点击上方蓝字“Ots安全”一起玩耍
FormBook 窃取程序是一种信息窃取程序木马,可作为恶意软件即服务使用。这种恶意软件经常被技术素养低且编程知识很少的攻击者使用。FormBook 可用于从受感染的机器中窃取各种信息。
尽管设置和使用非常容易,但该恶意软件具有先进的窃取和逃避功能,包括提取存储和记录的用户输入的能力。此外,FormBook 窃取程序能够搜索、查看和与文件交互以及截取屏幕截图。尽管这种病毒的窃取能力可以认为是一般的,但它的易操作性、注入模式以及恶意软件为避免被杀毒软件检测到的一系列有效措施,使得 FormBook 成为黑客社区中的流行病毒,并且,不幸的是,它的受欢迎程度仅在 2019 年继续上升。
FormBook 用 C 和 x86 汇编语言编写,作为 PHP 控制面板出售,只需 30 美元即可在访问方便的在线论坛上购买。
独特之处在于,与大多数利用最新漏洞或零日漏洞的现有病毒不同,FormBook 可以注入进程并利用已知问题设置功能挂钩。因此,制造商声称,无论 Windows 版本如何,该病毒都可以完美运行。
连同其窃取功能和规避技术,该病毒知道如何执行来自控制服务器的指令,包括启动新进程、注入它们以及重新启动受害者的 PC。更重要的是,该病毒能够将Windows的ntdll.dll模块记录到内存中并直接调用,这使得API监控和用户态hook几乎不够用。
-
病毒首先与CnC服务器建立连接;
-
此后,恶意可执行文件(在本分析中伪装成 .png)被丢弃或覆盖并执行;
-
然后,FormBook 继续窃取个人数据并更改注册表中的自动运行值。此外,病毒从 Mozilla Firefox 加载 DLL 在用户目录中创建文件,并启动 CMD.EXE 以设置持久性,然后开始进程注入;
-
最后,注入的 Firefox.exe 被执行以记录击键、窃取剪贴板数据以及从浏览器 HTTP 会话中提取身份验证信息。
FormBook 传播
根据 FormBook 分析,恶意软件通常通过电子邮件活动传播,这些活动利用了广泛的感染机制,并且可能包含许多不同的文件附件。最常见的附件是 PDF、DOC 或 EXE,或 ZIP、RAR、ACE 和 ISO 文件。
众所周知,通过带有 PDF 扩展名的文件传播病毒的活动会利用与运输相关的主题,并且通常包含指向恶意代码而不是实际病毒的下载链接。DOC 和 EXE 活动利用宏来安装和运行病毒。在这种情况下,通常会以 .PDF 文件的形式检索病毒。最后,归档活动被认为是该病毒最常见的攻击媒介,通常围绕与业务相关的主题,例如支付订单。在这种攻击媒介的情况下,附件要么包含指向 FormBook 窃取程序 EXE 文件的链接,要么直接在受害者的 PC 上安装和运行病毒。
在 2020 年,Formbook 变得非常流行,因为它使用以 Covid 为主题的电子邮件作为诱饵,主题为“政府对冠状病毒 Covid-19 的反应”。
指标:
MIME: application/x-dosexecFile info: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS WindowsMD5 :4027795BB94D3B7CBE74BF5E2B1FCA0FSHA1 :40D01F7F6577A065F28BD7A72A536CC280894336SHA256 :DA988BA6C1B8B556831EA02129681D06CBF19C252BD744B83162CDB43343ACEBSSDEEP :6144:+RBU1CQFVGWML8E+LXZWFTYHXCKNMWGWJONHZ:SGCQFEGE+LXKTYHBMWR2H
恶意行为
内存转储检测到 FORMBOOKdwm.exe (PID: 888)启动后立即删除可执行文件Explorer.EXE (PID: 1464)DllHost.exe (PID: 2632)连接到数控服务器Explorer.EXE (PID: 1464)检测到表格Explorer.EXE (PID: 1464)更改注册表中的自动运行值dwm.exe (PID: 888)应用程序被其他进程删除或重写aspnet_compiler.exe (PID: 2680)taskhostezotrtb.exe (PID: 2848)行为看起来像窃取个人数据dwm.exe (PID: 888)
可疑行为
删除编译日期过近的文件Explorer.EXE (PID: 1464)DllHost.exe (PID: 2632)检查支持的语言aspnet_compiler.exe (PID: 2680)vbc.exe (PID: 2272)taskhostezotrtb.exe (PID: 2848)读取计算机名称aspnet_compiler.exe (PID: 2680)vbc.exe (PID: 2272)taskhostezotrtb.exe (PID: 2848)在用户目录中创建文件Explorer.EXE (PID: 1464)可执行内容被删除或覆盖Explorer.EXE (PID: 1464)DllHost.exe (PID: 2632)读取环境值dwm.exe (PID: 888)启动 CMD.EXE 以执行命令dwm.exe (PID: 888)读取谷歌浏览器的 cookiedwm.exe (PID: 888)在程序目录中创建文件DllHost.exe (PID: 2632)通过 COM 执行DllHost.exe (PID: 2632)从 Mozilla Firefox 加载 DLLdwm.exe (PID: 888)在 Program Files 中创建一个目录DllHost.exe (PID: 2632)
威胁过程:
第一列为:PID 第二列为:过程 第三列为:检测信息 第四列为:方式1464 Explorer.EXE 通用协议命令解码 SURICATA HTTP 意外请求正文1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 通用协议命令解码 SURICATA HTTP 意外请求正文1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 通用协议命令解码 SURICATA HTTP 意外请求正文1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 通用协议命令解码 SURICATA HTTP 意外请求正文1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 通用协议命令解码 SURICATA HTTP 意外请求正文1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)1464 Explorer.EXE 检测到网络木马 ET TROJAN FormBook CnC 签入 (GET)
沙盒主要执行流程详情:
下载恶意文件后,唯一需要启动污染的就是打开文件。在使用 Microsoft Office 文件(doc、xls、rtf)作为感染源的情况下,恶意软件打开后利用 CVE-2017-11882 漏洞,因此 Microsoft Office Equation Editor 继续下载恶意可执行文件并运行它。
在感染受害者的 PC 后,病毒会将自身复制并重命名到一个目录,该目录根据用户的权限而有所不同。如果使用管理员帐户,病毒会自行安装在 %ProgramFiles% 或 %CommonProgramFiles% 中。另一方面,如果没有提升权限,那么病毒会将自身复制到 %TEMP% 或 %APPDATA 中。
此外,Formbook 特洛伊木马会更改注册表中的自动运行值,具体取决于它是以正常权限还是提升权限运行。接下来,恶意软件会将自身复制到一个目录中,然后继续检查它是否正在虚拟机上运行或进行分析,评估可在特定情况下使用的最佳反规避选项。同时,该病毒会尝试评估 USERNAME 环境变量,以确定它是否在模拟中启动,同时还会检查是否存在调试器。应该注意的是,恶意软件在执行分析时使用了特别聪明的技术,例如,所有共享字符串(如命令服务器名称)仅在绝对需要时才被短暂解码,这使得 FormBook 非常难以捉摸。在下一步中,病毒使用相同的注入方法注入活动的资源管理器。
该病毒偶尔会注入 Web 浏览器进程和 explorer.exe。注入进程后,病毒会从静态列表中随机选择一个应用程序。然后,病毒继续以挂起模式运行选定的应用程序,并将自身复制到挂起进程的地址空间中,从而模仿真正的 Microsoft 进程。接下来,病毒退出原始进程,从而将 FormBook 的死代码留在 explorer.exe 中。从这个阶段开始,新的 FormBook 进程可以注入目标应用程序,例如 Web 浏览器进程,在这个特定的模拟中是 Firefox。
根据目标进程,病毒可以建立各种功能挂钩。从已经生成的进程的上下文中运行,病毒开始遍历每个当前活动的进程,试图识别目标程序。一旦找到目标,FormBook 就会将自己注入其中并安装一组特定的 API 挂钩,这些挂钩是基于目标程序的。然后将数据保存在 %APPDATA% 目录中的文件中,直到将其发送到 C&C 服务器。注意此功能以检测恶意软件。
恶意软件配置信息:
{"C2": "www.mentalnayaarifmetika.online/ocgr/u0000","Decoys and strings": ["USERNAME","LOCALAPPDATA","USERPROFILE","APPDATA","TEMP","ProgramFiles","CommonProgramFiles","ALLUSERSPROFILE","/c copy "","/c del "","\Run","\Policies","\Explorer","\Registry\User","\Registry\Machine","\SOFTWARE\Microsoft\Windows\CurrentVersion","Office\15.0\Outlook\Profiles\Outlook\"," NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\","\SOFTWARE\Mozilla\Mozilla ","\Mozilla","Username: ","Password: ","formSubmitURL","usernameField","encryptedUsername","encryptedPassword","\logins.json","\signons.sqlite","\Mail\","\Foxmail","\Storage\","\Accounts\Account.rec0","\Data\AccCfg\Accounts.tdat","\Microsoft\Vault\","SELECT encryptedUsername, encryptedPassword, formSubmitURL FROM moz_logins","\Google\Chrome\User Data\Default\Login Data","SELECT origin_url, username_value, password_value FROM logins",".exe",".com",".scr",".pif",".cmd",".bat","ms","win","gdi","mfc","vga","igfx","user","help","config","update","regsvc","chkdsk","systray","audiodg","certmgr","autochk","taskhost","colorcpl","services","IconCache","ThumbCache","Cookies","SeDebugPrivilege","SeShutdownPrivilege","\BaseNamedObjects","config.php","POST "," HTTP/1.1rn","Host: ","rnConnection: closern","Content-Length: ","rnCache-Control: no-cachern","Origin: http://","rnUser-Agent: Mozilla Firefox/4.0","rnContent-Type: application/x-www-form-urlencodedrn","Accept: */*rn","Referer: http://","rnAccept-Language: en-US","rnAccept-Encoding: gzip, deflaternrndat=","f-start","shiftmedicalstaffing.agency","muktobangla.xyz","attmleather.com","modelahs.com","clime.email","yonatec.com","mftie.com","doxofcolor.com","american-atlantic.net","christineenergy.com","fjqsdz.com","nagpurmandarin.com","hofwimmer.com","gororidev.com","china-eros.com","xn--ekrt15fxyb2t2c.xn--czru2d","dabsavy.com","buggy4t.com","souplant.com","insurancewineappraisals.com","012skz.xyz","kincsemto.net","zyaxious.website","tellgalpy.com","demetbatmaz.com","wallacehills.com","chambaultfleurs.com","fairfieldgroupfw.com","lotsimprovements.com","dhslcy.com","anotherdegen.com","dearpennyyouradviceblogspot.com","seekbeforefind.com","societyalluredmcc.com","climatecheckin.com","candybox-eru.com","tentacionescharlie.com","exceedrigging.online","skb-cabinet.com","qhzhuhang.com","ccav11.xyz","sandstonehosting.com","14offresimportantes.com","xn--hj2bz6fwvan2be1g5tb.com","embedded-electronic.com","drsanaclinic.com","ageofcryptos.com","dreamonetnpasumo1.xyz","engroconnect.net","huvao.com","denalicanninglids.com","tootko.com","edisson-bd.com","myamazonloan.net","dbcyebnveoyu.cloud","floridacaterpillar.com","travisjbogard.com","dialoneconstruction.com","tubesing.com","gofilmwizards.com","tahnforest.com","salahov.info","bimcellerviss.com","garglimited.com","f-end"],"Modules": ["kernel32.dll","advapi32.dll","ws2_32.dll","svchost.exe","msiexec.exe","wuauclt.exe","lsass.exe","wlanext.exe","msg.exe","lsm.exe","dwm.exe","help.exe","chkdsk.exe","cmmon32.exe","nbtstat.exe","spoolsv.exe","rdpclip.exe","control.exe","taskhost.exe","rundll32.exe","systray.exe","audiodg.exe","wininit.exe","services.exe","autochk.exe","autoconv.exe","autofmt.exe","cmstp.exe","colorcpl.exe","cscript.exe","explorer.exe","WWAHost.exe","ipconfig.exe","msdt.exe","mstsc.exe","NAPSTAT.EXE","netsh.exe","NETSTAT.EXE","raserver.exe","wscript.exe","wuapp.exe","cmd.exe"]}
原文始发于微信公众号(Ots安全):FormBook 数据窃取恶意软件威胁分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论