活跃的Jester Stealer窃密木马及其背后的黑客团伙分析
近日,安天CERT捕获到一个同时释放Jester Stealer窃密木马和Merlynn Cliper剪贴板劫持器的恶意样本。其中,Jester Stealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式;Merlynn Cliper剪贴板劫持器会将剪贴板中的数字钱包地址替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作,造成受害者虚拟财产的损失。
具体ATT&CK技术行为描述表:
ATT&CK阶段/类别 | 具体行为 | 注释 |
资源开发 | 获取基础设施 | 搭建回传服务器 |
能力开发 | 开发攻击程序 | |
环境整备 | 利用Github托管文件 | |
初始访问 | 网络钓鱼 | 投放钓鱼邮件 |
执行 | 诱导用户执行 | 诱导用户执行 |
持久化 | 利用自动启动执行引导或登录 | 将自身复制到启动目录下 |
防御规避 | 反混淆/解码文件或信息 | 解密攻击载荷 |
隐藏行为 | 隐藏行为 | |
修改注册表 | 修改注册表 | |
混淆文件或信息 | 加密攻击载荷 | |
虚拟化/沙箱逃逸 | 根据虚拟化/沙箱环境改变执行流程 | |
凭证访问
| 从存储密码的位置获取凭证 | 从存储密码的位置获取凭证 |
操作系统凭证转储 | 获取操作系统凭证 | |
窃取Web会话Cookie | 窃取Web会话Cookie | |
发现 | 发现文件和目录 | 发现文件和目录 |
查询注册表 | 查询注册表 | |
发现软件 | 发现软件 | |
发现系统信息 | 发现系统信息 | |
发现系统地理位置 | 发现系统地理位置 | |
发现系统网络配置 | 发现系统网络配置 | |
发现系统网络连接 | 发现系统网络连接 | |
发现系统时间 | 发现系统时间 | |
虚拟化/沙箱逃逸 | 检测虚拟化/沙箱环境 | |
收集 | 压缩/加密收集的数据 | 将收集的数据压缩为zip格式 |
自动收集 | 自动收集数据 | |
收集剪贴板数据 | 收集剪贴板中的电子钱包地址 | |
收集本地系统数据 | 收集本地系统数据 | |
收集电子邮件 | 收集电子邮件 | |
获取屏幕截图 | 获取屏幕截图 | |
数据渗出 | 自动渗出数据 | 自动回传收集的数据 |
限制传输数据大小 | 限制文件收集的大小 | |
使用Web服务回传 | 使用Web服务回传 | |
影响 | 操纵数据 | 操纵剪贴板数据 |
3.1 提升主机安全防护能力
(1)安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;
(2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
(3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
3.2 使用沙箱分析可疑邮件
(1)接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
(2)建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
3.3 遭受攻击及时发起应急响应
(1)联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马、剪贴板劫持器等恶意软件的有效查杀。
4.1 加载器分析
加载器从自身资源数据中读取加密载荷和密钥,通过异或解密两个攻击载荷,释放到%Temp%目录下并执行。
4.1.1 样本标签
病毒名称 | Trojan/Win32.Dropper |
原始文件名 | JoinerStub.exe |
MD5 | 9760B3E37006E0F3EDDE69F9A92C535A |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 335.50 KB (343,552字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2043-01-04 16:42:13(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-19 13:30:06 |
VT检测结果 | 45/68 |
4.1.2 样本分析
加载器中嵌有攻击载荷资源数据,其中以“<文件名>”及“k<文件名>”命名的一组资源分别为经过加密处理的载荷及其对应的密钥。加载器读取资源数据并通过异或解密两个攻击载荷。
将两个攻击载荷释放到%Temp%目录下并执行。
4.2 Jester Stealer窃密木马分析
JesterStealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式。
4.2.1 样本标签
病毒名称 | Trojan[Spy]/Win32.JesterStealer |
原始文件名 | chrome.exe |
MD5 | A09C37144CA538B0BC4499BF59C691F1 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 226.50 KB (231,936字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2060-08-07 20:14:13(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-20 23:46:15 |
VT检测结果 | 27/68 |
4.2.2 样本分析
创建互斥量“c6b4a73b-035e-4027-8c9d-f30fcd7f128e”,确保只有一个实例在运行。
检查自身是否处于虚拟机、沙箱环境。
通过设置及检查注册表“HKEY_CURRENT_USER\SOFTWARE\1f66786f-2f7a-e85c-9153-f9809a7bbf87\state”,避免窃密程序在同一设备重复执行。
获取系统基础信息。
窃取系统Vault、Credman中的密钥信息,获取Wi-Fi网络密码。
获取屏幕截图。
窃取软件的数据,受影响的软件如下表。
FTP | FileZilla | WinSCP | CoreFTP | Snowflake | |
VPN | NordVPN | EarthVPN | WindscribeVPN | ||
浏览器 | 360Browser | 7Star | Amigo | Atom | BlackHaw |
Brave | CentBrowser | Chedot | Chrome | ChromePlus | |
Chromium | Chromodo | Citrio | CocCoc | Comodo | |
Coowon | Cyberfox | Dragon | Elements | EpicPrivacy | |
Firefox | IceDragon | Iridium | K-Meleon | K-Melon | |
Kometa | liebao | Maxthon3 | MS Edge | Nichrome | |
Opera GX | Opera Stable | Orbitum | Pale Moon | QIP Surf | |
Sleipnir5 | Sputnik | Thunderbird | Torch | Uran | |
Vivaldi | Waterfox | Yandex | |||
通信软件 | Telegram | Discord | Pidgin | Outlook | FoxMail |
Signal | RamBox | ||||
电子钱包 | MoneroCore | BitcoinCore | DashcoinCore | DogecoinCore | LitecoinCore |
Electrum | Exodus | Atomic | Jaxx | Coinomi | |
Zcash | Guarda | Wasabi | |||
密码管理器 | BitWarden | KeePass | NordPass | 1Password | RoboForm |
娱乐 | Steam | Twitch | OBS | ||
重要文件 | DropBox | OneDrive |
在内存中将窃取到的数据打包为zip格式,其中还标注了该木马的版本号v1.7.0.1。
使用HTTP协议回传数据:若C2地址中含有“.onion”域名,则从Github某公开仓库中下载Tor客户端并将其设置为代理服务器后回传,若C2地址为其他域名则直接回传。
若HTTP方式回传失败,则将文件上传至AnonFiles网站。该网站为公开的匿名文件存储网站,攻击者将其作为接收回传数据的匿名途径,增加了溯源反制难度。
4.3 Merlynn Cliper剪贴板劫持器分析
MerlynnCliper剪贴板劫持器运行后会持续监听系统剪贴板,若剪贴板内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的数字货币转账等操作,造成受害者虚拟财产的损失。
4.3.1 样本标签
病毒名称 | Trojan/Win32.MerlynnCliper |
原始文件名 | svchost.exe |
MD5 | EEC41C39511EE00773A1E8114AC34E70 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 91.98 KB (94,192字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2055-08-18 21:54:28(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-18 13:46:52 |
VT检测结果 | 22/68 |
4.3.2 样本分析
检查是否为调试、沙箱、虚拟化环境,若为上述环境则退出进程。
将自身复制到启动目录下实现自启动,然后删除原文件。
设置剪贴板侦听器,捕获系统中剪贴板修改事件。
使用正则表达式匹配剪贴板内容,若匹配到剪贴板中内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作。
攻击者预设的数字钱包地址如下。
通过Telegram API将被替换的剪贴板内容发送给攻击者。
Jester Stealer黑客团伙关联分析
JesterStealer窃密木马为该黑客团伙主要销售的恶意软件,于2021年7月20日首次在黑客论坛售卖。该窃密木马频繁更新,更新内容主要为增加新的窃密功能、适配攻击目标环境的变化、修复bug等,本次分析的样本为v1.7.0.1版本。
除窃密木马外,Jester Stealer黑客团伙销售的恶意软件还包括剪贴板劫持器Merlynn Clipper、挖矿木马TrinityMiner和僵尸网络Lilith BotNet等。这些恶意软件通常有几十到几百美元不等的多个价格档位,以此可看出该团伙正在尝试增加获利来源,获取更多非法收益。
JesterStealer黑客团伙作为商业窃密木马产业链的上游,即窃密木马编写者,负责完成窃密木马程序的设计、开发和测试,并对窃密木马程序进行维护更新。但从该团伙开发剪贴板劫持器、挖矿木马、僵尸网络等多种不同类型的恶意软件可以看出,专职窃密攻击者的选择已经从单纯的窃取数据获利转变为复合型的获利方式,包括但不限于挖矿、劫持钱包等方式。
安天CERT始终关注窃密木马、剪贴板劫持器等恶意代码的相关技术变化和特点,提出对应的解决方案,并部署到安全产品中。安天智甲不仅提供了病毒查杀、主动防御等基础功能,还提供了终端管控、网络管控等加强能力,能够有效防御此类威胁攻击,保障用户数据安全。
9760B3E37006E0F3EDDE69F9A92C535A |
A09C37144CA538B0BC4499BF59C691F1 |
EEC41C39511EE00773A1E8114AC34E70 |
参考资料:
[1] 商业窃密木马综合分析报告
https://www.antiy.cn/research/notice&report/research_report/20220316.html