1.概述

商业窃密木马是一类在利益驱使下形成的商品化、市场化的窃密木马。商业窃密木马会收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等),并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。因此,安天CERT全面剖析了典型商业窃密木马家族,归纳了商业窃密木马攻击活动中的攻击流程和常用技术手段,阐述了商业窃密木马的活动现状,总结了有效的防护建议,帮助用户免受商业窃密木马的侵害。

目前,商业窃密木马已形成了一条完整的窃密产业链,主要包含制作、混淆、销售、传播、获利等环节。产业链分工协作明确:窃密木马编写者负责程序设计、开发和测试;混淆服务提供商负责混淆程序以规避检测;销售者进行推广销售以获取更多利益;传播者负责投放窃密木马感染用户设备。窃密攻击者可通过在窃密产业链中购买各个攻击阶段的服务来实现“一条龙”式的完整攻击,最终将窃取到的数据出售给信息购买者从而获利。

商业窃密木马采用模块化的载荷,内部组件相对独立,可扩展性强,可根据攻击目标的变化进行调整,增加新的窃密功能,对数据安全产生更多威胁。商业窃密木马通常具备下发恶意代码的功能,攻击者可借此传播后门程序、勒索软件、挖矿木马等,给受害者造成更大的损失。以近年来出现的双重勒索攻击方式为例:攻击者在加密数据之前会先窃取数据,后从数据泄露风险和数据损毁风险两方面对受害者进行勒索,试图获取更多收益。

2.防护建议

针对商业窃密木马安天建议企业和个人采取如下防护措施:

3.典型商业窃密木马攻击流程

攻击者利用用户感兴趣的话题作为诱饵,通过钓鱼邮件、钓鱼网站、公共网站等途径投放攻击载荷,诱导用户下载。攻击载荷多采用宏文档、Office漏洞利用文档或恶意程序压缩包形式,在受害者打开文档并启用宏时、Office软件存在对应漏洞时或不慎解压运行时,恶意程序就会执行。恶意程序一般由外层加载器和内部窃密木马载荷组成,外层加载器下载、解密窃密木马载荷,为其提供防御规避、持久化等能力,最终由内部的窃密木马窃取受害者的密码凭据、隐私信息、重要文件、数字资产等数据回传给攻击者。

木马侦查实验(商业窃密木马综合分析报告)(1)

图 3-1典型商业窃密木马攻击流程

4.商业窃密木马运营现状分析

近年来,随着商业窃密木马数量的不断增加,逐渐形成了一条完整的窃密产业链,主要包含制作商业窃密木马、销售、混淆、传播、获利等环节。即使攻击者没有足够的技术能力,也可以通过在窃密产业链中购买各个攻击阶段的攻击服务来实现“一条龙”式的完整攻击。攻击者通过多种传播方式大规模投放商业窃密木马,窃取用户主机中的数据。商业窃密木马采用模块化的载荷,内部组件相对独立,可扩展性强,可根据攻击目标的变化进行调整,增加新的窃密功能,对数据安全产生更多威胁。商业窃密木马通常具备下发恶意代码的功能,攻击者可借此传播后门程序、勒索软件、挖矿木马等,给受害者造成更大的损失。

4.1产业链条分工明确,攻击门槛持续降低

商业窃密木马产业链中的分工角色主要包括专职窃密者、窃密木马编写者、窃密木马销售者、混淆服务提供者、传播服务商等。产业链中一人可担任多个角色,一个角色也可以由多人承担。在此基础上,即使窃密攻击者没有相关的技术能力,也可以通过在产业链中购买各个攻击阶段的攻击服务来实现“一条龙”式的完整攻击。窃密攻击者视角下的商业窃密木马产业链示意图如下。

木马侦查实验(商业窃密木马综合分析报告)(2)

图 4-1商业窃密木马产业链示意图

窃密木马编写者持续关注攻击目标,完成窃密木马程序的设计、开发和测试,并对窃密木马程序进行更新,是产业链的商品生产者。开发完毕的窃密木马传递给窃密木马销售者进行推广销售。窃密木马销售者通过黑客论坛、群组等渠道宣传窃密木马,并通过匿名渠道完成木马售前沟通、交易、售后支持。

如下为RedLine窃密木马在某黑客论坛出售的页面。

木马侦查实验(商业窃密木马综合分析报告)(3)

图 4-2 RedLine窃密木马出售页面

攻击者购买窃密木马后,可使用控制面板实现设置窃密范围、生成自定义窃密木马、查看回传数据等功能。

木马侦查实验(商业窃密木马综合分析报告)(4)

图 4-3 RedLine窃密木马的C2控制面板

生成的窃密木马程序通常需要进行混淆/加密处理,增强其免杀效果。许多商业窃密木马编写者会顺带提供混淆/加密服务,但购买者也可自行选择其他解决方案。

木马侦查实验(商业窃密木马综合分析报告)(5)

图 4-4 RedLine窃密木马编写者提供的收费混淆加密服务

攻击者投放窃密木马,等待回传的信息。以下为Agent Tesla窃密木马的控制面板,面板中展示了受害者的统计信息,并提供了导出信息的功能。

木马侦查实验(商业窃密木马综合分析报告)(6)

图 4-5 Agent Tesla窃密木马的C2控制面板

虽然窃密木马使用的技术变得更加复杂,但由于其功能的封装,攻击者发起攻击的难度反而下降。恶意程序的功能更具有通用性,加载器通常支持多种载荷部署方式,允许攻击者通过配置文件、网页面板等方式配置注入方式、自启动、下载插件、回传方式等功能,自助生成定制的攻击载荷。

4.2传播方式多样化

商业窃密木马除通过发送钓鱼邮件、搭建钓鱼网站等传统方式传播外,也增加了新的传播渠道:利用用户生成内容(UGC,User-Generated Content)的公共网站伪装正常软件进行传播。

4.2.1利用钓鱼邮件传播

攻击者以用户感兴趣的内容作诱饵,大量发送携带有宏文档、Office漏洞利用文档、恶意程序压缩包等附件的钓鱼邮件,诱导用户执行恶意代码,钓鱼邮件示例如下。

木马侦查实验(商业窃密木马综合分析报告)(7)

图 4-6钓鱼邮件示例

4.2.2 搭建钓鱼网站传播

攻击者搭建盗版软件、外挂软件等主题的钓鱼网站,降低用户的警惕性,诱导其主动关闭安全软件,并通过捆绑下载或伪装下载的方式投递攻击载荷。安天曾在《伪造盗版软件传播的窃密样本分析》[1]报告中揭露Vidar等多种窃密木马通过钓鱼网站传播的攻击事件。

木马侦查实验(商业窃密木马综合分析报告)(8)

图 4-7某传播商业窃密木马的钓鱼网站

4.2.3利用公共网站传播

攻击者还会利用UGC的公共网站来伪装成正常软件进行传播,安天曾分析过一起通过视频网站传播RedLine窃密木马的攻击事件[2]。这类网站允许用户上传自己的原创内容(如视频、帖子等)展示给其他用户。攻击者上传大量包含盗版软件、操作教程、虚拟货币、游戏作弊等各类热点话题的内容作为诱饵,诱导用户下载并运行恶意代码。

木马侦查实验(商业窃密木马综合分析报告)(9)

图 4-8通过视频网站传播示例

4.3 窃密家族快速更新,组件功能灵活迭代

商业窃密木马家族快速更新,增加新的窃密功能,并根据攻击目标的变化进行调整。例如,在Chrome浏览器80版本更新后,修改了保存密码的加密方式,导致旧的窃密器尽数失效,而多个流行的商业窃密木马会在短期内更新以适配该变化。如下为RedLine窃密木马版本更新的信息。

木马侦查实验(商业窃密木马综合分析报告)(10)

图 4-9 RedLine窃密木马更新说明

商业窃密木马尝试采用高度模块化的载荷,即内部组件相对独立,易于更新迭代,可扩展性强。窃密木马作者可根据购买者的意图进行功能定制,升级组件功能时不需要对窃密木马本身进行大幅修改。加载器通常只具备收集基础信息及持久化等非核心功能,着重于加强防御规避能力,或演化为网络结构复杂的僵尸网络,确保后续组件的持续下发及成功执行。常用的组件功能包括窃取数据、内网扫描、漏洞攻击、发送垃圾邮件、内网穿透等。

4.4 捆绑下发更多恶意代码,相互勾结扩大利益链

商业窃密木马通常具备下发恶意代码的功能,攻击者可通过这些渠道传播后门程序、勒索软件、挖矿木马等,给受害者造成更大的损失。以近年来出现的双重勒索攻击方式为例:攻击者在加密数据之前会先窃取数据,后从数据泄露风险和数据损毁风险两方面对受害者进行勒索,试图获取更多收益。

5.商业窃密木马典型对抗技术手段

窃密木马为了避免核心功能代码、字符串等被安全软件检测,会采用各类对抗技术手段,隐藏自身特征,提高攻击成功的几率。常用的技术包括无文件技术、隐写术、修改异常处理机制等。

5.1使用无文件技术规避检测

窃密木马会对代码进行混淆,并使用加载器间接执行,各层载荷不落地,只在内存中加载,其中常用的技术如下。

5.1.1对内存载荷进行加密

窃密木马通常使用被混淆的较为复杂的自定义加解密算法,将攻击载荷加密存放于自身文件的资源段或远程服务器中,只在运行时获取并解密,避免了载荷落地,规避安全软件检测。例如,Vidar窃密木马使用的加载器在内存中对载荷进行解密,解密算法使用多次移位及异或运算。

木马侦查实验(商业窃密木马综合分析报告)(11)

图 5-1解密PE文件

5.1.2使用多层载荷

窃密木马使用多层攻击载荷嵌套加载,每层载荷使用不同的混淆手段在内存中加载,规避安全软件检测。例如,Agent Tesla窃密木马使用4层载荷[3],各层的混淆手段包括载荷分割、Base64编码、异或加密、图片隐写、内存中加载、注入执行等,执行流程如下图所示:

木马侦查实验(商业窃密木马综合分析报告)(12)

图 5-2 Agent Tesla多层载荷示意图

5.1.3使用进程镂空技术

窃密木马采用进程镂空技术,使用跨进程内存操作的API函数将其他正常进程的内存空间替换为恶意代码,将自身伪装为正常进程执行,躲避安全软件检测。

木马侦查实验(商业窃密木马综合分析报告)(13)

图 5-3创建进程并通过进程镂空技术注入载荷

5.2 使用隐写术规避检测

窃密木马会采用隐写术(信息隐藏的技术)将载荷和配置信息隐藏在其他信息中,或以不常见的载体来存储信息。例如Agent Tesla窃密木马采用的ReZer0加载器将PE格式的攻击载荷隐藏在图片像素中,运行时通过解析图片的像素点数据来还原载荷,以躲避检测。

木马侦查实验(商业窃密木马综合分析报告)(14)

图 5-4使用隐写术隐藏载荷

5.3利用异常处理机制对抗分析

窃密木马通过注册自定义的异常处理函数,打乱正常的执行流程,破坏调试器功能,以此对抗分析。例如,Dridex窃密木马注册VEH异常处理函数,捕获int 3指令触发的异常,实现间接调用API及反调试的效果。

木马侦查实验(商业窃密木马综合分析报告)(15)

图 5‑5注册VEH函数捕获异常

6.流行商业窃密木马分析及展示

6.1 Agent Tesla

Agent Tesla窃密木马最初于2014年在其官方网站进行销售,价格根据用户选择的功能上下浮动,从几美元到几十美元不等。该网站声称自己销售的是“合法”的按键记录工具,但该程序中却含有各类窃密功能,且采用了较多的反分析手段,网站技术人员还会对有关该软件的非法使用提供支持,之后该窃密木马转为在黑客论坛出售。

木马侦查实验(商业窃密木马综合分析报告)(16)

图 6-1 2017年Agent Tesla销售页面的存档

Agent Tesla的控制面板使用PHP编写,并采用了代码保护措施,避免被“盗版”。

木马侦查实验(商业窃密木马综合分析报告)(17)

图 6-2 Agent Tesla控制面板的代码保护

进行数据窃取,受影响的包括系统数据、浏览器、电子邮件、FTP、远程连接工具、VPN账号、即时通讯软件、服务器运维工具等,如下表:

表 6‑1窃密范围

系统数据

系统信息

网络配置

Windows凭据

Web凭据

屏幕截图

键盘记录

浏览器

360Chrome

7Star

Amigo

BlackHawk

Brave

Brave Browser

CentBrowser

Chedot

Chrome

Chromium

Citrio

CocCoc

Comodo Dragon

CoolNovo

Coowon

CyberFox

Edge

Elements

Epic Privacy

Falkon Browser

Firefox

Flock

IceCat

IceDragon

Iridium

K-Meleon

Kometa

Liebao

Opera

Orbitum

PaleMoon

Postbox

QIP Surf

QQ Browser

safari Browser

SeaMonkey

SleIPnir 6

Sputnik

SRWare Iron

Thunderbird

TorchBrowser

UC Browser

Uran

vivaldi

WaterFox

Yandex

电子邮件

ClawsMail

eM Client

foxmail

IncrediMail

Mailbird

Opera Mail

Outlook

PocoMail

TheBat

FTP

cftp

CoreFTP

FileZilla

FlashFXP

FTP Navigator

SmartFTP

WS_FTP

远程连接

RealVNC

TigerVNC

TightVNC

UltraVNC

WinRDP

WinSCP

WinVNC3

VPN

NordVPN

OpenVPN

Private Internet Access

即时通讯

Paltalk

Psi/Psi

Trillian

其他软件

DynDNS

JDownloader

MySQL Workbench

Vitalwerks DUC

支持的回传方式包括电子邮件、FTP、HTTP及Tor匿名网络,攻击者可以选择其中任意一种方式,并将相关参数硬编码到样本中实现回传。

1.通过Tor匿名网络回传

窃密木马会自动下载Tor客户端并通过匿名网络进行HTTP通信,该种方式使得回传服务器更难以被溯源及破坏,增加了窃密木马的持久性。

木马侦查实验(商业窃密木马综合分析报告)(18)

图 6-3通过Tor匿名网络回传

2.通过电子邮件回传

支持通过SMTP协议进行电子邮件回传。

木马侦查实验(商业窃密木马综合分析报告)(19)

图 6-4通过电子邮件回传

3.通过FTP回传

使用硬编码的回传地址、用户名及密码上传文件。

木马侦查实验(商业窃密木马综合分析报告)(20)

图 6-5通过FTP回传

4.通过HTTP回传

将数据组合为表单并发送至服务器。

木马侦查实验(商业窃密木马综合分析报告)(21)

图 6-6通过HTTP回传

6.2 RedLine

RedLine是一种在黑客论坛出售的窃密木马。窃密木马作者在多个论坛发帖宣传,并提供买断制或订阅制购买方式,通过Telegram的自助机器人交易。该窃密木马于2020年3月被发现,尽管该窃密木马仅出现近两年,但已经具有强大完善的信息窃取功能,是十分流行的窃密木马家族之一。详细分析可参见安天曾发布的《通过视频网站传播的RedLine窃密木马分析》[2]。

连接至C2获取配置信息,包括国家和地区黑名单、IP黑名单、窃密功能开关、指定文件收集规则等。

木马侦查实验(商业窃密木马综合分析报告)(22)

图 6-7收到的服务端配置信息

使用C#语言中的ChannelFactory类与C2进行网络通信。

木马侦查实验(商业窃密木马综合分析报告)(23)

图 6-8样本网络通信部分代码

6.3 LokiBot

LokiBot窃密木马也被称为Loki、LokiPWS,主要通过钓鱼邮件传播。LokiBot最早可追溯到2015年,由名为“lokistov”和“Carter”的用户在黑客论坛出售,售价为400美元。LokiBot服务端源码曾被泄露,后续还出现了售价仅80美元的“盗版”,还有较多配置信息被修改的版本,这也间接导致了LokiBot窃密木马的流行。

构建函数数组,每个函数均包含针对某种软件的窃密功能,然后依次执行这些函数。

木马侦查实验(商业窃密木马综合分析报告)(24)

图 6-9构建窃密函数列表

详细的窃密范围如下表所示:

表 6‑2窃密数据范围

浏览器

Black Hawk

Chrome

Cyberfox86

FireFox

Flock

IceDragon

Internet Explorer

K-Meleon

Lunascape6

Opera

Pale Moon

QtWeb

QupZilla

Safari

SeaMonkey

Waterfox

密码管理器

1Password

Enpass

KeePass

mSecure

Roboform

远程管理工具

32BitFtp

AbleFTP

ALFTP

Automize

BitKinex

BlazeFtp

BvSshClient

ClassicFTP

Cyberduck

DeluxeFTP

EasyFTP

ExpanDrive

Far FTP Pulgins

Fastream NETFile

FileZilla

FlashFXP

Fling

FreshFTP

FTP Navigator

FTP Now

FTPBox

FTPGetter

FTPInfo

FTPShell

fullsync

GoFTP

JaSFtp

KiTTY

LinasFTP

MyFTP

NetDrive2

NexusFile

NovaFTP

NppFTP

Odin Secure FTP Expert

SecureFX

SftpNetDrive

sherrod FTP

SmartFTP

Staff-FTP

Steed

SuperPutty

Syncovery

Total Commander

UltraFXP

VNC

wcx_ftp

WinFtp Client

WinSCP

WS_FTP

Xftp

电子邮件

CheckMail

FossaMail

Foxmail

gmail Notifier Pro

IncrediMail

MailBox

Mozilla Thunderbird

Opera Mail

Outlook

Pocomail

Postbox

Softwarenetz Mailing

Trojitá

TrulyMail

Ymail

笔记

microsoft Sticky

NoteFly

NoteZilla

Stickies

To-Do

其他

*.SPN

Full Tilt Poker

Mikrotik Winbox

pidgin

Poker Stars

WinChips

根据C2指令进行进一步操作。支持的功能包括再次窃取数据、下载并执行插件、升级自身、自删除等。

木马侦查实验(商业窃密木马综合分析报告)(25)

图 6-10下载并执行插件

6.4 FormBook

FormBook是一种非常流行的商业窃密木马,自2016年开始在黑客论坛上以MaaS(恶意软件即服务)的形式出售,版本不断迭代更新。FormBook主要被用于窃取目标个人信息,能够自动收集目标系统中的敏感信息,具备键盘记录和屏幕获取功能。同时它具有远程控制能力,能够对目标系统进行长期驻留控制。

安天曾对某单位遭受投递FormBook窃密木马事件进行分析报告[4]。

循环查找并劫持如下列表中的进程,窃取进程数据,窃取内容包括键盘记录、账号密码等。

表 6‑3目标进程列表

浏览器

360browser.exe

browser.exe

coolnovo.exe

cyberfox.exe

chrome.exe

dooble.exe

firefox.exe

ucbrowser.exe

ybrowser.exe

opera.exe

safari.exe

deepnet.exe

icedragon.exe

iridium.exe

k-meleon.exe

maxthon.exe

microsoftedgecp.exe

midori.exe

mustang.exe

orbitum.exe

palemoon.exe

qupzilla.exe

superbird.exe

vivaldi.exe

waterfox.exe

邮件客户端

foxmail.exe

gmailnotifierpro.exe

incmail.exe

operamail.exe

outlook.exe

thunderbird.exe

即时通讯

客户端

whatsapp.exe

skype.exe

icq.exe

pidgin.exe

trillian.exe

yahoomessenger.exe

FTP客户端

3dftp.exe

alftp.exe

filezilla.exe

flashfxp.exe

ncftp.exe

coreftp.exe

scriptftp.exe

leechftp.exe

smartftp.exe

webdrive.exe

winscp.exe

构建数据包,通过HTTP协议进行数据回传。

木马侦查实验(商业窃密木马综合分析报告)(26)

图 6-11构建数据包

FormBook支持接受C2指令,以实施进一步攻击。指令功能包括下发模块、升级、卸载、执行命令、搜索信息等。

木马侦查实验(商业窃密木马综合分析报告)(27)

图 6-12执行C2命令

详细的指令功能如下表所示:

表 6‑4 指令功能表

指令

具体作用

1

在%Temp%目录下解密PE文件,调用ShellExecuteA()

2

更新目标系统中的FormBook

3

卸载目标系统中的FormBook

4

调用ShellExecuteA()执行从数据包中解密的下发命令

5

删除文件“.sqlite”和“Cookies”并搜索三个主要用户数据路径

6

重启目标系统

7

关闭目标系统

8

将FormBook添加自启动项,并将所有窃取的数据发送至C2服务器

9

从数据包开头至字符串结尾标识的数据中解密zip文件,并以随机字符串命名保存至%Temp%中,解压至同一文件夹下。

6.5 Vidar

Vidar于2018年12月首次被发现,主要通过黑客论坛及匿名通信软件出售,不同时长档位的售价在130美元到750美元不等。Arkei与其存在很强的同源性,两者整体结构及通信协议等核心代码基本相同,推测Vidar为Arkei的更新版本或分支版本。

根据C2指令进行窃密,指令的主要功能如图所示:

木马侦查实验(商业窃密木马综合分析报告)(28)

图 6-13根据C2指令窃密

将窃密数据打包为zip格式,通过HTTP协议发送到C2。

木马侦查实验(商业窃密木马综合分析报告)(29)

图 6-14将数据打包为zip格式发送

6.6 Raccoon

Raccoon窃密木马最早于2019年被发现。相比其他窃密木马,Raccoon只包含窃密功能,缺乏反沙箱、反虚拟机等防御规避能力,因此Raccoon开发团队曾在论坛中建议使用者借助第三方加载器或混淆器对恶意代码进行保护。

获取计算机硬件等系统基础信息。

木马侦查实验(商业窃密木马综合分析报告)(30)

图 6-15系统信息

检测系统安装的浏览器,下载用于窃取浏览器Cookies、保存的密码等信息的sqlite3.dll。

木马侦查实验(商业窃密木马综合分析报告)(31)

图 6-16部分目标浏览器

获取邮件客户端中的邮件地址、账户凭据等。

木马侦查实验(商业窃密木马综合分析报告)(32)

图 6-17窃取邮件客户端相关信息

将收集到的数据压缩为zip文件回传至C2服务器,最后使用cmd指令进行自删除。

6.7 Azorult

Azorult窃密木马最早于2016年7月被发现,至今已进行了多次升级。该窃密木马窃取账户凭据、浏览器保存的密码、数字货币等并自动发送至C2服务器,同时还具备加载其他恶意代码的功能。

部分窃密范围如下。

表 6‑5窃密目标

系统

序列号

产品名称

用户名称

计算机名称

显示屏分辨率

区域信息

时区信息

CPU

RAM

屏幕截图

加密货币客户端

Electrum

Electrum-LTC

Ethereum

Exodus

MultiBitHD

Monero

Bitcoin

Jaxx

电子邮件客户端

Outlook

其他常用软件

Skype

Telegram

Steam

WinSCP

下载后续载荷至%Temp%或%ProgramFiles%下,检查文件扩展名是否为exe,如果是则使用CreateProcessW运行,否则使用ShellExcuteW运行。

木马侦查实验(商业窃密木马综合分析报告)(33)

图 6-18加载其他恶意代码

6.8 Pony

Pony窃密木马于2011年首次被发现,也被称为Fareit、Siplog,能够从受害者主机上窃取信息并加载其他恶意代码。该窃密木马支持多种定制功能,以满足不同的购买者的需求。

窃密范围包括系统信息、FTP工具、浏览器、邮箱客户端、加密货币客户端及其他常用软件。

表 6‑6窃密目标

系统信息

操作系统版本

国家/地区

语言

权限

机器型号

FTP工具

Far Manager

CuteFTP 6/7/8/9/pro/lite

FlashFXP 3/4

FileZilla

BPFTP

SmartFTP

TurboFTP

FFFTP

CoffeeCup Software

COREFTP

FTP Explorer

VanDyke

UltraFXP

FTPRush

WS_FTP

WebSitePublisher

ExpanDrive

ClassicFTP

Fling

leapftp

SoftX FTP

32BitFtp

FTPVoyager

WinFTP

FTPGetter

ALFTP

DeluxeFTP

FreshFTP

BlazeFTP

GoFTP

3D-FTP

EasyFTP

FTP Now

Robo-FTP 3.7

LinasFTP

Cyberduck

PuTTY

FTPShell

FTPInfo

FTP Browser

My FTP

NovaFTP

Windows Commander

Total Commander

FTP Commander

FTP Navigator

FTP Control

Wiseftp

LeechFTP

fireFTP

SFTP

FTP Disk

浏览器

Opera

Firefox

SeaMonkey

Flock

IE

Yandex

Chrome

邮件客户端

Windows Live Mail

RimArts Mailbox

IncrediMail

BatMail

Outlook

Thunderbird

Pocomail

加密货币

BitCoin

Electrum

MultiBit

LiteCoin

Namecoin

Terracoin

Armory

Craftcoin

PPCoin

Primecoin

Feathercoin

Novacoin

Frecoin

Devcoin

Franko

ProtoShare

Megacoin

Quarkcoin

Worldcoin

Infinitecoin

Ixcoin

Anoncoin

BBQcoin

Digitalcoin

Mincoin

GoldCoin

Yacoin

Zetacoin

Fastcoin

I0coin

Tagcoin

Bytecoin

Florincoin

Phoenixcoin

Luckycoin

Junkcoin

其他

Notepad

NexusFile

Directory Opus

该窃密木马在生成器中可以进行高级设置和参数设置。

表 6‑7高级设置

选项

说明

压缩

压缩可执行文件,减小程序的大小

加密

使用RC4算法对回传数据进行加密

加密密码

设置RC4算法的加密密码

调试模式

用于调试

仅发送新的报告

不重复回传数据

自删除

在完成窃密工作后进行自删除

添加图标

设置程序的图标

UPX打包

使用UPX对程序进行压缩

尝试发送报告的次数

设置在回传失败时进行尝试的次数

构建选项

选择将窃密木马构建为EXE文件或DLL文件

窃密木马支持的参数列表如下。

表 6‑8参数列表

参数

说明

-PACK_REPORT

对回传数据进行压缩

-ENCRYPT_REPORT

加密报告

-REPORT_PASSWORD

加密密码,默认为Mesoamerica

-SAVE_REPORT

将回传数据保存至磁盘(用于调试)

-ENABLE_DEBUG_ONLY

调试模式

-SEND_MODIFIED_ONLY

仅回传新的数据

-SELF_DELETE

启用自删除

-SEND_EMPTY_REPORTS

回传空白数据

-ADD_ICON

添加图标

-UPX

使用UPX进行打包

-DOMAIN_LIST

域列表

-LOADER_EXECUTE_NEW_FILES_ONLY

相同文件仅运行一次

-DISABLE_MODULE

删除指定的窃密模块

-DLL_MODE

生成为DLL文件

-COLLECT_HTTP

额外收集HTTP/HTTPS

-COLLECT_EMAIL

额外收集电子邮件信息

-UPLOAD_RETRIES=N

回传数据的次数,默认值为2

-DISABLE_GRABBER

禁用窃密功能,仅用于加载其他程序

7.流行窃密木马横向对比

对上述窃密木马家族,根据“编写→售卖→传播→窃密→回传”的窃密木马活动周期总结特点并进行对比统计,如下表所示:

表 7‑1流行商业窃密木马横向对比(★表示具备对应功能)

窃密木马家族

Agent Tesla

Redline

Lokibot

Formbook

Vidar

Raccoon

Azorult

Pony

最早发现时间

2014年1月

2020年

2015年5月

2016年2月

2018年12月

2019年2月

2016年7月

2011年1月

编码语言

C#

C#

C/C

C/C

C/C

C/C

Delphi

汇编

窃密木马售卖

推广途径

自建网站、黑客论坛、社交平台

黑客论坛、社交平台

黑客论坛

黑客论坛

黑客论坛

黑客论坛

黑客论坛

黑客论坛

售价(美元)

10-120

150-900

50-400

20-300

80-400

75-200

20-350

15-300

窃密范围

基础信息

键盘记录

截屏

剪贴板

浏览器

密码管理

二步验证

数字货币

电子邮件

FTP

VPN

游戏平台

文件搜集

远程连接

笔记软件

社交软件

回传方式

HTTP

TCP

FTP

SMTP

Tor

8.ATT&CK技术特点映射图谱

商业窃密木马攻击中涉及到的主要技术特点对应ATT&CK映射图谱如下。

木马侦查实验(商业窃密木马综合分析报告)(34)

图 8-1技术特点对应ATT&CK的映射图谱

具体ATT&CK技术行为描述表如下。

表 8‑1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

侦查

从非公开源搜集信息

从黑客论坛收集受害者信息

资源开发

获取基础设施

获取服务器基础设施

资源开发

入侵基础设施

入侵其他网站作为攻击资源

资源开发

能力获取

开发、维护恶意代码

资源开发

环境整备

在攻击设施上部署攻击程序

初始访问

网络钓鱼

通过钓鱼邮件、钓鱼网站诱导受害者执行

执行

利用主机软件漏洞执行

利用漏洞执行

执行

诱导用户执行

诱导用户执行

持久化

利用自动启动执行引导或登录

设置自启动项

持久化

利用计划任务/工作

设置计划任务

防御规避

操纵访问令牌

操纵其他进程的权限令牌

防御规避

反混淆/解码文件或信息

解密被混淆的载荷、配置信息等

防御规避

隐藏行为

隐蔽在后台执行

防御规避

间接执行命令

通过Powershell等执行命令

防御规避

修改注册表

通过修改注册表更改系统安全设置

防御规避

混淆文件或信息

对载荷、配置信息进行混淆

防御规避

进程注入

注入系统进程

防御规避

虚拟化/沙箱逃逸

检测虚拟机/沙箱并以此改变行为

防御规避

利用反射代码加载

使用C#反射机制加载解密后的载荷

凭证访问

从存储密码的位置获取凭证

从浏览器、密码管理等获取密码

凭证访问

输入捕获

捕获键盘记录

凭证访问

窃取应用程序访问令牌

获取客户端软件的访问令牌

凭证访问

窃取Web会话Cookie

从浏览器窃取Cookie

发现

发现文件和目录

发现待收集的文件

发现

发现进程

发现系统进程列表

发现

发现软件

发现系统软件列表

发现

发现系统信息

发现系统基础信息

发现

发现系统地理位置

发现系统地理位置、语言区域等信息

发现

发现系统所有者/用户

发现系统用户名称

发现

发现系统服务

发现系统服务

发现

虚拟化/沙箱逃逸

检测虚拟化/沙箱环境

收集

自动收集

自动收集需要的信息

收集

收集剪贴板数据

收集剪贴板数据

收集

数据暂存

将数据收集到临时路径

收集

收集电子邮件

收集电子邮件

收集

输入捕获

捕获键盘记录

收集

获取屏幕截图

获取屏幕截图

收集

捕获视频

捕获摄像头视频

命令与控制

使用应用层协议

使用HTTP、SMTP等协议

命令与控制

编码数据

对流量数据进行编码

命令与控制

混淆数据

对流量数据进行混淆

命令与控制

使用加密信道

使用SSL加密流量

命令与控制

使用备用信道

配置备用C2地址

命令与控制

使用标准非应用层协议

直接使用TCP协议通信

命令与控制

利用合法Web服务

使用公共平台

数据渗出

自动渗出数据

自动回传收集的信息

数据渗出

限制传输数据大小

限制传输数据大小

数据渗出

使用非C2协议回传

使用与C2通信不同的信道回传

数据渗出

使用C2信道回传

使用与C2通信相同的信道回传

数据渗出

使用Web服务回传

使用公开的Web服务回传

9. 总结

通过追踪商业窃密木马的攻击流程,发现目前攻击者采用钓鱼邮件、钓鱼网站、公共网站等多个传播方式入侵受害者主机,入侵成功后收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等)并将其回传给攻击者,给用户带来隐私泄露、经济损失等严重后果。同时,捆绑下发后门程序、勒索软件、挖矿木马等更多恶意代码,试图获取更多收益。

通过探索商业窃密木马的运营模式,发现商业窃密木马已形成了一条完整的窃密产业链,窃密攻击者可通过在产业链中购买各个攻击阶段的服务来实现“一条龙”式的完整攻击,降低了攻击门槛。并且商业窃密木马采用模块化的载荷,可根据攻击目标的变化进行调整,使用新的对抗技术并增加新的窃密功能。在市场竞争环境下,窃密木马势必会加速更新迭代,给用户端安全防护带来更多挑战。

在此背景下,安全产品需要不断更新迭代,增强产品安全能力,方能帮助用户免受商业窃密木马的侵害。安天CERT始终关注商业窃密木马的相关技术变化和特点,并提出对应的解决方案。安天智甲不仅提供了病毒查杀、主动防御等基础功能,还提供了终端管控、网络管控等加强能力,能够有效防御此类威胁攻击,保障用户数据安全。

参考资料
  1. 伪造盗版软件传播的窃密样本分析

https://www.antiy.cn/research/notice&report/research_report/20210628.html

  1. 通过视频网站传播的RedLine窃密木马分析

https://www.antiy.cn/research/notice&report/research_report/20211125.html

  1. 商业窃密木马Agent Tesla新型变种分析

https://www.antiy.cn/research/notice&report/research_report/20210812.html

  1. 对某单位遭受投递FormBook窃密木马的分析报告

https://www.antiy.cn/research/notice&report/research_report/20211021.html

特别感谢:哈尔滨工业大学网络安全响应组

,