【黑产分析】【转载】异次元窃贼:使用AutoIt脚本进行键盘记录窃取的“新奇玩法”

近日,哈勃分析系统捕获到一类木马,与通常的木马不同的是,新发现的这类木马在payload中大量使用了混淆的AutoIt脚本来实现各种恶意功能,包括混淆、虚拟机检测、傀儡进程内存替换、键盘记录等行为,同时实现了包括Win2000在内的多种操作系统,以及32位和64位在内的高度兼容。

以下是对此木马各阶段的详细分析。

阶段一:Downloader

木马的Downloader的形式最近已经屡见不鲜,依然是发送带宏的文档,引诱受害者启用宏。

图片1.png

使用混淆过的宏脚本,从固定的网址上下载exe并运行。

图片2.png

宏的内容本文中不详述。此外,通过域名信息进行搜索可以得知,此恶意域名伪装的是美国支付汇款网站Ria Money Transfer,并且曾经假冒该网站的名义发送过钓鱼邮件。注册此域名用的电子邮件和电话号码都是无效状态。

下载下来的exe会被命名为puttyx86.exe,同时使用iTunes软件相关的文件信息伪装自己。实际上,该exe文件是一个RAR自解压包。

图片3.png

阶段二:Extractor

查看上一阶段下载的RAR包,可以发现,其自解压部分代码进行了混淆,实际功能是利用解压出来的jps.exe去执行aul-fns。

图片4.png

其中jps.exe是一个AutoIt脚本解释器,并且带AutoIt签名,不会被安全软件报毒。而aul-fns是混淆过的autoit脚本。

图片5.png

可是,当使用jps.exe执行这个aul-nfs以后,系统直接蓝屏了。这又是怎么回事呢?

于是,尝试对压缩包中的AutoIt脚本进行解密和分析。接下来的AutoIt脚本都是经过解密后的结果。经分析,脚本运行的步骤如下:

首先,读取压缩包中的另一个文件ovq.ppt,该文件为一个经过混淆的配置文件,用于配置脚本的各种功能。

图片6.png

图片7.png

接下来,脚本检查当前路径是否在temp目录下,并且检查当前没有qsq目录窗口。因为之前的puttyx86.exe会自解压到qsq目录,木马作者以此逻辑防止分析人员自己去找到这个目录。如果不满足条件,脚本则会结束系统的所有进程,并且强制重启系统。

图片8.png

图片9.png

然后,脚本设置当前目录中的所有文件隐藏和只读,然后通过压缩包的另一个文件ovq.ppt的数据,解密出另一个AutoIt脚本,然后写到随机文件名的au3文件中去,最后拉起这个新的脚本。

图片10.png

阶段三:Keylogger

新的恶意脚本运行后,会将系统目录中\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe复制到\temp\RegSvcs.exe,然后读取原自解压包的另一个文件eck,并且将读取的数据附加到新复制的RegSvcs.exe文件的末尾,为傀儡进程做准备。

图片11.png

有了修改后的RegSvcs.exe文件之后,脚本会创建并挂起新进程,创建以后Unmap原有的内存并用自己的替换,以此完成傀儡进程替换。替换时,脚本使用了DllStructCreate,DllStructGetData、DllStructSetData、DllStructGetPtr等AutoIt自己提供的接口,脚本编写起来并不复杂。

图片12.png

内存替换之后,RegSvcs变成了一个脚本解释器,重新执行au3脚本。新的au3脚本逻辑稍有不同,会使用CallWindowProcW来执行一段shellcode。

图片13.png

这段shellcode的作用是记录键盘与窗口内容,然后发送到服务器。经搜索,此keylogger与知名的商业木马Limitless Keylogger比较类似,该木马目前作者已停止支持。追踪其上传时所用的C&C;服务器域名,只能发现使用的是一个动态域名服务,未能继续深入下去。

图片14.png

在拉起keylogger之前,根据配置文件的内容,木马还会先执行一些准备工作。据监测,从恶意网址下载到的木马变种较为频繁,基本上是几个小时就会变化一次。这样频繁的变种,除了改变文件特征躲避安全软件检测之外,还会使用不同的配置文件以启用不同的功能。

例如,一些变种会检测虚拟机进程、判断是否存在D盘、检测Cuckoo Sandbox等,如果不满足则直接退出。

图片15.png

另外一些变种会执行一些常见的恶意操作,比如禁用UAC、禁用任务管理器、添加自启动项等。

图片16.png

图片17.png

脚本还有很多其他功能,比如可以下载执行配置文件中的URL,但目前没有发现变种在配置文件中开启过相关选项。

在分析过程中还发现,脚本支持系统非常全,包括32位、64位系统,甚至兼容Win2000。

图片18.png

图片19.png

总结

此木马在运行过程中,大量使用了经过混淆的AutoIt脚本,配合RAR自解压脚本和宏,以达到躲避安全软件检测的目的。AutoIt脚本比较完整,支持包括Win2000在内的各类操作系统。木马最终会通过傀儡进程的方式,拉起一个比较成熟的keylogger,对受害者的键盘输入进行记录和回传。

*本文作者:腾讯电脑管家(企业账号),转载请注明来自FreeBuf.COM


技术交流QQ群: 397745473
来自:https://xianzhi.aliyun.com/forum/read/326.html?fpage=2

评论

发表评论

此博客中的热门博文

【黑产分析】互联网业务安全的黑灰产业链的故事

图片
本文系转载,作者:独孤qiu败;原文地址:http://bobao.360.cn/learning/detail/3214.html 之前写过一篇关于支付风控体系设计的文章,但是对于互联网电商而言,支付环节的风险仅仅是一环,对于很多没有能力构建风控系统的中小创企业而言,他们觉得自己不在乎多花点手续费选择网银、第三方支付方式来规避支付环节的风险,但是中小创企业就能天真的以为他们的业务安全了么,恩,真的是too young too 天真(抱歉,从小用汉字标注英文发音的我表示这个单词不会写~)。 在互联网行业做风控,首先需要学会的是,你要知道你的对手是谁、他们是怎么做的、他们想做什么、他们在哪做、他们什么时候做(who,how,what,where,when),这样才能不断提高现有的业务风控水平,在不断变化的业务环境中get到新业务可能存在的风险点并做好对预知风险的防范措施。 所谓道魔互博,只有对对手足够了解,才能不断提高风险防范水平,在用户感知不到的节点为所有业务部门提供业务的支撑保护。 不以盈利为目的的黑产都不是好黑产,如下图: 当然,我这里指的仅仅是电商/信贷行业的业务风险,对于互联网这个圈子而言,会被黑产盯上的行业太多,比如游戏私服、网络彩票、色情赌博等,但凡有利益的行业都会有人去干;而企业面临的黑产风险类型也很多,主要分为技术风险与业务风险,大体上可以如下分类,为了配合本文行文方便,对我所已知的风险做了如下分类: 表1:互联网行业面临的风险分类 当然这里对风险的分类其实并不准确,但是结合我之前的工作,本文想阐述的仅仅是表格中的阴影部分,这些风险点对于企业而言就犹如溃坝的蚁穴一般,单个风险点损失不是很大,几千几万的损失而已,但是不加控制就会全节点开花。因此对于一家略微成熟的互联网企业,所面临的风险一定是多层次全方位的,单单只对一个节点的控制是远远不能满足业务发展的需要的。 另外,很想跟大家说的一点是,很多业务风险的黑色产业从业者基本没有太高的技术水平,他们是整个环节的下游部分,基于网络上形形色色的数据信息来钻公司流程规则的漏洞。 这些对于业务风险点的风控体系设计后续可能会单独另开一篇文章,但是作为一名立志要干好风控的同学来说,知己知彼,知道这些业务风险的黑色产业链对于做好风险点的业务防控至关重要,这么好学的宝宝...
阅读全文

【黑产分析】Aveo恶意软件分析

图片
Palo Alto Networks 发现了一个名为 Aveo 的恶意软件家族,它针对日语用户开发。Aveo 的名字来自于其二进制文件中的嵌入式调试字符串。Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都 针对日语用户 。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。诱饵文档与埼玉工業大学 Ido 实验室的研究有关。执行后,Aveo 可以接收多种命令,这将允许攻击者完全控制感染主机。 部署 Aevo 的样本会伪装成 Microsoft Excel 文档,如下图所示。值得注意的是,malware.exe 只是一个占位符,原文件名未知。 该可执行文件其实是一个 WinRAR 的自解压可执行文件,它会在执行时抛出诱饵文档和 Aveo 木马来运行。下图就是抛出的诱饵文档,在运行之后打开: 这个诱饵文档是关于 Ido 实验室 2016 年研究立项的信息。该文件列出了 16 名参加 CAVE 的名单,包括名字、单位以及邮件地址。这个文档用日语书写,文件名也是日文 CAVE研究会参加者.xls ,这些都表明该恶意软件是针对日语用户的。此外,Aveo 和 FormerFirstRAT 家族的相似性将会在稍后讨论,这个讨论将进一步支持该恶意软件是针对日语用户的。 基础设施 Aveo 木马配置了以下域名来进行 HTTP 通信: snoozetime [.] info [email protected] 最早在 2015 年 5 月就注册了,自那时起,该邮箱已经和以下三个 IP 地址关联上了: 104 .202 .173 [.] 82 107 .180 .36 [.] 179 50 .63 .202 [.] 38 所有这些 IP 地址都位于美国境内。 从 snoozetime[.]info 的 WHOIS 信息来看,注册邮箱为jack.ondo@mail[.]com,注册名为aygt5ruhrj aygt5ruhrj gerhjrt。根据这两条线索进行拓展: bluepaint [.] info coinpack [.] info 7 b7p [.] info donkeyhaws [.] info europcubit [.] com jhmiyh .ny @ ...
阅读全文

【黑产分析】《中国互联网地下产业链分析白皮书》

图片
《中国互联网地下产业链分析白皮书》 灰色黑色产业链商业模式及互联网黑市深度数据分析洞察 ,全面解析互联网面临的地下黑产的深度分析; 下载地址: 复制代码 https://pan.baidu.com/s/1o7T7R0e 提取密码: a4qh 复制代码 目录: 关产业链部分整体分析 . .............................................................. 18 A. 流量获取分发产业链整体情况. ............................................................................................ 19 B. 细分产业链之间生态关系分析. ............................................................................................ 22 C. 流量获取分发的黑市深度数据. ............................................................................................ 23 1. 搜索引擎流量与分发产业链分析. ......................................................................... 23 A. 相关地下产业链整体深度分析. ............................................................................................ 27 B. 黑帽 SEO 地下产业链深度分析 . ......................................................................................... 28 C. 黑链交易地下产业链深度分析. ............................................................................................ 29 D. SEM ...
阅读全文