《2022年度窃密木马攻击态势报告-2023.03.pdf》由会员分享,可在线阅读,更多相关《2022年度窃密木马攻击态势报告-2023.03.pdf(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 2022 度窃密木马攻态势告-_O全系列告-目 录 CONTENTS 1 1 概述 3 2 2 全窃密木马攻态势 4 2.1 全攻 4 2.2 地域Va 6 2.3 家族统 6 3 3 窃密攻术特点 8 3.1 入侵传播 8 3.2 防御规避 12 3.3 数据窃 13 4 4 窃密攻发展趋势 16 4.1 家族O断涌,产品和服向升 16 4.2 窃密能更模块W和定vW 17 4.3 开发跨W,对抗程度 18 4.4 多因素身份认证攻渐剧 19 4.5 攻多维度=叠,威胁一n深 20 5 5 总结 21 6 6 录 1:x型窃密木马家族 22 6.1 RedLine 22 6.2 FormB
2、ook 26 6.3 AgentTesla 31 6.4 Raccoon 35 6.5 Lokibot 39 6.6 Vidar 41 全 3 1 1 概述 自全球入数_W转型阶段来,数_驱经o增长,机遇P风险并,数_W转型带来的数据心的威胁态势O断升2着网络犯罪v服CCaaS,Cypher crime as a Service模式的t起,网络攻逐渐走向商业W1产业W,直发展p如p熟的网络犯罪生态圈2在种模式Q,攻p本和术门槛降P,数据窃1数据泄密和数据破坏目的的攻面c续扩大,全球网络空间面临的数据的网络威胁O断泛W,时刻侵蚀网络全壁垒2 _O攻防实验c续跟踪数据窃密等网络攻活,基于对全网窃密
3、木马攻活的监测1 V析P处置,结合内外ps窃密木马的研究告综合研判1梳理汇总2022 度窃密木马攻态势告2本告围绕窃密木马全攻态势展开,V析绍x型窃密木马家族,总结窃密木马术特点,探索前窃密木马的发展趋势,在机构组1企业1个人对窃密木马的传播方式1能1目标t害性p更全面的了解,降P窃密木马带来的风险2 全 4 2 2 全窃密木马攻态势 2022 全球范围内,数据窃密类恶意软活跃度c续走高,窃密攻频频发生,网络数据资产全l面临着趋o峻的挑战2据 Group-IB 统,仅在 2022 P半就p超 30 个网络犯罪团a通过窃v服SaaS,Stealer as a Service模式V发窃密木马,共感
4、染超过 89 万机,窃超过 5000 万个户凭据2由m见,窃密木马作一个被P估=的网络威胁,尤v在大型企业等高值目标中,vt害程度和影响范围在某种程度P堪比勒索软2_O攻防实验窃密攻1窃密地域Va1流窃密木马等方面统V析,总结流窃密木马全攻态势如Q 2.1 全攻 2022 窃密木马攻O断发生,攻方式多种多,害者遍a全球各地,Q列举了一影响较o的窃密攻2 全 5 1 全窃密木马攻案例 2022 2 o初,在 Microsoft a Windows 11 将完p最升的第y,攻者就伪 Microsoft官网向用户V发伪的 Windows 11 升装程序,诱使用户Q载并执 RedLine 窃密木马2管
5、V发站点在较短时间内被s,但了 RedLine 的大范围传播,害者大数据遭窃2 2022 5 o,CPR 研究人员披露了一起对德汽车v商和经销商实施的窃密攻活2攻者向特定目标发多封钓鱼邮,诱饵汽车购买合和转收据,用户一打开就bQ载 Raccoon 和 AZORult 窃密木马,各种登录凭证v他要商业数据遭窃2 2022 9 o,魔=窃密木马伪装p CorelDraw1IDA Pro1WinHex 等多款实用w软在内大规模传播,每P线的害者机数超过 1.3 万2窃密木马b收集p览器书签和数据1邮箱户等要数据,并更改续攻载荷,如勒索1挖矿1窃密等类型的恶意载荷,害者带来更o的t害2 2022 9
6、o,科 Uber 遭了网络攻o的数据泄露2据 Group-IB 发a的告,起始于 Uber 在巴西和s度|西的少n员个人备感染了 Raccoon 和 Vidar 窃密木马,登录凭据被窃并泄漏到暗网2攻者在暗网P购买到凭据,对 Uber 员发起窃密攻,最p入侵并窃到了 Uber 内部数据2 全 6 2022 12 o,Python 储 PyPI 到一波的窃密木马投毒攻,窃v他开发人员的信息数据2攻者P传了百个恶意 Python 包,用户使用b释放 W4SP Stealer 窃密木马,恶意包Q载k数攻过万k2 2.2 地域Va _O攻防实验统窃密木马害者在全球范围的地域Va情况,如Q所示2 2 2
7、022 窃密木马害者地域Va 经V析,X美洲1欧洲和洲是窃密木马害者的灾区=,v他地区也到O程度的影响2v中,X美地区到的窃密木马攻最o,美害者数s比 33.47%s据全球首O,拿大s比 12.02%排在第2欧洲区域的害者要集中在法1俄罗1捷克1德和西班牙等地区,洲区域中和韩较o2 总体而言,全球范围内互联网和经o发达地区的害程度n遍较高,l是由于地区数据资产值更高,网络用户基数更大,窃密木马更p利2 2.3 家族统 2022 度全球范围内流的窃密木马超过 60 种,相比 2021 增了十余个型窃密木马家族2流窃密木马家族 TOP10 统如Q2 全 7 3 2022 窃密木马家族 TOP10
8、窃密木马的流度离O开v背的营团a大肆传,v中,商业窃密木马曝Z率更高2RedLine 作商业窃密木马的表,因v窃数据类型多1作便捷1售P而被广泛传播,在本超过 10 万,跃居 2022 度最活跃的窃密家族2 排第的 AgentTesla 家族是 2014 来一直活跃的老牌窃密家族,在经过多kx本迭,经w备较的数据窃能力,支c定vW1界面好等一系列特点使v比类商业窃密木马更胜一筹2擅长利用钓鱼邮传播的 FormBook 窃密木马在本度c续猖獗,据 CPR告,截k 10 o份,FormBook 感染全球 3%的机构2m外,Lokibot1Raccoon 等商业窃密木马也各w特点,本度活跃度只增O减
9、2 Raccoon3.21%Vidar3.58%AZORult3.69%Snake Keylogger4.42%Lokibot4.54%Qakbot4.65%Pony11.77%FormBook12.57%AgentTesla14.75%RedLine15.42%其他21.38%全 8 3 3 窃密攻术特点 全球数_W转型背oQ网络资产扩张,数据呈多性1V散性1复g性2窃密木马攻者了p入侵并能地获更多信息数据,在入侵传播方式1防御规避术1窃密数据类型P都做了多尝试2 在入侵传播方式P,攻者除了极利用传统的钓鱼邮1虚假破解/激活软1程码执漏洞外,b利用更高的手段,如供链攻方式投放恶意载荷2在防御
10、规避术P,窃密木马渐倾向于将多种术结合起来,层层嵌套最形p套娃式=载荷,O仅能够躲避防软的检测,一定程度P也b_家研究V析增难度2窃密数据类型P来看,窃密的内容发展无所O窃,n通用户使用最频繁的p览器数据然是数据窃的要目标,时,达到快,针对密数_的窃也愈发到攻者青睐=2 3.1 入侵传播 窃密木马的入侵方式多种多2统显示,排 TOP3 的入侵方式V别网络钓鱼1破解/激活软程码执漏洞2方式由于效果较好而被广泛使用2 4 2022 窃密木马入侵方式统 46.15%25.00%11.54%3.85%13.46%网络钓鱼破解/激活软件程代码执行漏洞供应链击其它 全 9 网络钓鱼 窃密木马使用最多的入侵
11、方式是发钓鱼邮或短信,攻者b精心构邮或短信内容引诱目标P钩,载荷能是恶意文档1包含执程序的缩包或者是用于Q载恶意载荷的链接,被攻者一打开文档或执相s程序,窃密木马就b被植入2 2K 是_多流游o的发商,旗Q包括:NBA 2K;1:无之地;1:WWE 2K;1:生W奇u;1:文明;系列等游o22022 9 o,黑冒充 2K 官方邮箱向游o玩家发票据的钓鱼邮,邮内容包含一个指向2K Launcher.zip=的网络链接,但实Q载的文是经过伪装的 RedLine 窃密木马,如Q2 5 P RedLine 相s的钓鱼邮源 Reddit 破解/激活软 通过虚假或捆绑破解/激活软来传播窃密木马的方式也倍攻
12、者l迎2攻者将窃密木马伪装p破解/激活w或者将v捆绑,全意识薄弱的害者在需求急W的情况Q很容易中招2 2022 9 o,CNCERT 监测到一批伪装p CorelDraw1IDA Pro1WinHex 等多款实用w传播的魔=窃密木马2木马被装b收集p览器录1书签数据1邮箱户等数据,并密回传攻者服器2 由于破解/激活软自身的特殊性,攻者通过装教程来诱用户s全软,m躲避检测2经跟踪发,境内感染机每P线数破万,影响o2 全 10 程码执漏洞 由于开发者的疏忽或架构本身的缺陷,攻者构建特定的程序或数据,使软硬非预期方式,o情况Q达到任意码执的效果,最v害者的机器2 着数_W程的,信息系统渐复gW,全漏
13、洞O避免2时,由于漏洞wpP交互性1c久性等特点,攻者始热衷于利用漏洞入侵传播2除了对影响广泛的老漏洞c续利用,的漏洞被披露,攻者也b第一时间对vV析研究并迅o器W2 表 1 窃密木马常用漏洞 CVE 漏洞 相s家族 CVE-2017-0199 Microsoft Office RTF文档程码执漏洞 AgentTesla CVE-2017-8570 Microsoft Office程码执漏洞 AgentTesla FormBook CVE-2017-8759 Microsoft.NET Framework程码执漏洞 java KeyLogger CVE-2017-11882 Microsoft
14、 Office内损坏漏洞 AgentTesla Raccoon CVE-2021-26411 Microsoft Internet Explorer内损坏漏洞 RedLine CVE-2021-40444 Microsoft MSHTML码执漏洞 FormBook CVE-2022-1096 Chrome V8 JavaScript引程码执漏洞 RedLine CVE-2022-30190 ms-msdt程命执漏洞 Qakbot XFiles CVE-2022-1096 是由匿全研究人员告的 Chrome V8 JavaScript 引中的高o性类型混淆漏洞,攻者利用漏洞执任意码,所p使用 C
15、hromium 的p览器如 Chrome1 Edge 都漏洞影响22022 5 o,RedLine 窃密木马利用 CVE-2022-1096 漏洞入侵,最窃了数百万用户的信息2 供链攻 供链攻又第O方攻,在供s系中,攻者要针对P游供服或软的供商发起攻,而影响到Q游用户2作一种型威胁,供链攻wp突破口多1破坏力1波面广1蔽性高等特点,p最难防御的攻手段之一2 全 11 2022 12 o,攻者将 W4SP Stealer 开源窃密程序打包p各种模块和w,P传到 Python 软储 PyPI P2Python 开发者装并载相的恶意,W4SP Stealer 窃密木马就b窃 PayPal1密_ MF
16、A 牌等数据2经统,在 PyPI 网站中,2022 攻者P传 100 个P恶意,累Q载破万2 6 PyPI 恶意Q载部V示例,源 BleepingComputer v他入侵方式 除了传统的入侵方式,一的方式也被攻者采用2例如,ZingoStealer 窃密木马攻者b在知视频网站 YouTube P传游o外d演示视频,并在视频简处添伪装p外d的木马载荷Q载链接,诱使用户Q载装2类似地,Google 搜索引供了按点付费=PPC,Pay Per Click服,Mars Stealer 利用服使v仿冒的 OpenOffice 网站在搜索结果中排第一,想要装 OpenOffice 的人很能据排入网站Q载
17、装程序,p窃密木马害者2 全 12 7 Mars Stealer 仿冒的 OpenOffice 网站s据 Google 搜索头条 3.2 防御规避 了高攻p率,窃密木马b采用各种防御规避手段,藏自身的疑特,躲避全软的检测2经统,2022 流窃密木马常用的防御规避手段s比如Q2 8 2022 流窃密木马防御规避手段s比 剱壳/混淆28.30%虚拟化/沙箱规避22.64%禁用/防护软件18.87%程注入18.87%隐写术3.77%rundll32/regsvr32执行3.77%DLL侧剱载1.89%二制填充1.89%全 13 壳/混淆是最常用规避手段 壳/混淆术通过对恶意程序密1 编码和混淆,在藏
18、恶意程序的静态特,O仅增人V析难度,也能够一定程度P规避全软的检测2 着面P通用的壳/混淆术越来越p熟,使用p本极P,攻者倾向于使用类术,并将v广泛用于各种恶意软中2据统,在 2022 流的窃密木马家族中,超过七p的家族使用了壳/混淆术,见,术然是最常用的防御规避手段之一2 多规避手段c续叠 W一的规避手段起到的防御作用是p限的,窃密木马b将多种手段结合达到更的防御效果2统显示,五p的窃密木马家族均使用 3 种P的规避手段2如老牌窃密家族 AgentTesla 封装了 4 层载荷,使用的规避手段包括壳/混淆1w写1程注入1虚拟机/沙箱规避等,执流程如Q所示2 9 AgentTesla 防御规避
19、术 3.3 数据窃 着窃密木马快发展,数据窃也在O断增2CTU 研究人员发,通过窃密木马窃的户凭证 在某个地Q场中售 220 万份,相比的 87 万,比增长超过 150%2时,在O断演W升中,窃密木马也生_多窃特定目标数据类型的木马种类,如_门针对 web p览器,收集p览器中的敏感用户数据1cookie 和网络数据等,或针对登录凭据,害者机器P扫P凭据相s的文2无论是哪种,窃密木马在获更多更充V的数据达到牟利的最目的2 考虑到敏感数据的值和影响范围,攻者在对窃数据目标的选择Pwp一定程度的倾向性,Q统了 2022 流窃密木马要窃的数据类型2 全 14 10 2022 流窃密木马窃的数据类型统
20、 结合全球范围内窃密攻来看,2022 窃密数据要呈QO个特点 网络p览器数据是窃密攻要目标 网络p览器作要的互联网入口始在海使用需求,v中含的数据值一直倍窃密木马攻者觊觎2时,伴着用户定vW需求的激增,p览器扩展程序势而起,一定程度P也长了窃密木马的传播2 网络p览器窃密内容包括窃p览器自填充1用户登录1cookie 金融户相s等数据2攻p本P看,窃密木马获p览器数据较于v他数据更容易,由于m类数据储在本地文中,窃密木马入侵实施本地搜索v轻获到2另外,p览器数据的值更大,尤vP金融1密_相s的门户网站,一窃密木马窃相s口,意味着攻者时攻破用户户或钱包地址,而p用户产的直接损失2 更快的密_钱包
21、更青睐=据 Chainalysis 统,2022 密_被 38 亿美元,高 2021 58%,创Q纪录2本度,全球范围内针对密_钱包的窃密激增,_咎于t窃密木马如 Luca Stealer1ViperSoftX 等的纷纷涌,也OO老牌窃密家族如 Vidar 在意外中失力又带着x本回_的 Raccoon v2 也入到一暴利业中2 网络浏览器相关17.05%本地数据、截屏15.50%客户端软件相关13.18%剱密货币钱包地址12.40%用户凭据10.85%系统息10.47%程访问相关7.75%电子邮件相关5.43%键盘记录4.65%剪切板2.71%全 15 对密_钱包的窃密攻的特点在于,攻者b据密
22、_钱包的冷储=将_离线储,通常储在物理备P和热储=将数_储在用程序或在线中V别v定窃策略2更p甚者将目Z瞄准开源的中心W金融DeFi,Decentralized Finance,v中全题,利用区块链交易的O逆性,直接cP密_转ps的 API,将资金定向到混_服=中,额数_资产瞬间无追踪2 攻手法P看,窃密_P窃n通数据相比并无,但在值P,密_因v交易便利1O管v1匿W等特点,使攻者能够直接获得额利益的_属h,是本度窃密攻的首选目标2 多数据窃密p旋律 按照P对网络p览器1本地数据1户端软等十种流的被窃数据类型,q们统了 2022 流的窃密木马家族窃数据类型种数s比,如Q所示2 11 2022
23、流窃密木马窃数据种数 统发,每个流的窃密木马少窃 2 种P的数据类型,窃 4-6 种数据类型的窃密木马最多,s总的 64.81%,窃多种数据类型p前窃密攻的旋律2例如,窃密木马 HawkEye KeyloggerO仅_门窃键键录,b收集 Chrome p览器数据1桌面截等数据2值得一的是,v针对特定数据类型的窃能力更,在获目标数据P做的力更多,HawkEye Keylogger 在感染前害机,b将键键录模块通过 USB 传播感染到v它系统机,扩大攻范围2类似窃密家族包括窃邮凭据的 StrelaStealer2 实P,由于入侵攻p本较大,W一窃某种特定类型的数据对于攻者来说无疑是一种P效率的2就
24、害者而言,更多种类的数据被窃意味着v面临的风险和威胁更大2 20.37%64.81%12.96%1.85%23种46种69种9种以上 全 16 4 4 窃密攻发展趋势 4.1 家族O断涌,产品和服向升 世界范围内地缘因素影响利益驱使,窃密木马营商_多型窃密木马更精的窃密服来满足更高的窃密需求2 经研究,t窃密木马能在庞大的地Q窃密场s据一之地,Pv使用非传统的编程语言如 Go1 Rust1DLang p很大的s系2攻者角度,他们急于立品牌1涨气,语言x本的恶意w世O仅例扩充o器,更是大大升团a知度=防御者角度,攻克语言x本的恶意软所花费的人力1时间开销比n通周期更大2 种攻对抗过程中产生的时间
25、差是类恶意软在一段时间内流度飙升的要因2例如,_注于密_钱包的t窃密家族 Luca Stealer l是基于 Rust 语言开发,攻者声只用了个小时就完p开发,在 VirusTotal 的检测率仅 22%2,在 11 o,全人员披露了一种基于 Go 语言的窃密家族 Aurora Stealer,而恶意软在 7 o份就经世,在很长一段时间内都未被发2 一流的商业窃密木马,了凸显自比类竞品更wp势,在地Q论坛高调传自的产品P服,如 RedLine,在升针对O户群体V别精简x和_业xn种服,v中,_业x支c对超 100种密_钱包的窃2m外,RedLine 供英文和俄文n种语言的装使用手,一做法使 R
26、edLine面向了更广泛的户群体2 12 RedLine 装手 全 17 4.2 窃密能更模块W和定vW 着全防御壁垒逐层固,恶意软高度模块W是必然趋势,无论在避免被一锅端=是在能扩展P,模块V离式攻p前流恶意软惯用牌方式,窃密木马也O例外2研究发,针对特定数据的高度模块W窃密木马O仅bV阶段发起O的攻,bV析目标境和防御施来调整窃密策略2例如,老牌窃密家族 TrickBot 被披露在一k攻活中投放九个能O的模块,p负自q复v和横向传播的,p负搜集p览器中p值的 cookie 信息的,p负窃用户凭据的等等,模块被用到攻的O阶段中,窃害者敏感数据最目的2 13 TrickBot 各能模块 另外,
27、窃密木马攻wp较的目标针对性,尤v是高值的大型目标27 o份,一种基于 php 语言的窃密家族 Ducktail 瞄准 Facebook 人员和管理员的商业户,一方面,窃个人户和相s数据另一方面,利用 Facebook 商业户在P投放广告,最由 Facebook 支付2据统,投放的广告费用高达 600,000 美元,o损害企业的数据私和产全2类似攻如 YTStealer 窃密家族,_门窃全球最大的视频网站 YouTube 用户并在地Q场售,粉丝越多,发a视频越多的售越高2 O难发,着窃密木马演W,窃密能更模块W1定vW,目标针对性也更明显,如针对特定业使用定vw1精心构钓鱼邮针对特殊目标等2在
28、未来,窃密木马始将是c续性牟利目的,高值1快目标的更t险的网络威胁生品2 全 18 4.3 开发跨W,对抗程度 扩大攻范围,t窃密木马逐渐转向使用跨的编程语言如 Go1Rust 等开发,便配到多种O的作系统如 Windows1Linux 和 macOS 中2一方面,跨的编程语言因v高开发效率和移植性特点而到恶意软开发人员的广泛崇,另一方面,编程语言编写的恶意软在一定程度P躲避全w的检测,并研究人员增逆向V析的难度,无形中攻者实施Q一n攻留足了时间2 本度,使用跨编程语言的窃密木马频频,2022 4 o,Aurora 首k在地Q论坛发a,使用 Go语言开发,背的营团a Aurora wp最Y的数
29、据窃能力并带程能2时,由于Aurora 的防御规避能力较,能够躲避大部V全检测软,因m在短时间内到大用户的追捧2 6 o,基于 Go 语言的型窃密木马 LOLI Stealer 首k亮相=,_门窃用户密码1cookie1屏幕截等敏感数据2更p甚者,7 o,一个由 Rust 编写的型窃密木马 Luca Stealer 的源码被v开发者发a到开源 GitHub P,着窃密木马源码被泄露,无疑b引起v他攻者的s注并对m利用,O难预见,续将bp更多的1更复g的跨窃密木马2 14 开源和免费x的 Luca Stealer 传页面 全 19 4.4 多因素身份认证攻渐剧 来,由弱口暴破1钓鱼邮1撞攻等引发
30、的入侵威胁趋o,各组机构1大型企业筑牢全屏障,传统的W一密码认证转向多因素身份认证MFA,Multi-Factor Authenticationa局,将多种认证方式如静态口1态口1生物特等组合p一套完整的防御机v2 通过对h限增多保,能够p效避免W一认证的薄弱O足,但也需要个人通过层层较繁琐的认证n骤2种情况Q,攻者开始针对 MFA 认证发起针对用户的疲劳性攻2登录系统举例,在启用MFA 机v的情况Q,登录时需要用户输入静态密码收到由系统Q发的登录求确认消息才允许用户l常2攻者通过v它方式突破第一认证,v频繁发起登录确认求消息流,然通过电子邮1消息或伪装p IT 相s人员说服用户确认 MFA
31、求,或利用用户对大求消息产生疲劳感而放警惕点确认,p入侵目标,种攻方式被 MFA 疲劳攻2 15 MFA 身份认证确认案例源 Secret Double Octopus 9 o份,网车头 Uber 大数据遭窃密泄露,起因是攻者利用 MFA 疲劳攻,向一 Uber 员发了一个多小时的求确认消息,并伪装p IT 术人员说服员点确认求消息,在p获VPN 户凭证Q发 Raccoon 窃密木马窃内网数据2无独p偶,Microsoft 也遭了类似手法的攻,37GB 源码被泄露2 另外,窃密木马针对 MFA 的绕过攻也l浮水面,t窃密家族 Rhadamanthys 和 Erbium 中b窃_门针对 MFA
32、的b话牌,在志中获p效牌,窃密攻者在牌p效期内绕过 MFA 机v,意登录系统2 全 20 4.5 攻多维度=叠,威胁一n深 窃密木马在c续性的演升中,除了窃数据能,b捆绑夹带w备v它恶意能的程序,甚b攻者留Q门,用于发起一n攻2在 2020,就p全研究人员发 AZORult 窃密木马被用于Q载 Hermes 勒索病毒,充勒索病毒的Q载器,攻者则利用勒索病毒密害者机数据文实施勒索攻2种窃密到勒索的叠攻,是集窃密间接获利P勒索直接获利一体的威胁表,害者带来的也是p倍的打2m外,2022 3 o,一个Haskers Gang=的恶意团a大肆传播型窃密木马 ZingoStealer,木马O仅数据窃能大
33、,在x本中 XMRig 密_的挖矿能2 总体而言,种将窃密1 挖矿1 勒索等威胁交在一起的叠攻越来越多,威胁程度O断深,害者带来的损失也更o2 全 21 5 5 总结 着全球范围内数_W转型程,网络数据资产渐扩张,暴露的攻面也更多,而了恶意软更多的趁之机2窃密木马作恶意软的一个V支,v极高的蔽性1p熟的商业W模式大的数据值等特点,O断求更复g的术手段1更w针对性的定v攻,扩大攻势力范围,发展t害网络数据资产的要威胁之一2 面对益o峻的网络空间全威胁,网络攻产业W1生态W的趋势,各组机构1企业乃个体,需了解自身网络全脆弱点,充V把握前网络威胁格局,_注构建全防御体系,在网络空间各方威胁势力并起的
34、大潮中防患于未然2 全 22 6 6 录 1:x型窃密木马家族 6.1 RedLine 家族简 作 2022 最知1最活跃的窃密木马之一,RedLine 最于 2020 2 o,并在n内迅超越类竞品p地Q场最l迎的商业窃密木马2RedLine 窃密木马属于x型的 SaaS 模式,负木马开发的人员时刻在最前沿s注最的网络W和目标向,增完善窃密木马能,扩充o器,负销售营的人员相对P廉的格开兜售精简x和_业xn种x本,并在多个论坛1 群组等渠道大肆传,吸引更多的场用户2Q展示了 RedLine 首k在黑论坛亮相时发a的营销内容,绍了木马的窃密能和服范围2 16 RedLine 窃密木马能绍页面 Re
35、dLine 之所在全球范围内广泛传播,要_因于背的营团a擅长通过多渠道,利用热点大肆V发恶意载荷2 2022 2 o,Microsoft 告 Windows 11 v将完p最升,隔y,一个伪装p Windows 全 23 11 系统x本Q载站点的恶意域windows-=v被注,诱骗用户在Q载 Windows11 系统装程序的时带了一个Windows11InstallationAssistant.zip=的 1.5MB 缩包,经V析缩包中缩率高达 99.8%,解的文v RedLine 窃密木马的恶意载荷210 o份,一个模仿在线文格式转换w Convertio 的高钓鱼网站被披露用来传播 Red
36、Line,用户选择文类型并W页面P的转换=按钮,钓鱼站点b将用户定向到Q载页面Q载带 RedLine 恶意载荷的 zip 缩文2如m类散播V发频频,使 RedLine 在短时间内O断传播并发起窃密攻2 家族画像 Redline 首k时间 2020-02 传播方式 钓鱼邮1钓鱼网站1伪装p装包等 针对 Windows 编写语言 C#(.NET)窃信息类型 系统信息 桌面截 p览器信息例如密码1自填充等 密_钱包地址 FTP1IM等程户端数据 Telegram1Discord1Steam和VPN等用程序数据 回传方式 http s键V析 1.数据窃密 RedLine 窃密数据范围十V广泛,恶意P来
37、看,所p窃对象都被封装在 ResultFactory 的函数中2 全 24 2.p览器数据 RedLine 首Y获装的p览器信息,每个p览器中收集数据2 Chrome 例,RedLine b扫用户登录密码1cookie 录1自填充数据p览器数据2 3.密_钱包 Pv他流窃密木马家族一,RedLine b窃密_钱包,通过搜索密_钱包的扩展来获钱包地址,如 Armory 离线钱包1Atomic Va式钱包等2 全 25 4.VPN RedLine bs注 NordVPN1OpenVPN 和 ProtonVPN 程序,对于 NordVPN,RedLine 搜索目录中的 user.config 的 x
38、ml 文,查包含/setting/value=的用户凭据2 对于 OpenVPN 和 ProtonVPN,RedLineV别对目录中搜索 config 和 ovpn 文获凭据信息2 全 26 6.2 FormBook 家族简 FormBook 窃密木马最于 2016 2 o,由一个 ng-Coder 的用户在地Q场传兜售,FormBook 最初x本只是一个简W的表W抓w,阅格每仅需 120 美元2 17 FormBook 首k开绍 FormBook 的者 ng-Coder 供许多壳w如 Net-Protector 来密心码,避免被病毒引查杀2ng-Coder 如果产品在购买的 30 y内被任何
39、防病毒引检测到,他bk供免费服2时隔一,FormBook 因v格P廉p网络犯罪V子的热门选择,并开始发起一系列窃密攻22017 10o 6,ng-Coder 突然a停k对外售 FormBook,因是 FormBook 被用在钓鱼邮中的经作者本意2 全 27 18 ng-Coder a FormBook 停k对外销售 v使作者s了 FormBook 销售渠道,但 FormBook 经在全球范围内流蔓延起来22017,攻者们使用 FormBook 来瞄准目标值更大的实体业如防1航空航y和v业2FormBook 发展,一直保c着较高的流度,目前经p最wp表性的流窃密木马之一2Pv他窃密软相比,For
40、mBook 的界面作简W1防御规避能力更,对术掌握较少1经验O足的手较好,因m备l迎2 FormBook 要针对 Windows 用户发起攻,通常利用广撒网式的钓鱼邮传播,在邮中带wpFormBook 恶意载荷的,的格式多 Office 文档如 RTF1DOC 或 XLS 等,配P述性说明,使电子邮看起来像是由某信赖的机构组发的,如航机构1银机构等,而诱骗害者保恶意并执2m外,FormBook 窃数据能力更,除了常规意义P窃储数据和用户输入数据之外,FormBook 能够搜索特定文内容清除p览器 cookie 等2 家族画像 FormBook 首k时间 2016-02 传播方式 钓鱼邮 针对
41、Windows 编写语言 C1C#窃信息类型 系统信息1文信息 键录 剪W数据 屏幕截 p览器数据如自填充1录1信用t数据等 回传方式 http 全 28 s键V析 最初的 FormBook 恶意软的要特点防御规避,窃模块的心是抓文表W,如Q所示2 1.FormBook 载过程 FormBook 的防御规避手法复g多,在执恶意载荷之前,v载过程要V四个模块 模块 A载器,负载并解码模块 B 模块 B载器,负获模块 A 的码资源,并解密模块 C 模块 C载器,负解密和执最的 payload 模块 DFormBook p效载荷,它将自身注入l常程中 全 29 19 FormBook 载流程示意 在
42、O断改和升中,前流的 FormBook 经w备窃密木马的n性特点,P类竞品相比,在窃害者的数据P,p过之而无O2 2.注表数据 脱壳的 FormBook p效载荷例,窃数据的都集p在 OnStealer 函数中,包括注表内容1程信息1网络接信息1USB 驱信息等,v中,窃注表中装的软信息,写到Installed Program.txt=文中2 3.USB 驱 Pv他窃密木马O的是,FormBook 收集 USB 驱器等外围备列表数据,输到USB Devices.txt=2 全 30 4.网络接 m外,FormBook b收集害者机器P的网络接数据输到 Local Network Conneti
43、ons.txt=2 全 31 6.3 AgentTesla 家族简 AgentTesla 最于 2014,期pl式的官网,使用土耳v语言,是一款免费软,在录个人1家庭p员1企业员使用电脑的,包含了键录和获剪贴内容的能22016 初付费x本,网站增英文x本22017 完全转付费软,费用在 12 到 35 美元O等22019 官网O,转在黑论坛售,逐渐发展黑l迎的能完备的窃密木马2 20 AgentTesla 构建端 AgentTesla 构建端的定v性极,回传信息方式1窃信息类型1装方式1伪装程序标1虚假窗消息等能均做W定v2除了通用的键录能,针对 Facebook1Twitter 等用特殊处理
44、,获更好的录信息2在窃凭据方面,AgentTesla 覆了流p览器1邮箱1FTP 户端1v时通w1WiFi 信息等2 在装配置方面,用户选择是否置自启1 绕过 UAC1 屏蔽全软1杀死禁用任管理器等程序2 家族画像 AgentTesla 首k时间 2014-12 传播方式 钓鱼邮 全 32 针对 Windows 编写语言.NET 窃信息类型 键录 屏幕截 剪贴录 摄像头捕获 WiFi信息 邮箱信息 文传输w信息 v时通软信息 p览器保的用户密码 回传方式 php(网站面)1SMTP(邮)1FTP s键V析 1.防御规避 AgentTesla b对始执程序做多层包装,扰全研究人员V析,比如将v程
45、序转w,使用时解密执2 解密的程序然po的码混淆,p效码被V散在大的无效算逻辑之间,影响全人员V析,所p_符串都被密,使用时临时解密2 全 33 2.键录 AgentTesla 在装钩子,就监用户按键,除了监常规的_符按键,木马b监一组合按键,并据按键组合状态相的响处理,如监s窗口组合键1W换窗口组合键等2 3.剪贴录 经过混淆处理查看本中被密的_符串2 木马一监到剪贴相s活,就b获剪贴数据,并换转义_符,在数据首部和部拼接特定_符clipboard=,html 格式保数据内容2 全 34 4.网络p览器相s 网络p览器保了大的敏感数据,几N所p窃密木马都b点s注p览器相s数据,AgentTe
46、sla 也O例外2木马b遍害者机器P各个p览器路径,获 cookie1p览器保的用户密码等信息2 5.数据回传 木马收集到p览器相s1邮箱1FTP w1v时通w等数据,通过O方式回传数据 直接P传到 Web 服器 发到指定邮箱 通过 FTP 回传 木马b置 SMTP 参数,将发收集的数据到指定邮箱,如Q2 全 35 6.4 Raccoon 家族简 Raccoon 窃密木马于 2019 4 o开始在地Q论坛传并售X,传时使用了,别p Mohazo1Racealer2攻者要通过p览器漏洞1钓鱼邮1虚假破解软初始入侵,入侵b使用 Raccoon收集各种p览器 cookie1自填充1密_钱包密码等大数
47、据2Raccoon 将数据发到v端,也b据配置内容Q载执v它程序2 21 Raccoon 传页面 2022 3 o,一在地Q论坛活跃的 Raccoon 营人员声团队的一心开发人员意外死亡,但由于类竞品竞争激烈,6 o份 Raccoon 就了 v2 x本,别 RecordBreaker,x本相比x能没pz多W,部V节p所调整2Raccoon 了使初始载荷能小,所px本都采用了时 C2 获依赖Q载地址的方法,方法使得初始载荷的传输得更容易2 家族画像 AgentTesla 首k时间 2019-04 传播方式 p览器漏洞1钓鱼邮1虚假破解软 针对 Windows 编写语言 C+窃信息类型 本地文 p
48、览器保的密码1cookie等 全 36 邮箱凭据相s 密_钱包地址 回传方式 http s键V析 1.防御规避 本自身无V析调试1沙箱机v,营人员建使用第O方w GreenCrypt 来检查病毒产品1防k检测和V析,经过处理的本b多k调用没p实意义的 API 扰V析2 _符串和 C2 经过 RC41异或密,避免检测和过暴露,期本b通过谷歌网获真l C2,期C2 被密硬编码在本中2 全 37 缩减初始载荷的体,木马在向 C2 发求,获配置信息,v中包含依赖 DLL 的Q载链接和需要窃的数据类型,木马b据信息续作,v1 x本的配置信息 json 格式,v2 x本则将信息简W整理在一起2 2.区域检
49、查 在窃密前,Raccoon 的 2 个x本都b检测区域信息2在 v1 x本中,若区域在 Russian,Ukrainian,Belarusian,Kazakh,Kyrgyz,Armenian,Tajik,Uzbek 中则,而 v2 x本仅判断了区域信息是否包含ru=,实并O影响2 全 38 3.收集密_钱包 除了对常规的大p览器1邮箱相s数据的收集,Raccoon b特别搜索密_钱包相s的文,攻者利用m类数据更容易产生直接收益2 4.数据回传 Raccoon 的 2 个x本将窃数据外发的逻辑略pO2v1 x本b将所p信息打包 zip 缩包一k性发,而 v2 x本在收集完一类数据,就bv时将数
50、据外发,Ob保到文2 全 39 6.5 Lokibot 家族简 Lokibot 也 Loki1LokiPWS 和 Loki-bot,是一款被广泛使用的商业窃密木马,由 C/C+语言编写2Lokibot 于 2015 首k在地Q论坛P,是由一个lokistov=又Carter=的用户传售,起初售 400 美金22018,由于源码遭到泄露,网P逐渐很多体x本,均售在 80 美金2 格大跌也了 Lokibot 窃密木马的流P升,依然是最流的窃密木马之一2 Lokibot 要通过钓鱼邮1伪装pv他实用软的方式传播,恶意载荷多 zip 文1iso 文包含恶意宏的Office 文档形式2 发展,Lokib