查看原文
其他

商业窃密木马Ficker活动及样本分析报告

安天CERT 安天集团 2022-06-09
点击上方"蓝字"关注我们吧!



01概述

近日,安天CERT监测到一个活跃的商业窃密木马Ficker,最早出现于2020年10月。近期通过伪造Microsoft Store、Spotify、在线文档转换器等网站进行传播,在一个月内快速迭代十多个版本。


Ficker窃密木马具备多种窃密功能,包括窃取系统信息、窃取浏览器信息、窃取应用程序凭证、屏幕截图等功能,并且可以窃取多个加密货币钱包。该窃密木马通过检测计算机语言环境,如果为俄罗斯、乌兹别克斯坦、乌克兰、亚美尼亚、哈萨克斯坦、阿塞拜疆、白俄罗斯的语言环境,则不会执行恶意代码。2021年1月,该窃密木马开始在俄语黑客论坛上公开售卖,传播方式由于购买者的不同逐渐产生了变化,例如通过伪装成主题为DocuSign的Word文档进行传播。与此同时,多个攻击组织实施过该木马的分发。例如,Hancitor恶意软件在感染独立主机时,选择使用Ficker窃密木马窃取数据。经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。



02事件对应的ATT&CK映射图谱

该起攻击行动样本技术特点分布图:

图 2‑1  技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表2‑1   ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

初始访问

网络钓鱼

利用钓鱼网站传播

执行

诱导用户执行

伪装成国际象棋应用程序诱导用户执行恶意代码

防御规避

仿冒

将图标伪装成国际象棋应用程序

防御规避

反混淆/解码文件或信息

将字符串解码为可执行程序

防御规避

混淆文件或信息

利用多层编码及加密混淆

防御规避

进程注入

将代码注入到进程中以规避检测

凭证访问

获取应用程序访问令牌

窃取Steam等应用程序保存的登陆凭证

凭证访问

窃取Web会话Cookie

窃取Web会话Cookie

发现

查询注册表

通过注册表收集有关系统、配置和已安装软件的信息

发现

发现系统信息

发现系统信息

发现

发现系统网络配置

通过访问www.ipify[.]org/查询外部IP地址

收集

收集本地系统数据

收集本地系统数据

收集

数据暂存

将查询得到的外部IP地址暂存在本地

收集

获取屏幕截图

获取屏幕截图

数据渗出

使用C2信道回传

回传到攻击者指定的C2服务器



03防护建议

针对该窃密木马安天建议企业采取如下防护措施:

3.1 企业防护


(1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统


(2)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;


(3)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。


3.2 网站传播防护

(1)尽量不打开来历不明的网页链接;

(2)不随意点击网站上的广告信息;

(3)在威胁情报分析系统中查询URL是否具有威胁。

经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。


图 3‑1  安天IEP对该窃密木马的查杀截图



04攻击流程

4.1 攻击流程图

攻击者首先制作了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者伪造的Mircosoft Store页面。网页会自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件,压缩包内是伪装成“xChess3”国际象棋的Ficker窃密木马。


4‑1  攻击流程图


4.2 攻击流程详述
攻击者首先制作并投放了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者事先伪造的Mircosoft Store页面。


图 4‑2  攻击者伪造的Mircosoft Store页面


攻击者设置网页延时2秒后,自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件。

图 4‑3   延时2秒后跳转到指定服务器


解压后,得到一个伪装成国际象棋应用程序的可执行文件,诱导用户执行。


图 4‑4  伪装成国际象棋的Ficker窃密木马



05样本分析
5.1 样本标签

表 5‑1   Ficker窃密木马样本标签

病毒名称

Trojan[Spy]/Win32.Ficker

原始文件名

xChess_v.709.exe

MD5

562DAF0DAFE1EEED0D7B541D39136156

处理器架构

Intel 386 or later, and compatibles

文件大小

390.68 KB (400,054字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2019-12-26 13:49:16

数字签名

加壳类型

编译语言

Microsoft Visual C++ 9.0

VT首次上传时间

2021-04-20 12:29:11

VT检测结果

50/70


5.2 样本详细分析


该样本运用Shellcode技术规避检测,样本中包含了大量对抗分析的技术,如进程镂空、代码自解密等。样本窃取系统信息、浏览器信息、应用程序凭证、屏幕截图、加密钱包等,并将窃取的信息回传到攻击者指定的C2服务器。


5.2.1 解密Shellcode


样本运行后,通过Shellcode技术规避检测,将Shellcode写入申请的内存空间并解码执行。


图 5‑1  解密Shellcode


Shellcode解码完成后,样本会运行自身,创建一个挂起的进程,卸载该进程占用的内存,将解密完成的核心代码注入到新创建的进程里,最后恢复挂起的进程。攻击者使用这种进程镂空的攻击技术以规避杀软检测。


图 5‑2  创建自身进程


5.2.2 窃密回传

注入的核心代码是一个PE文件,运行后会创建一个名为“serhershesrhsfesrf”的互斥量。


图5‑3  创建互斥量


检测计算机的语言环境,如果为以下国家的语言环境,则不会执行恶意代码。


表5‑2  规避的国家/地区

缩写

国家

ru-RU

俄罗斯

uz-UZ

乌兹别克斯坦

ua-UA

乌克兰

hy-AM

亚美尼亚

kk-KZ

哈萨克斯坦

az-AZ

阿塞拜疆

be-BY

白俄罗斯


访问www.ipify[.]org/查询外部IP地址,并将返回的信息下载到C:\ProgramData\kaosdma.txt。


图 5‑4  查询外部IP地址并保存到本地


获取系统用户名、系统版本、Windows序列号等信息。


图 5‑5  获取Windows序列号


窃取Web浏览器中的保存的用户名称、登陆凭证、Cookie等信息。


图 5‑6  窃取浏览器用户信息


窃取多个加密货币钱包,如下表所示:


表5‑3  窃取的加密钱包名称

窃取Pidgin、Steam、Discord等应用程序客户端和FTP客户端中保存的登陆凭证。


图 5‑7  尝试窃取Steam登陆凭证


对当前计算机上正在运行的活动应用程序进行截图。


图 5‑8  屏幕截图


将窃取的信息回传到攻击者指定的C2服务器188.120.251.192。


图 5‑9  回传到指定服务器


Ficker窃密木马于2020年10月末发现,并衍生多个版本,该家族其他版本曾下载其他流行远程控制木马。该窃密木马对用户的数据安全造成了极大的威胁,一旦感染,用户应及时清除,并且立即修改相关应用程序密码,通过反病毒扫描检查计算机中是否存在其他恶意软件。



06IoCs

MD5:

562DAF0DAFE1EEED0D7B541D39136156

C8BB9EB65027CF82FBE11FFE55C37B53

6987DF0DEF75225847F7A1B44B4AC858

0C9221E48CA29B7CC30DCE61433CD17B

D615F7790D258DC87F05494838A8BE75

26E9921B4FA07DCE963C4EB4C703EA9A

9C807B433F45181DDB3060E9FFB54129

419549395F9DF96E24530CBBE81318AF

C5230EE45C145A14B202CA87E7B6317C

6E9D4EF64DE1B821579F6457F07CFE4C

4CA4725BD607EF1361B88D181A82DEE0

IP:

188.120.251.192(以上样本均连接此IP


往期回顾

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存