转载

解密新晋信息窃取木马Spymel

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

木马简介

感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。

研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。

解密新晋信息窃取木马Spymel

图一 硬编码的URL的屏幕截图

分析过程

已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后,出现了新变种,该变种使用了SBO INVEST的另一个已撤销的证书。

解密新晋信息窃取木马Spymel

图二 Spymel使用的证书

Spymel的有效载荷散列值:

4E86F05B4F533DD216540A98591FFAC2 2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平台上以“svchost.exe”或“Startup32.1.exe”形式存在:

WinXP

%Application Data%/ProgramFiles(32.1)/svchost.exe %User%/Start Menu/Programs/Startup/Startup32.1.exe

Win7

%AppData%/Roaming/ProgramFiles(32.1)/svchost.exe %AppData%/Roaming/Microsoft/Windows/StartMenu/Programs/Startup/Startup32.1.exe

Spymel安装后会创建以下注册表,以保证其可以持续感染:

WinXP

HKEY_USERS/Software/Microsoft/Windows/CurrentVersion/Run @ Sidebar(32.1) HKEY_USERS/Software/Microsoft/Windows/CurrentVersion/Explorer/StartupApproved/Run @  Sidebar(32.1)

Win7

HKEY_USERS/Software/Microsoft/Windows/CurrentVersion/Run Sidebar(32.1) HKEY_USERS/Software/Microsoft/Windows/CurrentVersion/Explorer/StartupApproved/Run Sidebar(32.1)

Spymel的配置数据包括Command & Control服务器和File & Registry信息,这些信息都硬编码在可执行安装包中,如图三:

解密新晋信息窃取木马Spymel

图三 Spymel的配置数据

分析发现,该安装包中存在以下模块:

1、Keylogging模块

该模块将用户的键盘信息记录在日志文件中(位置:%Application Data%/ProgramFiles(32.1)/svchost.exe.tmp)。图四为该模块对应的类“kyl”:

解密新晋信息窃取木马Spymel

图四 Keylogging代码

2、ProtectMe模块

该模块防止中断用户终止恶意软件,它禁用了确认提示中的“OK”按钮。进而Taskkill命令不会如预期一样正常工作。图五为该模块对应的类“ProtectMe”:

解密新晋信息窃取木马Spymel

图五 ProtectMe代码

信息窃取

该恶意软件可以像Task Manager一样监控应用程序,它使用GetForegroundWindow() API获取活动窗口的句柄,并更改其功能。

Spymel使用1216端口连接远程域android.sh(213.136.92.111),一旦连接成功,它就开始发送活动进程窗口的信息。下表为Command & Control服务器发送给该恶意软件的命令:

解密新晋信息窃取木马Spymel

恶意软件发送的文件内容使用base64编码进行加密,图六为记录浏览器播放视频的代码:

解密新晋信息窃取木马Spymel

图六 记录浏览器播放视频的代码

总结

目前,使用数字证书伪装恶意软件成为一种通用方法,Spymel是其中一例。攻击者借助社会工程学向目标发送电子邮件,导致感染,进一步窃取敏感信息,Spymel便会监控用户行为并转发给攻击者。对于普通终端用户而言,慎点邮件中的链接是保护自己免受Spymel木马危害的最好方式,毕竟,它使用的链接是很好识别的。

*原文地址: zscaler ,vul_wish编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/articles/database/92904.html
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 php springboot-demo ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成fastdfs快速入门Demo
  2. 2 Spring Boot集成Https快速入门Demo
  3. 3 Spring Boot集成easypoi快速入门Demo
  4. 4 Spring Boot集成webflux快速入门Demo
  5. 5 Spring Boot集成Graphql快速入门Demo
  6. 6 Spring Boot API 多版本快速入门Demo
  7. 7 Spring Boot内容协商快速入门Demo
  8. 8 Spring Boot集成Debezium实现postgres增量同步
  9. 9 Spring Boot单元测试快速入门Demo
  10. 10 Spring Boot集成Spring Retry快速入门Demo
网站信息
  • 文章总数:155,456 篇
  • 文件总数:468,736 个
  • 标签总数:2,262 个
  • 分类总数:90 个
  • 留言数量:2,538 条
  • 在线人数:650 人
  • 运行天数:4,191天
  • 最后更新:2024年04月18日08点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG