窃密团伙瞄准企业机密信息,备用病毒超60个

栏目: 编程工具 · 发布时间: 5年前

内容简介:数据正在成为信息时代最有价值的资产,在网络黑市,大量个人及企业数据被肆意买卖交换,窃取、出售数据是网络黑产牟利的主要方式之一。国家对保护个人及企业信息安全,有严格的法律法规要求,即将颁布《网络安全等级保护技术2.0》做为全国各个行业改进信息安全的指导性文件。近日,腾讯御见威胁情报中心截获一个恶意利用高危漏洞攻击的Office文档,并以该文档溯源确定了该病毒团伙的基本画像。该窃密团伙通过多种方式分发病毒模块,包括:利用漏洞构造Office攻击文档、伪装为explorer或诱饵压缩包的快捷方式执行远程控制木马等

一、概述

数据正在成为信息时代最有价值的资产,在网络黑市,大量个人及企业数据被肆意买卖交换,窃取、出售数据是网络黑产牟利的主要方式之一。国家对保护个人及企业信息安全,有严格的法律法规要求,即将颁布《网络安全等级保护技术2.0》做为全国各个行业改进信息安全的指导性文件。近日,腾讯御见威胁情报中心截获一个恶意利用高危漏洞攻击的Office文档,并以该文档溯源确定了该病毒团伙的基本画像。该窃密团伙通过多种方式分发病毒模块,包括:利用漏洞构造Office攻击文档、伪装为explorer或诱饵压缩包的快捷方式执行远程控制木马等,最终实现病毒模块的下载安装,从而持久控制目标系统。腾讯安全专家发现,在该窃密病毒团伙的木马下载站点,主要恶意病毒类型为远程控制类及窃密类木马,总计有34个分类目录,病毒数量总计超过60个,具体目录结构如下图所示。

窃密团伙瞄准企业机密信息,备用病毒超60个

二、样本分析

该名为“Declaration_Reports.doc”的word文档,内容本身毫无意义,当用户使用存在漏洞的老版本Office打开文档就会触发恶意代码执行,用户不会有任何异常发现,在打开文档的瞬间,窃密病毒已经运行,会偷偷上传用户敏感信息,中毒电脑被黑客远程控制。该文档利用了CVE-2017-11882漏洞(即Office公式编辑器漏洞),漏洞触发后会执行系统白程序powershell.exe,通过Powershell脚本代码下载病毒文件hxxp://51.89.0.134/bvikl/3xp.exe。病毒会被下载到临时目录,并伪装为显卡驱动相关程序:nvbackend.exe。

窃密团伙瞄准企业机密信息,备用病毒超60个

该文档打开内容基本是空白

接下来我们分析下载下来的病毒,该病毒由Autoit脚本语言编写,通过填充大量正常函数用于将自身伪装为正常脚本。从第5117行开始实现病毒的主逻辑,这部分脚本函数通过字符串随机位置反转以及随机字符填充,实现躲避杀软的特征匹配以及加大逆向分析的难度。

主要的功能如下所述:

1、检测虚拟机。

  • 如果存在vmtoolsd.exe或者vbox.exe则结束自身进程。

  • 检查explorer.exe的窗口是否存在,如果不存在则结束自身。

2、oiifofqttlspbli功能函数检测系统版本后调用对应的函数,通过利用特殊注册表键项执行fodhelper.exe或eventvwr.msc用于 bypassUAC,进而以管理员权限重新启动自身。

3、读取并拼接自身资源段中名为"setupcly"与"ApiSetHost.AppExecutionAliass"字符串资源并使用AES256密钥"KvwWJyTOBRxuzFXeyPzTVpVpSwpMQFHP"解密出一段压缩数据,最后通过调用RtlDecompressBuffer中LZ解压缩算法将最新的商业级窃密恶意软件版本“HawkEye Keylogger”窃密病毒解密到内存。调用逻辑如下所示。

“HawkEye Keylogger” 最新版本窃密病毒简述:通过HOOK技术获取键盘记录、剪切板信息等,通过Process Hollowing技术将合法的BrowserPassView和MailPassView工具转储用户的浏览器与邮箱的登录凭证,调用摄像头进行拍照,以及常规的系统信息获取、行为日志抹除等等(旧版本的“HawkEye Keylogger”详细分析见“引用”[1]链接文章)

窃密团伙瞄准企业机密信息,备用病毒超60个

解密并解压缩的功能函数去混淆并转换字符串后,得到如下指令序列。

窃密团伙瞄准企业机密信息,备用病毒超60个

4、diamlgutqpdcjol方法用于指定运行入口点偏移为0xBE的shellcode。shellcode通过动态获取简单加密过的14个所需API名称的地址后,拉起RegSvcs.exe并且将$lpfile指针指向的恶意代码地址(“HawkEye Keylogger”窃密病毒)注入,注入完成之后释放shellcode代码内存。Shellcode拼接代码如下所示。

窃密团伙瞄准企业机密信息,备用病毒超60个

Shellcode动态获取API地址代码逻辑如下所示。

窃密团伙瞄准企业机密信息,备用病毒超60个

5、在启动目录中写入url链接用于指向生成的VBS,VBS用于启动本体(本体通过在尾部填充随机数实现简单的自变形用于躲避查杀),实现常驻。

窃密团伙瞄准企业机密信息,备用病毒超60个

6、nlhobotprjstlck函数检测,如果运行中的脚本是在启动目录,则调用CMD删除该脚本检测虚拟机。但是在我们实际分析的时候,发现“HawkEye Keylogger”病毒用于发送敏感信息的邮箱账号密码失效了。

窃密团伙瞄准企业机密信息,备用病毒超60个

实际上,这个“HawkEye Keylogger”病毒样本编译时间较早,如图所示为2019年1月22日,但是病毒母体却是于2019年5月6日编译的。

窃密团伙瞄准企业机密信息,备用病毒超60个

腾讯御见威胁情报中心监测发现,5月8日晚该木马下载站点更新了3xp.exe病毒模块,因此我们猜测该样本在初步测试阶段由于某些原因弃用该病毒模块,替换为 “Remcos” 远程控制木马(“Remcos”远程控制木马为一款商业木马程序,黑客通过该木马可以完全控制目标计算机。详细分析见“引用”[2]链接文章)。在该木马下载站点我们发现,原先的3xp.exe被重命名为了hawk.qwe,并且包装壳由Autoit编写语言替换为了C++,包装壳中shellcode解密注入逻辑替换为循环异或自定义密码表解密出PE,解密逻辑如下图所示。

窃密团伙瞄准企业机密信息,备用病毒超60个

释放的“HawkEye Keylogger”窃密病毒与原先逻辑一致,只更新了用于发送敏感信息的邮箱账号密码。

窃密团伙瞄准企业机密信息,备用病毒超60个

三、溯源分析

我们在该木马下载站点发现了超过60个病毒,多数为窃密病毒与远控病毒,包括但不限于:NetWire远控、NanoBot远控等,目前还没有更多的证据去证实该病毒团伙的相关性,腾讯御见威胁情报中心将会持续关注该团伙的活动情况。

窃密团伙瞄准企业机密信息,备用病毒超60个

四、安全建议

1、不要打开来历不明的文件或程序;

2、及时安装Office组件的安全补丁,避免遭遇漏洞攻击;

3、使用腾讯御点或腾讯电脑管家即可第一时间拦截查杀病毒

窃密团伙瞄准企业机密信息,备用病毒超60个

腾讯御点拦截漏洞攻击

窃密团伙瞄准企业机密信息,备用病毒超60个

腾讯御点查杀后门程序

IOCs MD5

7fee95a266123fd63c73b3a04b886b93

ba075fe308c8b209ab61d7bac838cfc0

9da79c3e3713928a6ef1a86ccb6f7ada

cb307598c0a29e5e4b7f70d15344adf6

URL

51.89.0.134

178.239.21.194:9912

其他病毒C2

67.225.208.195

myp0nysite.ru

videoskopisis.gr/panel/gate.php

190.146.1.70:3380

参考资料

[1] https://www.freebuf.com/column/157857.html

[2] https://s.tencent.com/research/report/442.html

声明:本文来自腾讯御见威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上所述就是小编给大家介绍的《窃密团伙瞄准企业机密信息,备用病毒超60个》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人人都是产品经理——写给产品新人

人人都是产品经理——写给产品新人

苏杰 / 电子工业出版社 / 2017-6 / 66.60

《人人都是产品经理——写给产品新人》为经典畅销书《人人都是产品经理》的内容升级版本,和《人人都是产品经理2.0——写给泛产品经理》相当于上下册的关系。对于大量成长起来的优秀互联网产品经理、众多想投身产品工作的其他岗位从业者,以及更多有志从事这一职业的学生而言,这《人人都是产品经理——写给产品新人》曾是他们记忆深刻的启蒙读物、思想基石和行动手册。作者以分享经历与体会为出发点,以“朋友间聊聊如何做产品......一起来看看 《人人都是产品经理——写给产品新人》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

SHA 加密
SHA 加密

SHA 加密工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具