御见安全态势感知:“哈里男孩”水坑攻击“脚本小子”

作者:cocoyan、odaywang 导语: 水坑攻击是一种常见的高级攻击方法。电脑管家安全感知系统最近捕获到一例,分析如下。

“门前大桥下,游过一群鸭 快来快来数一数,二四六七八……”

“Duck?”

“No,Hacker!”

“Hacker?”

“Yes,Hacker!“

0x1故事梗概

故事情节是这样的:

一大波小黑,或许是为了免费体验Roblox游戏和Discord游戏聊天平台,或者是为了彰显自己的技术实力,虚心了学习 Harioboy(网络ID)上传至Youtube的破解视频,并忠心耿耿的下载了Harioboy提供的工具,心急如焚的在自己电脑上在显身手,功夫不负有心人他们居然破解成功了。哼着小曲,玩着游戏……

此时此刻幕后的Harioboy亦哼着小调,欢乐着盯着屏幕上的数据:二四六七八……

(某游戏玩家玩的不亦乐乎,殊不知,你的游戏被黑客截图回传了)

0x2故事原型

故事绝无虚构,如有雷同,纯属吻合。

事实上,腾讯反病毒实验室在追溯Agent Tesla系列APT攻击案例中,关注到一个网络ID为Harioboy的黑客或黑客组织,Harioboy利用水坑攻击引导受害者下载&执行其定制的Agent Tesla,进而控制受害者电脑。

初步预测已有数十万Hacker机器沦为Harioboy的肉鸡。

截止撰稿前一周里,仍有1K+多受害者变身为Harioboy的“小鲜肉”。

从Harioboy的后台上传来看,沦陷的机器多为游戏资深玩家和一些小黑客,部分机器上发现装有Visio Studio开发环境 和 Cheat Engin等黑客工具。

受害者电脑上的游戏帐号、网上银行信息以及比特币等敏感信息均会被Harioboy回传至C&C服务器,致使受害者财产面临着严重的安全威胁。

0x3事件盘点

【投毒黑客工具】

盘点一下案例,Harioboy提供了免费的RC7 Cracked 和 Discord破解工具,并在Youtube等视频网站投放教学视频,手把手教用户怎么破解RC7 和 Discord,然后坐等受害者入坑。

受害者通过搜索引擎发现视频 或roblox(RC7 Cracked)、Discord破解工具,下载并执行恶意代码,恶意代码在受害者电脑下载并执行Agent Tesla,黑客利用Agent Tesla C&C服务器监视、控制受害者电脑。

【Agent Tesla】

基于Youtube视频资料,至少2014年起Agent Tesla就已经存在,Agent Tesla原本是一个简单的键盘记录器(Keylogger),记录用户的按键行为,并回传至黑客服务器。历经两三年的发展,Agent Tesla恶意程序开发发团队不断迭代新的功能,将Agent Tesla从一个简单的键盘记录器演化成了一个模块化的间谍软件,并通过互联网对Agent Tesla进行出售,而买家可以按需购买Agent Tesla模块,进而方便地部署利用Agent Tesla木马。

Agent Tesla的最常见的攻击方式是利用钓鱼邮件进行鱼叉式攻击,邮件中藏有恶意文件。用户一旦打开并允许程序执行,该恶意文件 就会自动下载安装Agent Tesla。但是随着针对性攻击事件不断发生,人们对钓鱼邮件的警觉性正在逐渐增强,钓鱼邮件的攻击成功率势必受到影响。

【Harioboy水坑攻击]

Harioboy似乎并未受到影响,Harioboy没有利用钓鱼邮件,而是利用水坑式攻击的思路,主要针对游戏玩家、黑客或破解爱好者这个群体,进行靶向攻击。首先,Harioboy在互联网部署一个植入恶意代码的黑客工具,并通过Youtube发布其使用教程。受害者在Youtube相关视频引导下会主动下载并运行这个黑客工具,进而遭受Harioboy的APT攻击。

“姜太公钓鱼,愿者上勾”,黑客工具一旦在受害者电脑上运行,就会执行Harioboy事先植入的恶意代码,进而下载Harioboy定制的Agent Tesla木马。 Harioboy此时此刻就如同潜伏在水坑旁的狮子,享受着等待着猎物(受害者)的“投怀送抱”。Harioboy借助Agent Tesla C&C服务器与受害者电脑进行通信,对受害者电脑进行监控、控制,甚至窃取受害者银行帐号、游戏帐号、以及比特币等敏感信息并将回传到C&C服务器。

黑客利用Agent Tesla木马向C&C服务器回传了大量的受害者帐号信息。

0x4木马危害

木马保留了远控功能,可通过接收C&C服务器发送的指令下载执行任何恶意代码 同时该木马会收集各种软件信息、系统信息、文件信息,并通过木马定制窃取FTP客户端、浏览器数据、邮箱帐号信息、比特币钱包等隐私数据,涉及的软件/客户端有上百款:

【木马运行流程]

木马会从资源中解密Shellcode加载&执行

1、首先Shellcode会通过GetTickCount检测指令运行时差、GetCursorPos检测鼠标移动等方式进行调试检测,如果认为木马程序被调试,则会进入一个死循环,永不进行后续代码的执行。

2、利用“借尸”方法创建一个同名的进程,然后通过ZwUnmapViewOfSection,ZwWriteVirtualMemory将再次解密的恶意代码注入到新建的进程中。

3、通过GetThreadContext,SetThreadContext,ZwResumeThread恢复目标进程的执行。从而完成“僵尸”进程的创建,继而执行注入恶意代码。

4、恶意代码可以同时包含数百个窃取信息的函数,每个函数可以针对一种或一类软件进行信息窃取,罗列了几种窃取场景:

①窃取Safari 浏览器帐号密码存储

Keychain.plist存放着Safari 浏览器记录的帐号密码信息,通过命令。

将Keychain.plist转换成xml文件,再利用windows Windows DPAPI 可以轻易的解密加密后的帐号密码。

转换XML的命令行如下:


plutil.exe -convert xml1  -s  -o c:\keychain.xml "c:\users\administrator\appdata\roaming\apple

computer\preferences\keychain.plist"

②窃取Chorme浏览器的密码存储

通过查找文件,索引数据库表项,获取敏感信息 。

③窃取FileZilla帐号密码

FileZilla是一款包含服务端和客户端的FTP软件。木马可通过查找FileZilla相关xml文件获取到帐号信息。

④窃取OutLook邮箱信息

通过查询注册表获取邮箱信息 。

⑤窃取网络赌博(PokerStars)平台帐号信息

PokerStars目前是世界上最大的网络平台扑克室。

通过遍历查找特定文件夹中是否含有users.ini文件,解密其中的PWD字段或者其他字段进行窃取。

⑥窃取比特币信息

比特币钱包的wallet.dat文件对于比特币账户来说非常重要,文件里存有私钥信息,如果没有通过严格加密,是完全有可能造成私钥泄漏,出现比特币被盗的。

0x5传播趋势

C&C服务器上传的截图分析发现,大部分受害者都是游戏爱好者,喜欢研究游戏破解,这些受害者或可称为“Script Kiddie”。

受害者电脑上发现有使用包括屏幕录像直播、游戏开发引擎、鼠标自动点击、内存编辑,DLL注入在内一款或多款工具 以及一些Steam游戏:

地区分布来看美国、欧洲一些国家感染比较明显,亚洲地区主要集中在东南亚地区,这跟Roblox游戏及Discord的发布地区密切相关。

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

乌克兰电网攻击第二季

一波未平,一波又起。2015年12月23日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科...

1755
来自专栏FreeBuf

解密古老又通杀的路由器攻击手法:从嗅探PPPoE到隐蔽性后门

随着宽带用户爆发性增长,PPPoE被带进了各家各户,而它的安全缺陷却一直没有受到足够关注,直至今日成为了一种低成本的通杀型路由器攻击手段。 PPPoE(Poi...

3587
来自专栏FreeBuf

围观2016年最活跃的“顶级Exploit Kit”

Exploit Kit作为传播犯罪软件的重要工具,一直深受网络犯罪分子喜爱。俗话说知己知彼百战百胜,面对与时俱进,不断升级更新的Exploit Kit,我们必须...

1875
来自专栏企鹅号快讯

是时候对员工进行网络安全培训了:黑客正将目标瞄准打印机

“用指尖改变世界” ? 我们都知道,目前大多数打印机都具备扫描功能。在日常办公中,我们经常会使用这些扫描功能来获取纸质文件的电子扫描件,这可能包括身份证、护照、...

1846
来自专栏FreeBuf

揭秘:深入解读针对苹果Mac电脑的ROM级恶意软件“雷击(Thunderstrike)”

众所周知苹果Mac电脑很安全,但是随着恶意软件的发展,凭借现有Mac安全机制想要完全对抗恶意软件的感染可能会变得更加艰难。近期一种新型恶意软件的问世,使得黑客通...

1836

有效的云安全警报

警报系统是任何安全程序的首要组成部分。当一些问题出现的时候,警报通常都是最快和最有效的提醒方式,让你能够及时地采取补救措施。但是警报有的时候过于“吵闹”:有时它...

1808
来自专栏FreeBuf

我是如何轻松拿到Google $1337现金奖励的

一、 发现过程 时间回到5月8号的中午12点30分,饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了,当时记得那个漏洞是大概在5月1号出的,然后...

2503
来自专栏FreeBuf

你可以用U盘黑掉一辆马自达

得益于三年来一系列的已知Bug,马自达汽车的MZD信息娱乐系统可以通过将U盘插入仪表板进行黑客入侵。 ? 这些Bug早在在2014年5月就被Mazda 3 R...

2616
来自专栏指路者

15款最佳Android黑客工具评论(0)

Hackode是最好用的黑客工具之一,它更像是一款工具箱,其功能可以满足许多人群的需求:如渗透测试人员,白帽子,IT管理员和网络安全专家等。目前它可以完成以下任...

1021
来自专栏FreeBuf

IOS 10.3.1修复的那个WiFi芯片漏洞,也影响到了数百万Android手机

FreeBuf安全快讯昨天报道了苹果推出紧急补丁,修复iOS系统中的一个“WiFi芯片之上的任意代码执行”漏洞,漏洞编号CVE-2017-6975。 然而最新消...

1678

扫码关注云+社区