商业窃密木马Ficker活动及样本分析报告
近日,安天CERT监测到一个活跃的商业窃密木马Ficker,最早出现于2020年10月。近期通过伪造Microsoft Store、Spotify、在线文档转换器等网站进行传播,在一个月内快速迭代十多个版本。
Ficker窃密木马具备多种窃密功能,包括窃取系统信息、窃取浏览器信息、窃取应用程序凭证、屏幕截图等功能,并且可以窃取多个加密货币钱包。该窃密木马通过检测计算机语言环境,如果为俄罗斯、乌兹别克斯坦、乌克兰、亚美尼亚、哈萨克斯坦、阿塞拜疆、白俄罗斯的语言环境,则不会执行恶意代码。2021年1月,该窃密木马开始在俄语黑客论坛上公开售卖,传播方式由于购买者的不同逐渐产生了变化,例如通过伪装成主题为DocuSign的Word文档进行传播。与此同时,多个攻击组织实施过该木马的分发。例如,Hancitor恶意软件在感染独立主机时,选择使用Ficker窃密木马窃取数据。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。
该起攻击行动样本技术特点分布图:
图 2‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表2‑1 ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
初始访问 | 网络钓鱼 | 利用钓鱼网站传播 |
执行 | 诱导用户执行 | 伪装成国际象棋应用程序诱导用户执行恶意代码 |
防御规避 | 仿冒 | 将图标伪装成国际象棋应用程序 |
防御规避 | 反混淆/解码文件或信息 | 将字符串解码为可执行程序 |
防御规避 | 混淆文件或信息 | 利用多层编码及加密混淆 |
防御规避 | 进程注入 | 将代码注入到进程中以规避检测 |
凭证访问 | 获取应用程序访问令牌 | 窃取Steam等应用程序保存的登陆凭证 |
凭证访问 | 窃取Web会话Cookie | 窃取Web会话Cookie |
发现 | 查询注册表 | 通过注册表收集有关系统、配置和已安装软件的信息 |
发现 | 发现系统信息 | 发现系统信息 |
发现 | 发现系统网络配置 | 通过访问www.ipify[.]org/查询外部IP地址 |
收集 | 收集本地系统数据 | 收集本地系统数据 |
收集 | 数据暂存 | 将查询得到的外部IP地址暂存在本地 |
收集 | 获取屏幕截图 | 获取屏幕截图 |
数据渗出 | 使用C2信道回传 | 回传到攻击者指定的C2服务器 |
针对该窃密木马安天建议企业采取如下防护措施:
3.1 企业防护
(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;
(3)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
图 3‑1 安天IEP对该窃密木马的查杀截图
4.1 攻击流程图
攻击者首先制作了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者伪造的Mircosoft Store页面。网页会自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件,压缩包内是伪装成“xChess3”国际象棋的Ficker窃密木马。
图4‑1 攻击流程图
图 4‑2 攻击者伪造的Mircosoft Store页面
图 4‑3 延时2秒后跳转到指定服务器
解压后,得到一个伪装成国际象棋应用程序的可执行文件,诱导用户执行。
图 4‑4 伪装成国际象棋的Ficker窃密木马
表 5‑1 Ficker窃密木马样本标签
病毒名称 | Trojan[Spy]/Win32.Ficker |
原始文件名 | xChess_v.709.exe |
MD5 | 562DAF0DAFE1EEED0D7B541D39136156 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 390.68 KB (400,054字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2019-12-26 13:49:16 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ 9.0 |
VT首次上传时间 | 2021-04-20 12:29:11 |
VT检测结果 | 50/70 |
该样本运用Shellcode技术规避检测,样本中包含了大量对抗分析的技术,如进程镂空、代码自解密等。样本窃取系统信息、浏览器信息、应用程序凭证、屏幕截图、加密钱包等,并将窃取的信息回传到攻击者指定的C2服务器。
5.2.1 解密Shellcode
样本运行后,通过Shellcode技术规避检测,将Shellcode写入申请的内存空间并解码执行。
图 5‑1 解密Shellcode
图 5‑2 创建自身进程
图5‑3 创建互斥量
表5‑2 规避的国家/地区
缩写 | 国家 |
ru-RU | 俄罗斯 |
uz-UZ | 乌兹别克斯坦 |
ua-UA | 乌克兰 |
hy-AM | 亚美尼亚 |
kk-KZ | 哈萨克斯坦 |
az-AZ | 阿塞拜疆 |
be-BY | 白俄罗斯 |
图 5‑4 查询外部IP地址并保存到本地
图 5‑5 获取Windows序列号
图 5‑6 窃取浏览器用户信息
表5‑3 窃取的加密钱包名称
图 5‑7 尝试窃取Steam登陆凭证
对当前计算机上正在运行的活动应用程序进行截图。
图 5‑8 屏幕截图
图 5‑9 回传到指定服务器
MD5: |
562DAF0DAFE1EEED0D7B541D39136156 |
C8BB9EB65027CF82FBE11FFE55C37B53 |
6987DF0DEF75225847F7A1B44B4AC858 |
0C9221E48CA29B7CC30DCE61433CD17B |
D615F7790D258DC87F05494838A8BE75 |
26E9921B4FA07DCE963C4EB4C703EA9A |
9C807B433F45181DDB3060E9FFB54129 |
419549395F9DF96E24530CBBE81318AF |
C5230EE45C145A14B202CA87E7B6317C |
6E9D4EF64DE1B821579F6457F07CFE4C |
4CA4725BD607EF1361B88D181A82DEE0 |
IP: |
188.120.251.192(以上样本均连接此IP) |