4399页游网站,网站与网页 主页的概念及它们的区别,企业网站价格花,wordpress 个人中心前言
笔者在某国外开源样本沙箱平台闲逛的时候#xff0c;发现了一个有趣的样本#xff0c;该样本伪装成安全研究人员经常使用的某个渗透测试工具的破解版压缩包#xff0c;对安全研究人员进行窃密与勒索双重攻击#xff0c;这种双重攻击的方式也是勒索病毒黑客组织常用的…前言
笔者在某国外开源样本沙箱平台闲逛的时候发现了一个有趣的样本该样本伪装成安全研究人员经常使用的某个渗透测试工具的破解版压缩包对安全研究人员进行窃密与勒索双重攻击这种双重攻击的方式也是勒索病毒黑客组织常用的勒索攻击模式之一。 Lazarus APT组织就曾发起过多次针对安全研究人员的定向攻击活动通过捆绑IDA、dnSpy等安全研究人员常用的工具安装木马后门窃取安全研究人员电脑上的重要数据所以安全研究人员平时在各种各样的网站、论坛、或者公私有的聊天群里下载陌生人分享的各种安全工具、学习资料、源代码工程等都需要提高安全意识多留一个心眼有可能下载的这些东西就被捆绑了病毒木马一不小心就会被窃密勒索大家的研究成果可能就会受到损失如果有发现什么可疑的样本可以打包发给笔者。 分析
1.攻击者利用伪装成SQL注入工具破解版压缩包文件进行传播样本解压之后如下所示 2.CRACKER EXECUTE FIRST.exe程序其实是StormKitty窃密程序如下所示 StormKitty窃密程序是一款使用C#语言编写的窃密程序可以获取操作系统剪切版相关数据进行键盘记录窃密系统中的各种敏感数据信息等该恶意软件具有反虚拟机、反沙箱、反分析、反调试等功能如下所示 窃密程序会判断Telegram通信Token信息如果获取到Token有效则安装窃密程序到系统如果获取Token失败则进行自删除操作如下所示 自删除操作如下所示 请求的URL链接
https://api.telegram.org/bot5164472041:AAHwEusPzWifxsmadoFOsQ-P1iPCki9rGus/getMe返回值如下所示 返回成功之后安装窃密木马安装成功之后进行各种数据窃取操作如下所示 窃取的数据包含系统版本、进程、CPU、GPU、RAM等系统信息、COOKIE数据、历史记录信息、Chromium、Firefox、IE、Edge等浏览器密码数据信息、ProtonVPN、OpenVPN、NordVPN等VPN客户端数据、加密货币虚拟钱包数据、USB设备数据、键盘记录数据、剪切版数据、屏幕截图以及摄像头访问权限等将窃密的系统信息以及获取到的数据压缩加密保存在指定目录下然后通过Telegram发送到黑客服务器上窃密的数据信息显示为Prynt Stealer窃密信息如下所示 Prynt Stealer窃密软件是一款新型的信息窃取恶意软件家族此前在地下黑客论坛公开出售每个月仅售100美元可以针对 30 多种基于 Chromium 的浏览器、5 多种基于 Firefox 的浏览器以及一系列 VPN、FTP、消息传递和游戏应用程序进行信息窃取功能非常强大。
3.SQL Injector Cracked By mustleak.exe程序其实是Magnus勒索病毒如下所示 判断操作系统版本如果是以下两个国家的操作系统语言版本则不进行加密操作如下所示 判断进程是否为管理者权限如果为管理者权限则删除系统磁盘卷影、备份、禁用系统任务管理器关闭相关系统服务等如下所示 遍历系统文件目录进行文件加密操作如下所示 对包含如下字符串的系统目录文件不进行加密字符串列表
Program Files,
Program Files (x86),
Windows,
$Recycle.Bin,
MSOCache,
Documents and Settings,
Intel,
PerfLogs,
Windows.old,
AMD,
NVIDIA,
ProgramData
对包含如下字符串的文件名的文件不进行加密字符串列表
appdata\\local,
appdata\\locallow,
users\\all users,
\\ProgramData,
boot.ini,
bootfont.bin,
boot.ini,
iconcache.db,
ntuser.dat,
ntuser.dat.log,
ntuser.ini,
thumbs.db,
autorun.inf,
bootsect.bak,
bootmgfw.efi,
desktop.ini
加密文件算法采用AES加密算法加密密钥为硬编码RSA密钥信息如下所示 加密后的文件后缀名为随机文件名如下所示 生成的勒索提示信息文件名READMEEEEEE!!!!.txt内容如下所示 黑客的BTC钱包地址bc1qrx0frdqdur0lllc6ezmv45hchdrg72ns7m6jmy同时桌面背景被修改成如下所示 黑客组织伪装成SQL注入工具破解版压缩包程序传播StormKitty窃密程序和Magnus勒索病毒进行窃密和勒索双重攻击从网站下载各种破解版的软件的时候一定要多留意一下。 总结
安全意识很重要现在各种钓鱼攻击层出不穷、花样百出恶意软件也是无处不在一些黑客组织每天都在寻找着新的目标进行定向窃密攻击拿到这些目标的重要数据之后再进行后续其他恶意攻击活动所以大家下载软件的时候一定要到正规的官方指定网站进行下载同时需要检测官方的数据签名是否完整有效现在各种新型的恶意软件不断涌现黑客组织也在不断更新开发自己武器库的攻击程序大家在接受别人发的程序文档数据的时候一定要多加一层防范意识可能这些程序、文档数据就被捆绑了恶意软件当你打开这些程序或文档之后可能你的电脑就会被黑客勒索、数据被黑客窃取更有可能造成后面更大的损失。 笔者一直从事与恶意软件研究相关的工作包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者感谢给笔者提供样本的朋友们 做安全不忘初心与时俱进方得始终
