通过邮件大规模传播窃密木马的事件分析 – FreeBuf互联网安全新媒体平台

2018-09-04共33019人围不雅,发明 4 个不明物体安然申报破绽

近期,兰云科技银河实验室近期经由过程“兰眼下一代要挟感知系统”发明一大年夜批经由过程恶意邮件进行传播的PasswordStealer木马,木马采纳.net 编写,传播初期可以绕开绝大年夜多半传统杀毒软件的检测,迫害极大年夜。该木马可以偷取包括浏览器、邮件客户端、FTP等软件的密码,传播多采纳CVE-2017-11882和宏进行传播,终极将偷取的密码上传到指定的邮箱中。

兰眼下一代要挟感知系统界面截图

1.传播阐发

经由过程一段光阴的监控发明,该木马经由过程大年夜规模投放恶意邮件进行传播,邮件中的附件带有CVE-2017-11882或者带有宏的恶意文档,并会结合社会工程学引诱人打开。

1.1 经由过程CVE-2017-11882进行传播

该rtf(MD5: 5b9e9269784eb277fce3caa8bfbb8cd3)文件应用的破绽为CVE-2017-11882,其破绽道理为:模块EQNEDT32.exe,在读入包孕MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而可履行随意率性代码。

经由过程阐发着末会发明经由过程收集下载莅临时文件并履行:

1.2 经由过程宏进行传播1.2 经由过程宏进行传播

该宏样本(MD5:474886c09cb42e49ecc475cec46b4681)会经由过程社会工程学进行引诱点击,点击后会经由过程powershell脚本下载木马进行履行:

提掏出的powershell样本,可以看到着末会经由过程收集进行下载木马并履行:

该窃密木马(MD5:453b51215acfe98b238f3d9116c203c2)应用.NET进行经由过程编写会经由过程注入的要领将关键窃密软件注入到带有有效数字署名的msbuild.exe中,终极会偷取包括浏览器、邮件客户端、FTP等多款软件的密码。

2.dropper阐发

经由过程阐发发明会发明加的壳为 SmartAssembly 6.9.0.114 版本:

脱壳后,进行调试发明很多变量进行肴杂,经由过程解密算法进行去肴杂:

肴杂措施是进行AES的加密然落后行进行base64编码:

样本会拷贝msbuild.exe 文件莅临时文件夹重命名为svhost.exe,并为注入做筹备。微软官要领度榜样msbuild.exe拥有完备的数字署名,这样会在必然程度上躲避杀软查杀。

然后开始获取注入关键API的地址

解密后

着末经由过程注入把从资本文件中获取并解密的主窃密木马注入到svhost.exe中

经由过程将资本文件下载并写解密法度榜样来获取主窃密木马

2.1主窃密木马

此木马(MD5:b938ce3f4d054841f1f2d9137af7bd2f),仍旧应用.NET法度榜样进行编写,仍旧应用了加密关键字符串的技巧,加密算法如下,经由过程解密后,可以看到关键的流程:

样本会先sleep一会,然后经由过程获取系统名称来跟下面的的几个名字进行判断,假如有下面的名字则退出法度榜样:

经由过程阐发发明窃密的数据有Chrom、firefox、Opera Software、YandexBrowser、IE、keychain.plist(ios)、seamonkey、Comodo、MapleStudio、Chromium、orch Browser、UCBrowser、Outlook、hunderbird、Opera Mail、FoxmailPreview、Pocomail、Eudora、postbox、FileZilla、WS_FTP、Martin Prikryl、CoreFTP、Paltalk、FlashFXP、SmartFTPClient2.0等等。

着末将偷取的数据经由过程SMTP协议发送到指定邮箱中:

此木马还有一些其他的功能,但在这次中并没有在设置设置设备摆设摆设文件中设置设置设备摆设摆设。

关闭UAC:

设置开机自启动:

机械重启:

关闭指定进程:

关闭一些如cmd、注册表等排核对象:

下载文件并履行:

屏幕截图:

3.建议

此类木马经由过程大年夜规模发放窃密软件,对客户主机中密码进行偷取,迫害极大年夜。建议提前支配具备高档要挟检测能力的平安产品进行及时监控、警备。

4.IOC

MD5:

5b9e9269784eb277fce3caa8bfbb8cd3

474886c09cb42e49ecc475cec46b4681

453b51215acfe98b238f3d9116c203c2

b938ce3f4d054841f1f2d9137af7bd2f

URL:

http://wjp-com.tk/flowqqqqqqq.exe

http://ptpjm.co.id/updd/hux.exe

*本文作者:兰云科技银河实验室,转载请注明来自FreeBuf.COM

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包