安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/news/17108
先知社区 作者:熊猫正正
StrelaStealer恶意软件会窃取知名电子邮件客户端的电子邮件登录数据,并将其发送回攻击者的C2服务器,等攻击成功后,攻击者将会获得受害者的电子邮件登录信息的访问权限,然后可以使用这些信息进行下一步的攻击活动。
自2022年该恶意软件首次出现以来,StrelaStealer恶意软件背后的攻击者已经发起了多次大规模的电子邮件攻击活动,影响了欧盟和美国的100多个组织,这些攻击活动以带有附件的垃圾邮件的形式出现,最终启动 StrelaStealer恶意软件的DLL负载。
笔者通过https://malware-traffic-analysis.net网站下载到该窃密木马的最新的攻击活动的攻击链样本,对该攻击链样本进行了详细分析,分享出来供大家参考学习,相关的样本以及威胁情报,如下所示:
详细分析
1.初始样本是一封钓鱼邮件,如下所示:
2.下载邮件的附件文件,如下所示:
3.解压缩压缩包之后是一个JS脚本,如下所示:
4.脚本内容,如下所示:
5.解密之后的脚本,如下所示:
6.最终解密执行的恶意脚本,通过regsvr32调用恶意模块,如下所示:
7.恶意模块的编译时间为2025年1月31日,如下所示:
8.DllRegisterServer代码,如下所示:
9.解密程序中加密的数据,如下所示:
10.解密之后的PayLoad,如下所示:
11.解密出来的PayLoad采用C/C++编写,编译时间为2025年1月10日,如下所示:
12.PayLoad代码中也使用了大量的混淆,如下所示:
13.遍历Thunderbird应用配置信息目录,如下所示:
14.获取目录下的登录信息等,如下所示:
15.获取OutLook的IMAP服务器登录帐号和密码信息,如下所示:
16.获取系统信息,如下所示:
17.连接远程服务器,将获取的邮件客户端相关的登录信息等发送到远程服务器,如下所示:
18.远程服务器C2地址为193.143.1.205,URL链接为/up.php,如下所示:
19.将获取的C2地址,通过威胁情报平台进行查询,如下所示:
到此StrelaStealer窃密木马整个攻击链就分析完毕了,从一封钓鱼邮件开始,通过附件包含的JS脚本加载执行恶意模块,然后在内存中解密出StrelaStealer窃密木马,获取受害者邮件客户端的登录信息等,然后发送到远程服务器。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):StrelaStealer窃密木马攻击链详细分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论