譯者:知道創宇404實驗室翻譯組
原文鏈接:https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html
前言
攻擊者總是在尋找一種方法來執行受害者機器上的文件,並且希望不被發現。一種方法是使用一種腳本語言。如果受害者的操作系統中沒有內置的編譯器或解釋器,那麼這種腳本語言就無法執行。Python、AutoIT和AutoHotkey(AHK)就屬於這種腳本語言。特別是,AHK是一種面向Windows的開源腳本語言,旨在提供簡單的鍵盤快捷方式或熱鍵、快速的微創建以及軟件自動化。AHK還允許用戶使用代碼創建一個compiled.EXE文件。
12月中旬,我們發現了一個散佈盜用證書的活動。這個活動的主要代碼組件是用AHK編寫的。跟蹤發現,這個活動從2020年初就開始了。惡意軟件感染由多個階段組成,這些階段以惡意Excel文件開始。反過來,此文件包含AHK腳本編譯器可執行文件、惡意AHK腳本文件和Visual Basic for Applications(VBA)AutoOpen宏。完整的攻擊鏈如圖1所示。我們跟蹤了惡意軟件的命令和控制(C&C)服務器,並確定這些服務器來自美國、荷蘭和瑞典。我們還了解到,該惡意軟件一直針對美國和加拿大的金融機構。
刪除的adb.exe以及adb.ahk在此感染中起關鍵作用。這個adb.exe是一個合法的可移植AHK腳本編譯器,在給定的路徑上編譯和執行AHK腳本。默認情況下(不帶參數),此可執行文件在同一目錄中執行同名腳本。刪除的AHK腳本是一個下載程序客戶端,負責實現持久性、分析受害者,並在受害者系統上下載和執行AHK腳本。
爲了保持持久性,下載客戶端在startup文件夾中爲adb .exe創建一個自動運行鏈接。這個可移植編譯器用於編譯和執行AHK腳本。默認情況下(沒有傳遞參數),這個可執行文件在同一個目錄中執行一個同名的AHK腳本(本例中爲adb.ahk)。
該腳本通過C驅動器的卷序列號爲每個受害者生成唯一的ID來分析每個用戶。然後,惡意軟件會經歷一個無限循環,並開始每隔五秒發送一個帶有生成ID的HTTP GET請求。此ID用作其命令和控制(C&C)服務器的請求路徑,以便在受感染的系統上檢索和執行AHK腳本。
爲了執行命令,該惡意軟件爲每個受害者接受不同任務的各種AHK腳本,並使用相同的C&C URL執行這些腳本(而不是在一個文件中實現所有模塊並接受執行它們的命令)。這樣,攻擊者可以決定上傳特定的腳本,以實現每個用戶或用戶組的自定義任務。這也防止了主要成分被公開披露。儘管我們注意到這次攻擊早在2020年初就開始了,但是沙盒仍然沒有發現一個命令。這表明,要麼是攻擊者選擇了何時向受感染的受害者計算機發送命令,要麼是C&C服務器的快速變化使得跟蹤變得困難。到目前爲止,我們已經發現了五個C&C服務器和兩個命令:deletecookies和passwords。
在下載程序客戶端下載的組件中,我們發現了一個用AHK編寫的竊取腳本。此腳本負責從各種瀏覽器獲取憑據並將其過濾給攻擊者。值得注意的是,這種腳本的變種可以針對特定的網站。其中包括加拿大的主要銀行,如圖2所示。
有趣的是,AHK提供了腳本,其中包含俄語的使用說明。這表明在創建攻擊鏈的背後是“僱用黑客”組織。下面我們將描述圖1中所示的攻擊鏈的詳細信息。
惡意組件分析
如果用戶啓用了宏以打開Excel文件,那麼VBA AutoOpen宏將刪除並通過可移植的AHK腳本編譯器執行AHK下載程序客戶端腳本。
默認情況下,已刪除的可移植AHK腳本編譯器adb.exe在同一目錄中執行具有相同名稱的AHK腳本。在這種情況下,adb.exe自動檢測並執行adb.ahk腳本。
如前所述,adb.ahk是一個下載客戶端,它負責持久性,對受害者進行性能分析,以及每五秒鐘連續在受害者系統中下載和執行AHK腳本。該惡意軟件向其C&C服務器發送HTTP GET請求,以便在受感染的計算機中下載並執行AHK腳本。
服務器的響應將保存到名爲adb.exe〜的文件中(adb.exe〜是AHK純文本腳本;不是可執行文件)。圖5中的HTTP GET請求路徑是受害者的唯一ID,其格式如下:
需要注意的是,在其他一些變體中,-xl2被替換爲-pro。在adb.ahk執行下載的AHK腳本之前,它將首先檢查文件的末尾是否存在特定字符(“〜”)。如果找到該字符,則繼續執行。
此外,該惡意軟件還會在啓動文件夾中創建一個自動運行鏈接,該鏈接指向名爲GraphicsPerfSvc.lnk的adb.exe AHK腳本編譯器。如前所述,默認情況下,編譯器執行具有相同名稱和目錄的AHK腳本。
偷竊程序分析
下載器客戶端下載的腳本之一是瀏覽器憑據竊取程序。下面,我們將研究此惡意腳本的實現、功能以及網絡通信。
成功執行後,惡意軟件會通過HTTP POST請求向其C&C服務器發送狀態日誌(“passwords: load”):
與adb.ahk一樣,此腳本還會根據C驅動器的卷序列號爲其受害者生成唯一的ID。生成的唯一受害者ID用於跟蹤感染,並且對於每個受害者始終保持相同。
然後,竊取程序嘗試在受害計算機上下載sqlite3.dll。惡意軟件使用此DLL對瀏覽器的應用程序文件夾中的SQLite數據庫執行SQL查詢。
sqlite3.dll併發送執行狀態
從上面的代碼段中,我們可以看到惡意軟件再次檢索了C驅動器的卷序列號,並搜索了兩個硬編碼的序列號605109072和605109072。這兩個序列號用於調試。退出時,腳本在消息框中顯示SendLog()函數參數。值得注意的是,這種調試技術也可在此腳本的各種函數中看到。
攻擊者使用以下開源代碼通過AHK處理SQLite數據庫。
該惡意軟件的主要目的是從各種瀏覽器(例如Microsoft Edge、Google Chrome、Opera、Firefox和Internet Explorer(IE))中竊取憑據。爲了實現此任務,惡意軟件使用以下功能:
下圖演示了上述功能:
該惡意軟件會識別受害計算機中安裝的瀏覽器,並通過SendLog()函數將其發現並報告給C&C服務器。如果未安裝目標瀏覽器,惡意軟件會將其標記爲not_found:
另一方面,如果目標瀏覽器在受害計算機中,則惡意軟件將其標記爲“_ok”,如下圖所示:
以下代碼演示了惡意軟件如何搜索Chrome、Edge和Opera的登錄數據。
對於Internet Explorer密碼竊取程序,我們從開放源IE密碼信息竊取程序中借用了一些代碼,並將其轉換爲AHK。
數據過濾
最終,惡意軟件通過HTTP POST請求從受害者計算機上已安裝的瀏覽器中收集到的憑據發送給攻擊者。值得注意的是,對於每個瀏覽器,惡意軟件都會嘗試解密憑據並將其作爲純文本發送到C&C。
另外,下載的組件在代碼級別上十分有序。這些下載的組件還具有註釋格式的主要功能和變量的使用說明。因此,這表明此代碼不僅爲攻擊者所用,還可能被其他人以服務或獨立實例使用。
總結
惡意軟件感染包括以惡意Excel文件開始的多個階段。如果用戶允許宏打開Excel文件,則VBA AutoOpen宏將刪除並通過合法的可移植AHK腳本編譯器執行下載程序客戶端腳本。下載器客戶端負責實現持久性,分析受害人以及在受害人系統中下載和執行AHK腳本。該惡意軟件沒有從C&C服務器接收命令,而是下載並執行AHK腳本來執行不同的任務。下載的腳本是針對各種瀏覽器(例如Google Chrome、Opera、Edge等)的竊取程序。竊取程序從瀏覽器收集和解密憑據,並通過HTTP POST請求將信息泄露到攻擊者的服務器。
事實上,通過在受害者的操作系統中使用缺少內置編譯器的腳本語言,分別加載惡意組件來完成各種任務,並頻繁地更換C&C服務器,攻擊者可以在沙盒中隱藏他們的意圖。
IOCs
| SHA 256 | Description | Detection |
|---|---|---|
| a1f2606102e59bbc1a6de8912378821e83c32f31f6a402e8f3993ef966746b07 | Stealer module | TrojanSpy.AHK.CREDSTEALER.A |
| dd3087a377ee3d1959f6c17b1b13e5972d1783dfd708bd084150e44c30e3af6e | Stealer module | TrojanSpy.AHK.CREDSTEALER.A |
| d8483908dc0a18c4b51bfe962279816c910fedbad1961e5c5ed081c250cc5f76 | Stealer module | TrojanSpy.AHK.CREDSTEALER.A |
| 1994f37501d7fc3038129db09babc5ef67d5ab4c93a95b3b59bf2b5ffa1592ff | Stealer module | TrojanSpy.AHK.CREDSTEALER.A |
| 0078c476753613a78ff9e8f621fd28c1279c0981d519c44212b9d02e5fb4c81c | Stealer module | TrojanSpy.AHK.CREDSTEALER.A |
| bed925d7c0af493c9ccd2828d6fdefe6f4255bada51f645a8fffdd67e24b87fd | Excel file | |
| 27d9eb869eea6c713c6f109eca867844e2feceb0783bda2b78f7a92dffc833f6 | Excel file |
| IPs | Description |
|---|---|
| 93.115.23.48(ZoomEye搜索結果) | C&C server |
| 94.103.94.186(ZoomEye搜索結果) | C&C server |
| 2.56.215.97(ZoomEye搜索結果) | C&C server |
| 199.192.29.202(ZoomEye搜索結果) | C&C server |
| 5.39.223.162(ZoomEye搜索結果) | C&C server |
本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/1432/