偷窃者 ， 偷窃者和更多的偷窃者

WHITEPAPER 安全 S1deloadStealer-探索社交网络帐户劫持的经济学 Contents 滴管(WDSync.dll)分析10 加载器(iMobieHelper.dll)分析12 Contents Chrome控制器(ToolsBag.dll)分析22 窃贼(CNQMUTIL.dll)分析36 矿工(CNQMUTIL.dll)有效载荷54 作者: DavidACS-安全研究员@Bitdefender S1deloadStealer-探索社交网络帐户劫持的经济学 Bitdefender白皮书 前言 社交网络已经占据了我们生活的很大一部分，自他们的成立。通过访问多个合法的社交媒体帐户，威胁行为者已经能够勒索显着的财务收益 ，甚至操纵公众舆论并改变选举过程。在日常层面上，出于财务动机的团体已经创建了malvertising和spam运动，并建立了完全自动化的农场内容共享网站以增加收入或向其他恶意行为者出售和出租受损帐户。 本文记录了一个活跃的恶意软件分发活动，该活动通过接管用户的Facebook和YouTube帐户。一旦控制了受感染的帐户，恶意软件就会使用它们来增强视图依靠社交媒体。 通过恶意软件感染链的每个步骤，恶意软件作者严重依赖DLL侧载来避免检测。我们将此恶意软件家族命名为S1deload偷窃者。 恶意软件作者选择作为侧载受害者的每个可执行文件都有相似之处： •它们从其目录加载.NETDLL •他们来自知名的软件出版商 •他们是数字签名的 在研究恶意软件的基础设施期间，我们还确定了恶意软件作者所在的销售网站出租被盗的社交媒体帐户，以增加YouTube和Facebook的内容。 DLL侧向加载 动态链接库(DLL)是共享代码库的MicrosoftWindows实现。应用程序可以加载DLL，并调用导出的函数。如果应用程序在加载时未指定DLL的完整路径，则WindowsLoader在名为DLL搜索顺序的预定义路径列表中搜索DLL滥用这种行为在恶意软件中很流行，Bitdefender概述了可能的滥用向量。 简而言之，DLL侧向加载是一种用于以合法数字签名进程加载的DLL形式隐藏恶意代码的技术。当攻击者想要诱骗用户允许进程以管理员身份运行时，此方法很有用，并且有时可能会避免应用程序块规则。这可以通过简单地将恶意DLL放到与加载它的数字签名进程相同的文件夹中来完成。 技术分析总结 攻击从社交工程技巧开始，说服用户下载名为AlbumGirlSexy.zip的存档。该存档包含三个元素： 名称目的 AlbumGirlSexy.exe存档中唯一可见的元素，来自西部数据的数字签名可执行文件。 WDSync.dll包含恶意代码的隐藏.NET程序集 data.dat包含成人内容的隐藏的自解压存档 一旦用户启动AlbumGirlSexy.exe，它将加载隐藏的WDSync.dll，它启动感染链。 WDSync.dll在%APPDATA%\Canon中与iMobieHelper.dll一起解密并写入磁盘CNQ.exe。WDSync.dll还启动data.dat，以便受害者不会怀疑恶意软件感染，因为他们获得了成人内容首先。 CNQ.exe是iMobieInc.的另一个数字签名可执行文件，用于旁载iMobieHelper.dll。这.dll负责从C2服务器下载下一阶段的恶意软件。 下一阶段包括CompactionTool.exe，另一个由WesternDigital数字签名的可执行文件，和MVVM.dll在%APPDATA%\BlueStack中删除。 MVVM.dll向C2服务器查询要在受害者计算机上下载和执行的任务。恶意软件可以并行执行多个任务。我们在野外确定了三种类型的任务： 任务名称DLL名称任务目的 Chrome控制器 ToolsBag.dll 安装由恶意软件作者通过恶意扩展程序控制的Chrome，以增强YouTube视频。 提取保存在用户浏览器中的密码和cookie。也 偷窃者CNQMUTIL.dll 评估受害者Facebook个人资料的价值。 CryptojackerCNQMUTIL.dll未经用户同意开采加密货币。下图说明了感染链，攻击者的目的是仅安装Chrome控制器任务。 在过去的六个月中，从2022年7月到12月，Bitdefender产品检测到超过600感染此恶意软件的唯一用户。 初始访问 用户下载名为的.zip文件AlbumGirlSexy.zip。存档托管在由攻击者，以及Dropbox等文件共享网站。这些是当前为恶意存档: hxxps://neuka[.]top/AlbumGirlSexy[.]ziphxxp://dl[.]dropboxusercontent[.]com/s /rm1bs2iddy3oxvm/sexygirl[.]zip?dl=0 .zip存档包含以下文件： AlbumGirlSexy.exe是重命名的WDSyncService可执行文件，具有来自WesternDigital的有效数字签名。 该.zip包含一个隐藏的WDSync.dll文件。当用户执行AlbumGirlSexy.exe，该进程将加载.dll.data.dat是包含成人内容的自解压缩存档，由恶意WDSync.dll启动。 从用户的角度来看，启动AlbumGirlSexy.exe会导致启动包含预期成人内容的自解压缩存档。除了AlbumGirlSexy.zip名称外，我们还注意到以下zip名称： AdsOptimize.zipAlbumGirlSexy.zipAlbumPrettyGirl.zip 专辑_Lonely_In_Car_So_Yeon_Ha_Seonu_Ryuk_And_Baek_Hyeon_Myung_Kyungsoon_Photography.zip 专辑_黄色_连衣裙_女生_小_凌_燕_绍_正中_孟吉达_晓慧_摄影.zip专辑_黄色_连衣裙_女生_肖_ 凌_燕_杨_诗荣_方_秀荣_丰歌_摄影.zipHDSexyGirl.zipLiveSoccerTV-LiveFootball.zipPlay WorldsCup2022-LiveTVApp.zipSexyAlbum.zip SexyGirlAlbum.zip VSBGAlbum.zip视频_Niko_And_Her_Manager_What_Are_They_Doing_In_The_Office_At _The_Moment.zipgirlleakfull.ziptest.zip 我们可以看到大多数档案的名称表明它们包含成人内容。 但是，像AdsOptimize.zip这样的异常值试图通过假装是广告拦截器来欺骗用户。 LiveSoccerTV-LiveFootball.zip和PlayWorlddsCup2022-LiveTVApp.zip构成允许观看者观看世界杯的软件。 击败字符串加密 所有分析的.NET程序集共享相同的字符串加密方案。在本章中，我们描述了如何识别字符串加密以及我们如何击败它。 字符串解密函数说明 在分析.dll时，我们注意到二进制中的字符串丢失，并替换为\u0005\u2000.\u00002(<constant_i4>)。字符串解密函数如下图所示： 字符串解密函数使用用作缓存的字典： 它包含字符串ID之间的映射(int)和它们已经解密的字符串。 如果字符串已被解密，则通过调用从字典返回TryGetValue 如果字符串尚未解密，则将其解密，将其存储在缓存中并返回。 恶意软件使用的字符串解密算法是复杂且模糊的，但是没有必要理解它，因为我们可以绕过它。 击败字符串加密的算法 在确定了字符串解密函数之后，我们可以采取以下步骤将整数常量替换为它们的字符串等效项： 1.识别对字符串解密函数的调用 2.获取传递给函数的字符串ID，即在调用之前在堆栈上推送的常量i4 3.调用解密函数并存储结果 4.用字符串的加载替换对解密函数的调用我们已经记录了实现此算法的代码附录A. 在解密结果中，我们可以看到看起来是Base64编码的数据，所以我们成功地解密了字符串。 滴管(WDSync.dll)分析 此DLL将CNQ.exe和iMobieHelper.dll写入%APPDATA%\Canon，然后启动CNQ.exe。 WDSync.dll是一个混淆的DLL，它实现了WDSync使用的最小函数集。 侧面加载的可执行文件调用SyncLog.LogMessage来自WDSync.dll-恶意软件作者实现的用于劫持数字签名可执行文件的执行的功能。 我们认为日志消息恶意软件的入口点，因为它是从恶意调用的第一个函数装配。 解密CNQ.exe和iMobieHelper.dll后，恶意软件使用文件.WriteAllBytes方法将它们写入磁盘。 The日志消息函数具有通过WMI将恶意软件的路径添加到WindowsDefender排除列表的附加任务。 加载器(iMobieHelper.dll)分析 iMobieHelper.dll在可执行文件启动时由%APPDATA%\canon\cnq.exe加载。 此DLL负责持久性和从C2服务器下载其他组件。 此DLL的入口点是LogMessenger.Init即它是从签名的可执行文件调用的第一个函数。我们从下面的截图中可以看出，持久性方法类似于滴管的持久性。 TheInit函数还以与WDSync.dll相同的方式将相同的文件夹添加到WindowsDefender排除路径。然后，在结束Init函数，它会创建一个新线程，该线程到达C2服务器以下载下一个组件。 加载程序通过获取XML到达C2，如下面的屏幕截图所示。 通过使用Wireshark捕获流量，我们看到C2服务器托管在Cloudflare后面。该请求包括uuid参数，该参数在加载器中硬编码，因此它可能标识加载器。使用uiid参数，威胁行为者可以跟踪哪个加载器最成功。 响应是一个XML，其中包含指向恶意软件作者的C2服务器的URL/rss/通道/项目/外壳. 恶意软件解析XML并提取用于下载恶意软件的下一个组件的URL。 从提取的URL中的.zip被下载到具有随机GUID名称的%TEMP%目录。 下载存档后，恶意软件会提取其内容并通过以下方式运行DiskCompactionTool.exeRunCmdNoLog. 下载的归档文件包含DiskCompactionTool.exe，这是来自WesternDigital的数字签名WDBackup可执行文件。 所有的.dll都是数字签名的，除了MVVM.dll，所以我们的分析继续这个。 C2通信模块(MVVM.dll)分析 此程序集由DiskCompactionTool.exe加载，DiskCompactionTool.exe是来自西部数据的数字签名可执行文件，由恶意软件作者重命名。此.dll负责确保恶意软件使用的数字签名.exe的持久性，以及从攻击者的C2服务器neukoo[.]顶部下载更多命令。 此恶意程序集的主要入口点是Services.Compose，从数字签名的可执行文件调用的函数。 首先，恶意软件通过运行密钥HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Run\BlueStacks_bgp64实现持久性。然后，恶意软件启动与加载程序.dll中类似的新线程。此线程负责生成ID并从攻击者接收下一个命令。 C2通信协议 恶意软件向hxxp://neukoo[.]top/commonupdate发送请求，其中包含两个参数： 版本包含机器的ID uuid这是C2通信模块的硬编码ID 对C2通信的请求导致以下流量，其中响应主体包含多条线路。 响应正文中的每一行都是恶意软件