关于“魔盗”窃密木马大规模传播的风险提示
本报告由国家互联网应急中心(CNCERT)与安天科技集团股份有限公司(安天)共同发布。
一
概述
二
“魔盗”窃密木马分析
(一)传播方式分析
攻击者利用“cdr[.]jyxwlkj.cn”域名建立软件下载页面,将伪装为“破解版CorelDraw”绘图工具的压缩包投放至该页面进行大范围传播。用户一旦执行压缩包中的恶意程序便会在主机中创建服务并添加注册表启动项,实现持久化驻留,随后从攻击者服务器中下载窃密组件进行数据窃取并回传。
图1 攻击流程图
(二)相关样本分析
“魔盗”窃密木马整体执行流程可分为3个阶段:诱导执行阶段、执行阶段与窃密阶段。组件调用关系图如下:
图2 组件调用关系图
1、诱导阶段
为了诱导受害者执行恶意程序,攻击者在压缩包中提供了4个配套文件,具体文件信息见下表:图3 安装教程文档部分内容
2、执行阶段本阶段以NSIS安装程序“coreldraw.exe”作为初始载荷,通过其释放的多个组件间的协同作业保证恶意程序的持续运行。这些组件包括“服务管理组件”、“启动器组件”、“插件加载组件”和“杀软对抗组件”。2.1初始载荷
2.2服务管理
“SystemSecurityService.exe”为服务管理组件,其主要功能为通过创建系统服务实现持久化驻留并确保“NetworkService.exe”进程的持续执行。该组件的样本标签如下:图4 崩溃或停止后的再启动
2.3启动器
“system_laungher.exe”为启动器组件,该组件仅负责运行“NetworkService.exe”。攻击者疑似误将该组件文件名中的 “launcher”(发射器)写为“laungher”。该组件的样本标签如下:图5 利用命令行启动目标程序
若文件不存在,则会将自身运行目录下的“NetworkService”目录完整复制到“%appdata%”中。随后以上文相同方式启动复制后的“NetworkService”目录下的“NetworkService.exe”。图6 拷贝NetworkService目录
2.4插件加载
“NetworkService.exe”组件用于实现插件加载。该组件根据运行参数的不同分为三个模式:“完整模式”、“简易模式”与“看门狗模式”,三个模式的具体功能见下文。该组件的样本标签如下:图7 样本中标注的版本号
完整模式当运行参数为“nsis”、随机数或为空时,组件执行该模式。在该模式下,组件会在注册表“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”及“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run”两处位置添加名为“NetworkService”的启动项实现自身的持久化驻留。图8 添加注册表启动项
组件使用“dog”加随机数作为运行参数创建看门狗模式下的自身进程。图9 启动看门狗模式
随后向攻击者服务器发起5次网络请求:第一次请求:服务器响应数据中会包含DLL插件列表及版本号。若插件列表中的文件在“plugin”目录中不存在,或当前版本与响应数据中的版本号不同,则会从攻击者服务器下载列表中的所有插件。随后加载“plugin”目录下的所有DLL并执行其导出函数“PlugIn_Create”。第二次请求:获取受害者主机的CPUID、处理器签名、系统盘卷号、GUID,将拼接后计算出的MD5值,经AES加密+Base64编码后回传至攻击者服务器。第三次请求:获取注册表“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall”及“HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall”下保存的所有已安装的程序列表,经AES加密+Base64编码后回传至攻击者服务器。第四次请求:将初始载荷的文件名(即“coreldraw”)经AES加密+Base64编码后回传至攻击者服务器。第五次请求:通过执行“whoami”及“netsh wlan show profiles”命令获取受害者主机名、用户名、wifi列表信息,经AES加密+Base64编码后回传至攻击者服务器。最后循环判断“SearchIndexerService.exe”进程是否存在,若不存在则运行。图10 监视SearchIndexerService.exe进程
简易模式
当运行参数包含“vs”时执行该模式。该模式相比完整模式仅舍弃了“看门狗创建”与“注册表启动项添加”功能,其余功能均一致。看门狗模式
当运行参数包含“dog”时执行该模式。该模式的功能为持续判断“完整模式”下的“NetworkService.exe”进程是否存在。若进程不存在,则以随机数作为运行参数启动自身进程(即“完整模式”)。图11 监视完整模式下的NetworkService.exe进程
2.5杀软对抗
“SearchIndexerService.exe”为杀软对抗组件。该组件通过断开杀毒软件进程的TCP连接防止自身样本被上传至云端。该组件的样本标签如下:图12 中断杀毒软件TCP连接
3、窃密阶段
攻击者在本阶段使用的窃密载荷通过初始载荷释放或插件加载组件进行下载,由插件加载组件负责加载执行。窃密插件加载后会创建三个线程,功能分别为:弹出虚假盗版提示、伪造盗版崩溃及窃取用户数据。窃密插件的样本标签如下:图13 插件入口
线程1:虚假盗版提示
线程1的主要功能为通过运行“System_Warning.exe”向受害者展示一个包含盗版提示的窗口以此让受害者误认为盗版软件已成功安装。此进程仅用于展示盗版提示,无实质恶意行为。该线程会访问攻击者服务器获取进程列表,只有当进程列表中的进程正在受害者主机上运行时才会展示盗版提示。盗版提示窗口如下图:图14 盗版提示程序界面
线程2:伪造崩溃提示
为了防止受害者意识到软件并未成功破解,攻击者伪造了进程崩溃的提示。线程2运行后会再次访问攻击者服务器获取另一份进程列表。若进程列表中的进程正在受害者主机运行,则会结束该进程并弹出一个崩溃提示以欺骗受害者。提示内容如下图:图15 伪造进程崩溃提示
为了使崩溃提示看上去更加真实,该线程还会访问攻击者服务器来获取不同进程对应的不同的提示内容。线程3:数据窃取及回传
线程3用于窃取受害者主机的系统信息与隐私数据并经AES加密+Base64编码后回传至攻击者服务器。目前攻击者窃取的目标为受害者的网卡信息、网页浏览记录、书签列表及邮箱地址。具体窃取数据及软件信息见下表:(三)样本关联分析
图17 样本PDB中均包含APS字符串
2、攻击者正持续更新木马组件根据样本中标注的版本号及编译时间可知攻击者正在持续更新木马组件。具体信息见下表:三
感染规模
通过监测分析发现,国内于2022年8月3日至8月23日期间“魔盗”木马日上线肉鸡数最高达到1.3万台,累计已有约6.5万台设备受其感染。每日境内上线肉鸡数情况如下。
图19 每日上线境内肉鸡数
四
防范建议
请广大网民强化风险意识,加强安全防范,避免不必要的经济损失,主要建议包括:
2、尽量不打开来历不明的网页链接,不要安装来源不明软件。
3、加强口令强度,避免使用弱口令,密码设置要符合安全要求,并定期更换。建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令。
4、梳理已有资产列表,及时修复相关系统漏洞。
5、安装终端防护软件,定期进行全盘杀毒。
6、当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
五
相关IOC
样本MD5:
0F977A2D14F24D439FC9ABF7F64D7467
4BCE8BEAEE23770FA49A531DDC42B6CB
DF8F84A5945A218FC494EA25DFB9E730
FABD47AFE7F4E011B5EBD0483C3878D4
19B7EF53432711FA35DF87DFC66779D0
1A144C2394520B16759A4C51C81368E4
A8A626491FDBA630D6C658B1EBBEDF4F
F5D028CAB607319F4BC98CB510E7A642
41522ABC967179AC3E1676C753669F7B
FA36A03682CD077C5C2E2BCB2BD5A4E8
7F0D12C4DD857D1DB8CD641597B1C9D1
4E5C08A01A2BB06EC26A9E54F40400D0
F247621EC45BB5D60A9166C0714058C8
14F02744FEF4AE98BDFF3173185659C0
CD70268ABEE2F2AFC846E9F1BE6D8AD0
B0CDD87C55F266DA7A96AFF914D4208A
F7B7020BF8C2C41720F95F3E09D2C340
59AFEFD4B424A0F27BDEA2EB9E9B3A02
30FBF5D3AF8B2AC7E2490194FA09E55F
DE577D15094E118FB816C13E5C93F76A
6781BFC2B6EFD6FBA59C8862A8AFFD07
C9BF6DB9A46C7450827C714C3EF44066
81DEA5C46E6D67963EA0A3FD2C510563
AE3DD4E31226CC096284921E6F7E26D3
8E2894DADEAA52CD5B55DC03130CCF4D
00690DC909CF966D55F5A14B696BE143
B25E7347C9854E4B408864041D836997
F84AAA3A4A39730994962FFC53F1AECE
3EC9FC9A9D52E1EC78BBA6A4594A86A3
86AF77B5EC9B51F47651611991BBFA9A
45C32D08F20235E11F29DB3082C3AAB7
AB4FB51F10548AF01AA8C0829BB723E5
2F781CDD905FEA6C93A2929B02A7F4F9
218F439C13442E468BA48CA747CEF66A
9988BF5FF1D0DFDC83B0F880310ACFC9
62A5FC2BE6DBA690147CEA052C990276
95387C242C72CCA0E16811B40D46D764
1B5615E90735BE851FDFC556EA2CAE26
652835C8ECFD722950D0F5D8509EA1C2
0CE3A923F6263D877946FFBEB4666DE7
6ED3E57FDBEF38530385248D2ED7E96B
B719599A81D382983DCA526111F2A9D0
E9E3631A3374D7C5E78E6CC769D6326D
F7CDC25E606FF80B0F72CE6323827374
83AE694E25EDE2896A6ABCBB093F8D40
B307431E8122867D00E00FC669932017
8[.]218.94.162
cdr[.]jyxwlkj.cn
cdrnb[.]jyxwlkj.cn
api2[.]uptocycle.com
hxxp://cdr.jyxwlkj.cn/ida-ida.html
hxxp://cdr.jyxwlkj.cn/download1/ida.zip
hxxp://cdr.jyxwlkj.cn/ida-dnspy.html
hxxp://cdr.jyxwlkj.cn/download1/dnspy.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw.zip
hxxp://cdr.jyxwlkj.cn/cdr-zhuanhuanqi.html
hxxp://cdr.jyxwlkj.cn/download1/cdr转换器.zip
hxxp://cdr.jyxwlkj.cn/cdr-banbenzhuanhuanqi.html
hxxp://cdr.jyxwlkj.cn/download1/cdr版本转换器.zip
hxxp://cdr.jyxwlkj.cn/cdr-cdrzitichajian.html
hxxp://cdr.jyxwlkj.cn/download1/cdr字体插件.zip
hxxp://cdr.jyxwlkj.cn/cdr-sucai.html
hxxp://cdr.jyxwlkj.cn/download1/cdr全套素材.zip
hxxp://cdr.jyxwlkj.cn/cdr-cdryansetianchong.html
hxxp://cdr.jyxwlkj.cn/download1/cdr颜色填充插件.zip
hxxp://cdr.jyxwlkj.cn/cdr-barcode.html
hxxp://cdr.jyxwlkj.cn/download1/barcode.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw2022.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw2022.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw2021.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw2021.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw2020.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw2020.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw2019.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw2019.zip
hxxp://cdr.jyxwlkj.cn/cdr-coreldraw2018.html
hxxp://cdr.jyxwlkj.cn/download1/coreldraw2018.zip
hxxp://cdr.jyxwlkj.cn/ue-winhex.html
hxxp://cdr.jyxwlkj.cn/download1/winhex.zip
hxxp://cdr.jyxwlkj.cn/ue-typora.html
hxxp://cdr.jyxwlkj.cn/download1/typora.zip
hxxp://cdr.jyxwlkj.cn/ue-notepad.html
hxxp://cdr.jyxwlkj.cn/download1/notepad.zip
hxxp://cdr.jyxwlkj.cn/ue-sublime.html
hxxp://cdr.jyxwlkj.cn/download1/sublime.zip
hxxp://cdr.jyxwlkj.cn/ue-ultraedit.html
hxxp://cdr.jyxwlkj.cn/download1/ultraedit.zip
hxxp://api2.uptocycle.com/update/index.ini
hxxp://api2.uptocycle.com/update/DreamApslop.dll
hxxp://api2.uptocycle.com/aps.php/Isfreed/sanll
hxxp://api2.uptocycle.com/aps.php/udata/comp_info
hxxp://api2.uptocycle.com/aps.php/udata/user_info
hxxp://api2.uptocycle.com/aps.php/udata/install_info
hxxp://api2.uptocycle.com/aps.php/udata/pc_domain_info
hxxp://api2.uptocycle.com/aps.php/checkver/index
hxxp://api2.uptocycle.com/aps.php/window/info
hxxp://api2.uptocycle.com/aps.php/udata/browsing_history
hxxp://api2.uptocycle.com/aps.php/generic/process
点击下方“阅读原文”进入官网下载完整报告