专栏首页FreeBufPoulight Stealer:来自俄罗斯的窃密恶意软件

Poulight Stealer:来自俄罗斯的窃密恶意软件

过去的两个月中,研究人员发现了窃密恶意软件 Poulight Stealer 的技术进化与传播扩散,经过研究发现其可能源于俄罗斯。

介绍

如今,信息窃取是常见的威胁之一,例如 Azorult、Agent Tesla 和 Hawkeye。信息窃取是网络犯罪中最赚钱的领域之一,从失陷主机收集的信息会被转手到地下网络犯罪市场,或者用于凭据填充攻击。

Poulight 最早在 3 月中旬被MalwareBytes的研究人员发现,并且相关 IOC 指标已经在安全社区之间共享。恶意代码具有先进的信息窃取能力,而且还在不断进化中。

技术分析

属性

哈希

8ef7b98e2fc129f59dd8f23d324df1f92277fcc16da362918655a1115c74ab95

威胁

Poulight Stealer

简要描述

Poulight Stealer

ssdeep

1536:GJv5McKmdnrc4TXNGx1vZD8qlCGrUZ5Bx5M9D7wOHUN4ZKNJH:GJeunoMXNQC+E5B/MuO0Ogt

像其他恶意软件一样,也提供给网络犯罪分子可订阅的恶意软件构建工具。结果为 .NET 可执行文件。

该样本的好处是它没有经过混淆,所以分析起来非常容易,可以很好地描述恶意软件的功能。当恶意软件启动后,也会执行经典的检测逃避技术:

其中,通过执行Select * from Win32_ComputerSystem命令使用 WMI 来进行检测逃避。这个方法对虚拟化相关的检测进行了一些检查,如:

vmware VIRTUAL VirtualBox sbiedll.dll (Sandboxie) snxhk.dll (Avast sandbox) SxIn.dll (Avast sandbox) Sf2.dll (Avast Sandbox)

这些检查也在 Al-Khaser 或 Pefish 工具中被列出来,这些工具旨在检测用于恶意软件分析的环境、测试沙盒的健壮性。执行相关的检测逃避技术后,恶意软件就开始进行感染,从而启动一个被称为Starter的新威胁。

Starter类包含用于加载恶意软件模块的代码。在此之前,有一些目录和文件用于存储失陷主机的相关信息。该操作由第一条指令global::Buffer.Start()执行。方法也非常简单,通过以下方式在 Windows 特殊文件夹(AppData、Local AppData、Personal、Desktop)中创建许多文件夹:

然后,恶意软件从名为String0的资源中提取配置信息与其他参数。数据是经过 base64 编码的字符串,然后通过以下方法进行解码:

配置文件的内容如下所示:

<settings>PHByb2cucGFyYW1zPllXUnRhVzQ9fE1RPT18TUE9PTwvcHJvZy5wYXJhbXM+PHRpdGxlPlVHOTFiR2xuYUhRPTwvdGl0bGU+PGNwZGF0YT5NSHd3ZkRFeVEwNTFTMnRMU3pGNFRFWnZUVGxRTlRoNlYxaHJSVXhOZURGNU5URjZObGw4TVRKRFRuVkxhMHRMTVhoTVJtOU5PVkExT0hwWFdHdEZURTE0TVhrMU1YbzJXWHd3PC9jcGRhdGE+PHVsZmlsZT5hSFIwY0RvdkwzSjFMWFZwWkMwMU1EY3pOVEk1TWpBdWNIQXVjblV2WlhoaGJYQnNaUzVsZUdVPTwvdWxmaWxlPjxtdXRleD5QTDJkNHZGRWdWYlFkZGRka21zMFpoUWlJMEk8L211dGV4Pg==</settings>
解码对应的 base64 字符串,就可以获得构建的参数列表。如下所示:
<prog.params>YWRtaW4=|MQ==|MA==</prog.params><title>UG91bGlnaHQ=</title><cpdata>MHwwfDEyQ051S2tLSzF4TEZvTTlQNTh6V1hrRUxNeDF5NTF6Nll8MTJDTnVLa0tLMXhMR**NOVA1OHpXWGtFTE14MXk1MXo2WXww</cpdata><ulfile>aHR0cDovL3J1LXVpZC01MDczNTI5MjAucHAucnUvZXhhbXBsZS5leGU=</ulfile><mutex>PL2d4vFEgVbQddddkms0ZhQiI0I</mutex>
prog.params 可在 HandlerParams.Start() 中进行检索。在开始新的感染行为前要检查是否重复感染,执行 AntiReplaySender.CheckReplayStart()即可完成该任务:

恶意软件通过互斥量进行判断,该互斥量在参数列表中也可以看到。文件在%TEMP%文件夹中,如果该文件存在,恶意软件不会再次执行,肉则写入空文件开始执行。接着来看XS类的恶意代码,如下所示:

首先通过Information.Start()收集有关失陷主机的硬件和软件信息:

值得注意的是,恶意软件使用英语和俄语来记录收集的信息。随后,枚举并记录所有活动进程列表:

紧接着执行第三个参数的检查。如果等于 1 则执行clipper模块:

如上所示,使用存储在cpdata内的 AES 密钥解密clbase中的模块。但是,在特定配置中没有clbase字段,就没有需要安装的模块。最后一条命令是CBoard.start,如下所示:

窃取剪贴板数据后会在失陷主机中收集所有敏感信息:

该恶意软件窃取大量数据:

桌面快照 敏感文件 摄像头快照 Filezilla 凭据 Pidgin 凭据 Discord 凭据 Telegram Skype Steam 加密货币 Chrome

DFiles模块负责窃取敏感文档,搜索以下扩展名之一的文件:

在发现文件中,恶意软件会检索经典的关键字,这些关键字显示文件的内容中存在一些有用的凭据:

随后,恶意软件会将所有收集到的信息发送到另一个名为connect的资源提供的 C&C 服务器:

最后,从下载并执行其他模块。检索参数的方式与前述相同,在ulfile中标记了要下载的组件。

结论

Poulight Stealer 具有惊人的潜力,不排除它的异军突起将来可能会代替其他恶意软件家族。但该恶意软件缺乏代码混淆与数据保护功能,可能仍然处于开发的早期阶段,后续攻击者可能会增强这些功能。

IOC

8ef7b98e2fc129f59dd8f23d324df1f92277fcc16da362918655a1115c74ab95 http//fff[.gearhostpreview[.com/ARMBot http[://u43692210a[.ha003.t.justns[.ru/ [http://poullight[.ru/](https://www.freebuf.com/)

Yara

import "pe"

rule Poulight_Stealer_May_2020 {
meta:
      description = "Yara rule for Poulight Stealer"
      hash = "8ef7b98e2fc129f59dd8f23d324df1f92277fcc16da362918655a1115c74ab95"
      author = "Cybaze - Yoroi  ZLab"
      last_updated = "2020-05-07"
      tlp = "white"
      category = "informational"

strings:
    $s1 = "http//fff.gearhostpreview.com/ARMBot" ascii
    $s2 = "WBcG91bGxpZ2h0Lhttp://poullight.ru/keys.txt" ascii 
    $s3 = "Poullight.exe"
    $s4 = "\\wallets\\wallet.dat" wide ascii
    $s5 = "=====================================" wide ascii
    $s6 = {2F 7B 00 30 00 7D 00 3C 00 63 00 6C 00 62 00 61
        00 73 00 65 00 3E 00 7B 00 ?? 00 7D 00 3C 00 2F
        00 63 00 6C 00 62 00 61 00 73 00 65 00 3E 00}
$s7 = "Select * from Win32_ComputerSystem" wide ascii

condition:
    uint16(0) == 0x5A4D and all of them
}

参考来源

Yoroi

*本文作者:Avenger ,来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Avenger

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-06-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 世界上最著名也最危险的APT恶意软件清单

    本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单,其中有些可以说早已盛名在外,另一些可能你还没听过……然而这正是它最危险...

    FB客服
  • 恶意软件防卫指南(下):远离网络安全威胁,让电信诈骗分子见鬼去吧

    请你设想这样一个场景:你打开了你的电脑,系统花了大半天的时间才终于启动成功。当你的电脑桌面显示出来之后,你发现桌面上莫名其妙地多出了几个你从未见过的应用程序图标...

    FB客服
  • 对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

    利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

    FB客服
  • 学徒作业-我想看为什么这几个基因的表达量相关性非常高

    发表于2017年12月,在CELL杂志:Single-Cell Transcriptomic Analysis of Primary and Metastati...

    生信技能树
  • LeetCode48, 如何让矩阵原地旋转90度

    这个动图一看就明白了,也就是说我们需要将一个二维矩阵顺时针旋转90度。这个题意我们都很好理解,但是题目当中还有一个限制条件:我们不能额外申请其他的数组来辅助,也...

    TechFlow-承志
  • 【干货】初学者的深度学习论文打怪升级指南

    ,【导读】人工智能研究专家Flood Sung针对近几年深度学习的研究进展提供了一个非常详细的阅读清单。如果你在深度学习领域是一个新手,你可以会想知道如何从哪篇...

    WZEARW
  • 数据恢复 | 找回安卓已经删除的照片

    课代表
  • 深入解析:半连接与反连接的原理和等价改写方法

    半连接的原理及等价改写 1. 什么是半连接 当两张表进行关联,只返回匹配上的数据并且只会返回一张的表的数据,半连接一般就是指的在子查询中出现 IN 和 EXI...

    数据和云
  • 深入解析:半连接与反连接的原理和等价改写方法

    当两张表进行关联,只返回匹配上的数据并且只会返回一张的表的数据,半连接一般就是指的在子查询中出现 IN 和 EXISTS。

    数据和云01
  • 每日两题 T18

    给你一幅由 N × N 矩阵表示的图像,其中每个像素的大小为 4 字节。请你设计一种算法,将图像旋转 90 度。

    合一大师

扫码关注云+社区

领取腾讯云代金券