文档化身商业木马,对“盗神”的分析与溯源

前言

利用文档进行木马传播的手法,最近一段时间随着敲诈类木马的流行,而被广泛利用了起来。与此同时,这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私窃取类木马,也开始利用文档作为自身的传播手段。

据分析,此木马通常定向攻击企业商务用户,目前已经有大量受害者的隐私被窃取,包括黎巴嫩,美国,印度,意大利,马来西亚,韩国,尼日利亚,英国,泰国,希腊,墨西哥,越南等国家,在中国境内也发现有台湾和广东的企业用户被植入该木马,包括邮箱密码、网站密码、聊天记录、桌面截图等在内的大量隐私遭到泄漏。顺着这个线索,哈勃进一步发现了此木马的制作团体以及进行兜售的网站。

木马的攻击流程可以简要地表示为下图:

在这次事件中,哈勃分析系统捕获到的部分情报如下:

此木马的详细技术分析

一、诱导

木马文件是一个带宏的word文档,后缀名为docm。打开该文档后,其首页内容为诱导性的图片,假称媒体插件未加载,要求用户开启宏以查看内容。

二、释放

当用户点击开启宏之后,文档中的恶意宏文件会开始执行。查看宏代码可以发现,宏的内容经过一定程度的混淆,目的是提高安全人员对其进行破解的难度。

经过分析,此宏的作用是在Temp目录下的一个随机目录名中释放恶意可执行文件,文件的扩展名为“cmd”(中间带一个空格),而文件的本体并非存放在宏之中,而是存放在文档正文之中。

木马作者通过将正文文字设置为白色,以达到隐藏的效果。实际上,这些正文是经过编码的二进制文件,宏通过读取正文并解码后,将真正的恶意数据写入前述目录,即达到释放恶意文件的目的。

三、下载

接下来,宏会运行该可执行文件,此文件的主要作用,是从某网络地址上下载一个名为install.zip的压缩包。该压缩包是加密的,这样可以避免在传输过程中被扫描而报毒。下载完成后,木马会使用密码将压缩包中内容解压到C:\ProgramData\目录下。这个过程中,下载地址和压缩密码均为硬编码在可执行文件中。其中下载地址的有效字符中间填充了大量的空白字符0x20,目的是躲避静态扫描对于字符串的检测。

此外,此文件还会在解压目录中生成一个.gtk.conf配置文件。

四、窃密

压缩包解压后,木马会运行其中的msupd.exe文件,这个文件是执行恶意行为的主程序,它启动后,会检查同目录下是否有.gtk.conf配置文件,这个加密的配置文件设置木马的功能,指导其拉起其它组件,进行各种隐私窃取操作,包括收集密码、键盘记录、屏幕截图等。

1.收集密码

收集密码时使用的是压缩包中的MSASCui.exe程序,其被调用的命令行为:

经过分析发现,此程序实际上是网络上的一个开源项目,LaZagneProject,该项目是一个在计算机上检索存储的密码的程序,支持Windows、Linux/Unix-Like等多种操作系统中,包括系统密码、浏览器密码、聊天软件密码、游戏密码、代码仓库(Git、Svn等)密码、邮箱密码、Wifi密码等在内的大量密码信息。

此项目的源代码是用Python写的,同时提供了Windows下独立的可执行程序版本。通过Python源码我们可以了解其收集密码的一些细节,比如对于IE密码,程序会首先从系统中提取密码数据,Win7及之前的系统是从注册表中提取:

Win8及以后的系统是使用Powershell命令从PasswordVault中提取:

对于提取出来的密码数据,会使用系统中的CryptUnprotectDataAPI解为明文。这是因为,保存的密码数据在Windows系统中是使用CryptProtectDataAPI进行保护的,编码后的数据在另一台电脑甚至同一系统下的不同用户账户都是无法解读的。可是木马利用此开源项目,先在已登录的用户账户下将密码解为明文,再回传给攻击者,就可以绕过此密码保护体系。这一手法也用在了很多其它不同的密码的收集流程中。

在木马中用到的LaZagne是目前的最新版本1.7版。

最终写入PWD.txt中的内容示例为:

2.键盘记录

木马会创建低级键盘钩子记录键盘信息:

3.屏幕截图

屏幕截图相关代码如下:

可以看到其截取的是受害者的全部桌面屏幕:

五、回传

收集到足够的隐私信息后,木马会将这些信息回传到服务器上,回传使用的方式是连接邮件服务器并发送邮件。

当邮件的发件人和收件人并非同一地址时,邮件发送之后本来是无法继续跟踪邮件内容的。有趣的是,在使用捕获到的其中一个木马使用的用户名密码登录邮件服务器之后,可以看到有一些邮件因为被识别为垃圾邮件等原因,被收件人的邮件服务器给退了回来,退回的邮件中包含有发送的邮件原文。

在退回的邮件中,可以发现木马回传的隐私信息。比如如下这个邮件中,就包含了木马在受害者电脑上的屏幕截图和相关日志:

此外,在另一个样本的邮箱中,可以在收件箱中发现更多寄给自己的邮件。这批邮件涉及的企业和隐私内容更加广泛,包括大量的邮箱密码、浏览器保存密码、聊天记录、屏幕截图等内容均遭到泄漏,其中还包括了银行、政府网站登录密码这样的敏感数据。

同时还可以发现,这些邮箱也被用于发送钓鱼邮件,传播带宏的样本:

团体

在最初分析的带宏文档的属性中可以看到,生成该文档的原始语言为波兰语。

Zip包的下载域名所对应的托管公司也位于波兰。同时,在邮箱中也可以发现一些波兰语的邮件。可以猜测,该木马的传播者也位于波兰。

但是,传播者并不等同于制造者。通过进一步分析可以发现,不同的样本使用的具体手法上有所差别,可以认为是由不同的恶意攻击团体在进行操作。可以想象这些木马是由某一个团体开发,然后交到不同的攻击团体手中,经过个性化修改后再进行传播。

顺着这个思路,我们在网上找到了此木马的最初源头。令人惊讶的是,此木马的制作团体已经开发了一整套完整的商业项目,将此木马在网络上进行兜售,售价从15美元/月到75美元/永久不等。从网站上给出的截图可以看出,木马除了通过邮箱回传信息之外,还支持通过FTP或PHP网页回传隐私信息。

通过网站上的自我介绍以及域名相关查询结果,基本可以确定此木马的制作者是位于希腊的团体。

*企业账号:腾讯电脑管家,转载请注明来自FreeBuf(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-10-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏上善若水

Emacs001学用Emacs之入门:关于配置文件

编辑器是我们经常要打交道的工具,工欲善其事,必先利其器。每一个领域都有专用的好的工具,比如android开发用android sduio, 我先用emacs填...

47840
来自专栏北京马哥教育

Hadoop运维记录 | Zeppelin启用https和Hack内核的过程

本文是在工作过程中讲Zeppelin启用https过程和Hack内核以满足客户需求的记录。 原因是这客户很有意思,该客户中国分公司的人为了验证内网安全性,从国...

38890
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

91230
来自专栏小白安全

检测是否含有挖矿脚本的WiFi热点

前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。 ? 与加密货币相关的安全事件总是引人注目...

31240
来自专栏逸鹏说道

探索ASP.NET MVC5系列之~~~3.视图篇(下)---包含常用表单和暴力解猜防御

其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/d...

44350
来自专栏中国白客联盟

一次失败的针对白客联盟的渗透测试(域名劫持成功钓鱼失败)

成功的渗透测试套路基本都是那一套。换汤不换药,不成功的原因却是千奇百怪。 我本人感觉,一次不成功的测试如果讲解细致的话反而更能提升技术水平。 这次就来讲一下针对...

58290
来自专栏mini188

技术笔记:Indy IdSMTP支持腾讯QQ邮箱邮件发送

1、腾讯QQ邮箱的授权码问题 因为腾讯邮箱折腾了个底朝天,其要搞什么授权码登录第三方客户端,否则会报这个错误: 'Error: 请使用授权码登录。详情请看: ...

22880
来自专栏FreeBuf

“暗云”BootKit木马详细技术分析

“暗云”木马简介: “暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其...

28860
来自专栏大数据挖掘DT机器学习

如何用python轻松破解wifi密码( 源码 )

摘要: 我得说明下这个东西一点都不高端,甚至看起来有点糟糕。而且用的是单线程~,因为过几天要搬家了,于是。。 环境准备 python2.7 凑合的linux 差...

1K60
来自专栏FreeBuf

工具推荐: 汽车CAN总线分析框架CANToolz

aka YACHT (又一个汽车黑客工具) ? CANToolz 是一个分析控制局域网络CAN(Controller Area Network) 和设备的框架。...

28970

扫码关注云+社区

领取腾讯云代金券