伪造的Mircosoft Store页面。网页会自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件,压缩包内是伪装成“xChess3”国际象棋的Ficker窃密木马。
图4‑1 攻击流程图
图 4‑2 攻击者伪造的Mircosoft Store页面
图 4‑3 延时2秒后跳转到指定服务器
解压后,得到一个伪装成国际象棋应用程序的可执行文件,诱导用户执行。
图 4‑4 伪装成国际象棋的Ficker窃密木马
表 5‑1 Ficker窃密木马样本标签
|
病毒名称 |
Trojan[Spy]/Win32.Ficker |
|
原始文件名 |
xChess_v.709.exe |
|
MD5 |
562DAF0DAFE1EEED0D7B541D39136156 |
|
处理器架构 |
Intel 386 or later, and compatibles |
|
文件大小 |
390.68 KB (400,054字节) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
时间戳 |
2019-12-26 13:49:16 |
|
数字签名 |
无 |
|
加壳类型 |
无 |
|
编译语言 |
Microsoft Visual C++ 9.0 |
|
VT首次上传时间 |
2021-04-20 12:29:11 |
|
VT检测结果 |
50/70 |
该样本运用Shellcode技术规避检测,样本中包含了大量对抗分析的技术,如进程镂空、代码自解密等。样本窃取系统信息、浏览器信息、应用程序凭证、屏幕截图、加密钱包等,并将窃取的信息回传到攻击者指定的C2服务器。
5.2.1 解密Shellcode
样本运行后,通过Shellcode技术规避检测,将Shellcode写入申请的内存空间并解码执行。
图 5‑1 解密Shellcode
图 5‑2 创建自身进程
图5‑3 创建互斥量
表5‑2 规避的国家/地区
|
缩写 |
国家 |
|
ru-RU |
俄罗斯 |
|
uz-UZ |
乌兹别克斯坦 |
|
ua-UA |
乌克兰 |
|
hy-AM |
亚美尼亚 |
|
kk-KZ |
哈萨克斯坦 |
|
az-AZ |
阿塞拜疆 |
|
be-BY |
白俄罗斯 |
图 5‑4 查询外部IP地址并保存到本地
图 5‑5 获取Windows序列号
图 5‑6 窃取浏览器用户信息
表5‑3 窃取的加密钱包名称
图 5‑7 尝试窃取Steam登陆凭证
对当前计算机上正在运行的活动应用程序进行截图。
图 5‑8 屏幕截图
图 5‑9 回传到指定服务器
|
MD5: |
|
562DAF0DAFE1EEED0D7B541D39136156 |
|
C8BB9EB65027CF82FBE11FFE55C37B53 |
|
6987DF0DEF75225847F7A1B44B4AC858 |
|
0C9221E48CA29B7CC30DCE61433CD17B |
|
D615F7790D258DC87F05494838A8BE75 |
|
26E9921B4FA07DCE963C4EB4C703EA9A |
|
9C807B433F45181DDB3060E9FFB54129 |
|
419549395F9DF96E24530CBBE81318AF |
|
C5230EE45C145A14B202CA87E7B6317C |
|
6E9D4EF64DE1B821579F6457F07CFE4C |
|
4CA4725BD607EF1361B88D181A82DEE0 |
|
IP: |
|
188.120.251.192(以上样本均连接此IP) |
本文始发于微信公众号(安天):商业窃密木马Ficker活动及样本分析报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论