1
概述
近日,安天CERT監測到一個活躍的商業竊密木馬Ficker,最早出現於2020年10月。近期透過偽造Microsoft Store、Spotify、線上文件轉換器等網站進行傳播,在一個月內快速迭代十多個版本。
Ficker竊密木馬具備多種竊密功能,包括竊取系統資訊、竊取瀏覽器資訊、竊取應用程式憑證、螢幕截圖等功能,並且可以竊取多個加密貨幣錢包。該竊密木馬透過檢測計算機語言環境,如果為俄羅斯、烏茲別克、烏克蘭、亞美尼亞、哈薩克、亞塞拜然、白俄羅斯的語言環境,則不會執行惡意程式碼。2021年1月,該竊密木馬開始在俄語駭客論壇上公開售賣,傳播方式由於購買者的不同逐漸產生了變化,例如透過偽裝成主題為DocuSign的Word文件進行傳播。與此同時,多個攻擊組織實施過該木馬的分發。例如,Hancitor惡意軟體在感染獨立主機時,選擇使用Ficker竊密木馬竊取資料。
經驗證,安天智甲終端防禦系統(簡稱IEP)可實現對該竊密木馬的查殺與有效防護。
2
事件對應
的ATT&CK對映圖譜
該起攻擊行動樣本技術特點分佈圖:
圖 2‑1 技術特點對應ATT&CK的對映
具體ATT&CK技術行為描述表:
表2‑1 ATT&CK技術行為描述表
3
防護建議
針對該竊密木馬安天建議企業採取如下防護措施:
3.1 企業防護
(1)安裝終端防護:安裝反病毒軟體,建議安裝安天智甲終端防禦系統;
(2)部署入侵檢測系統(IDS):部署流量監控類軟體或裝置,便於對惡意程式碼的發現與追蹤溯源。安天探海威脅檢測系統(PTD)以網路流量為檢測分析物件,能精準檢測出已知海量惡意程式碼和網路攻擊活動,有效發現網路可疑行為、資產和各類未知威脅;
3.2 網站傳播防護
(1)儘量不開啟來歷不明的網頁連結;
(2)不隨意點選網站上的廣告資訊;
(3)在威脅情報分析系統中查詢URL是否具有威脅。
經驗證,安天智甲終端防禦系統(簡稱IEP)可實現對該竊密木馬的查殺與有效防護。
圖 3‑1 安天IEP對該竊密木馬的查殺截圖
4
攻擊流程
4.1 攻擊流程圖
攻擊者首先製作了一個推廣線上國際象棋應用程式的廣告。當用戶點選廣告時,會跳轉到攻擊者偽造的Mircosoft Store頁面。網頁會自動跳轉到一個AWS亞馬遜伺服器,並下載一個名為“xChess_v。709。zip”的zip檔案,壓縮包內是偽裝成“xChess3”國際象棋的Ficker竊密木馬。
圖4‑1 攻擊流程圖
4.2 攻擊流程詳述
攻擊者首先製作並投放了一個推廣線上國際象棋應用程式的廣告。當用戶點選廣告時,會跳轉到攻擊者事先偽造的Mircosoft Store頁面。
圖 4‑2 攻擊者偽造的Mircosoft Store頁面
攻擊者設定網頁延時2秒後,自動跳轉到一個AWS亞馬遜伺服器,並下載一個名為“xChess_v。709。zip”的zip檔案。
圖 4‑3 延時2秒後跳轉到指定伺服器
解壓後,得到一個偽裝成國際象棋應用程式的可執行檔案,誘導使用者執行。
圖 4‑4 偽裝成國際象棋的Ficker竊密木馬
5
樣本分析
5.1 樣本標籤
表 5‑1 Ficker竊密木馬樣本標籤
5.2 樣本詳細分析
該樣本運用Shellcode技術規避檢測,樣本中包含了大量對抗分析的技術,如程序鏤空、程式碼自解密等。樣本竊取系統資訊、瀏覽器資訊、應用程式憑證、螢幕截圖、加密錢包等,並將竊取的資訊回傳到攻擊者指定的C2伺服器。
5.2.1
解密Shellcode
樣本執行後,透過Shellcode技術規避檢測,將Shellcode寫入申請的記憶體空間並解碼執行。
圖 5‑1 解密Shellcode
Shellcode解碼完成後,樣本會執行自身,建立一個掛起的程序,解除安裝該程序佔用的記憶體,將解密完成的核心程式碼注入到新建立的程序裡,最後恢復掛起的程序。攻擊者使用這種程序鏤空的攻擊技術以規避殺軟檢測。
圖 5‑2 建立自身程序
5.2.2 竊
密回傳
注入的核心程式碼是一個PE檔案,執行後會建立一個名為“serhershesrhsfesrf”的互斥量。
圖5‑3 建立互斥量
檢測計算機的語言環境,如果為以下國家的語言環境,則不會執行惡意程式碼。
表5‑2 規避的國家/地區
訪問www。ipify[。]org/查詢外部IP地址,並將返回的資訊下載到C:\ProgramData\kaosdma。txt。
圖 5‑4 查詢外部IP地址並儲存到本地
獲取系統使用者名稱、系統版本、Windows序列號等資訊。
圖 5‑5 獲取Windows序列號
竊取Web瀏覽器中的儲存的使用者名稱稱、登陸憑證、Cookie等資訊。
圖 5‑6 竊取瀏覽器使用者資訊
竊取多個加密貨幣錢包,如下表所示:
表5‑3 竊取的加密錢包名稱
竊取Pidgin、Steam、Discord等應用程式客戶端和FTP客戶端中儲存的登陸憑證。
圖 5‑7 嘗試竊取Steam登陸憑證
對當前計算機上正在執行的活動應用程式進行截圖。
圖 5‑8 螢幕截圖
將竊取的資訊回傳到攻擊者指定的C2伺服器188。120。251。192。
圖 5‑9 回傳到指定伺服器
Ficker竊密木馬於2020年10月末發現,並衍生多個版本,該家族其他版本曾下載其他流行遠端控制木馬。該竊密木馬對使用者的資料安全造成了極大的威脅,一旦感染,使用者應及時清除,並且立即修改相關應用程式密碼,透過反病毒掃描檢查計算機中是否存在其他惡意軟體。
6
IoCs
