来自 防护 2021-05-02 11:21 的文章

美国高防_云课盾_快速解决

美国高防_云课盾_快速解决

假冒VPN网站提供信息窃取者由于世界范围内对社交距离的呼吁,许多在家工作和第一次在线上课的人开始转向虚拟专用网络(VPN)来保护安全和隐私。但是,正如我们所看到的(ThreatLabZ在多个博客中报道了CovidLock勒索软件和冠状病毒骗局等),攻击者正试图利用这一流行病谋取经济利益。一项新的活动利用VPN的需求,通过伪装成合法的VPN客户端欺骗用户下载和安装恶意软件。作为我们正在进行的研究的一部分,我们监控新注册的域(nrd),因为它们可能是新的恶意软件活动的来源。我们最近遇到了多个网站假装提供免费VPN客户端的NRDs。当用户下载并执行VPN客户端时,它在后台运行,安装infostealer并服务于其他恶意软件,如远程访问特洛伊木马和银行木马。在这个博客中,我们将讨论假Nord VPN站点,假VPN4Test站点,它们服务的恶意软件,以及它们的infostealer功能。1假Nord VPN站点图1:假Nord VPN站点图2:假Nord VPN站点Whois信息域名:nordfreevpn[.]com网址:nordfreevpn[.]com/NordVPNSetup.exe当用户试图从该站点安装VPN客户端时,它会从web下载加密的有效负载,对其进行解密,并将其加载到内存中以供执行。因此,用户最终安装了Grand Stealer恶意软件,该软件具有多种功能,包括窃取各种用户凭证和加密货币钱包。图3:假Nord VPN站点概览下载的文件(NordVPNSetup.exe)从这个假VPN站点是一个MSIL构建的可执行文件。它是一个加载程序,可以下载加密的有效负载,对其进行解密,然后在内存中执行它。下载下一个有效负载的URL在二进制文件中加密。首先,二进制文件使用图4所示的解密逻辑对URL进行解密。图4:解密逻辑编码的URL:"SoftJSonLinqExtensionsValuesDznjaalxx2fIQZL3BBHSSIStncGLWWCYPSQ7or4vlaqxlrmxph1bic52qygiwtfckqleowyunyykegxb"异或键:"gjjjdzqihin"这个编码的URL被解析,Base64解码,然后用硬编码的密钥进行XORed。解码的URL:"hxxps://ws38[.]watashinonegai[.]ru/GFLAWIMPUSBP"它从这个URL下载加密数据,如何起到防御ddos,如图5所示。图5:加密有效载荷这个加密的数据使用解密URL时使用的解密逻辑进行解密。解密的数据=Base64_解码(Base64_解码(XOR(Base64_解码(加密的_数据),密钥)))图6:数据解密脚本二进制文件枚举DotNet目录路径(C:\\Windows\\微软.NET\\然后创建第一个可执行文件的挂起进程(AddInProcess.exe),取消映射其内存,然后将解密后的有效负载注入其中并执行进程。 1.1大盗贼此恶意软件从受感染的系统中窃取以下信息。浏览器配置文件(凭证、Cookie、信用卡、自动填充)壁虎证书FTP凭据RDP凭据电报会议加密货币钱包不一致的软件数据桌面文件截图图7:要窃取的数据它收集Chromium浏览器中存储的登录数据、web数据、cookies和信用卡信息。图8:窃取信用卡数据它还搜索%appdata%中的以下文件,cc是怎么防御的,并窃取浏览器配置文件,如凭据和Cookie。"键3.db","键4.db"cookies.sqlite", "登录名.json"该恶意软件能够从以下加密货币产品中窃取钱包。莱特币莫内罗字节币银金矿以太坊离去图9:窃取钱包数据对于FTP凭据,它将搜索"%appdata%\\FileZilla"\\最近服务器.xml或"%appdata%\\FileZilla"\\最近管理器.xml"并从中窃取证件。D873d7d8d7etract文件,并用d78c启动所有数据映射文件。它还捕获当前屏幕并收集桌面上存储的所有文件并将其发送到命令和控制(C&C)服务器。C&C服务器的地址被硬编码在二进制文件中,它创建一个websocket会话用于通信。ws://195.161[.]41[.]243:2012/websocket首先,它向服务器请求配置信息,并在此基础上收集数据并将其发送回服务器。图10:Grand stealer C2通信 2伪vpn4测试站点图11:虚拟vpn4测试站点图12:假vpn4测试站点的Whois信息域:vpn4test[.]net网址:hxxps://vpn4test[.]网络/VPN4测试-安装程序.exe当用户试图从这个站点安装一个假的VPN客户端时,它会从web上下载编码的配置数据,从配置数据中给定的URL下载恶意软件负载,在本例中是Azorult infostealer并执行它。 图13:假vpn4测试站点概览下载的文件(VPN4Test-安装程序.exe)从这个站点再次是一个MSIL构建的可执行文件。它是一个加载程序模块,从web下载有效负载的配置,并基于该配置下载有效负载并在系统上执行。此加载程序首先通过调用API来提取IP地理位置信息"hxxp://ip api[.]通信/线路/?字段=61439"。基于收集到的信息,它形成一个URL来下载配置数据。图14:URL格式网址:hxxp://176.96.239[.]39:80/门[.]php?数据=收集的数据是Base64编码的国家索引、IP地址、硬件ID、国家/地区、用户名和操作系统的组合。它在这个URL上发送web请求并获得响应。图15:从服务器请求配置响应是Base64编码的数据。它是一个逗号分隔的字符串,包括:、ALL、WebFile、、、在我们的例子中,解码后的配置是:1834,ALL,WebFile,网址:hxxp://51[.]83[.]210[.]220/au.exe文件,应用数据,au.exe文件获取此配置后,加载程序从有效负载URL下载有效负载,并将其存储在"%appdata%"上,名称为au.exe文件"并执行它。图16:加载程序配置解析在本例中,最后的有效载荷是一个名为Azorult的infostealer。 2.1阿苏鲁特InfostealerAzorult是一个信息窃取者,它收集并过滤保存的密码、浏览器登录凭证、cookies、历史记录、聊天会话、加密货币钱包文件和屏幕截图。它通常会将其他恶意软件下载到受感染的系统上。恶意软件首先生成一个bot ID来唯一地标识主机。一旦生成,就用3个字节对其进行编码和加密,ddos的攻击机制和防御措施,并发送到C&C服务器。图17:用bot ID向C&C发送请求作为对该请求的响应,服务器发送编码的配置数据。配置包括从何处窃取数据的目录路径、附加的恶意软件可执行文件url、所需的DLL模块、目标浏览器、目标加密货币钱包以及恶意软件使用的所有可疑字符串。这个版本的Azorult试图从以下程序获取敏感信息。网络浏览器:谷歌Chrome、Comodo Dragon、Amigo、Orbitum、Bromium、Chromium、Nichrome、RockMelt、Vivaldi、Go Browser、Sputnik、Kometa、Uran、QIP Surf、Epic Privacy Browser、Brave、Cent Browser、Cococ、7星、Elements Browser、Safer Technologies、野马、Superbird、Chedot、Torch、Firefox、IceDragon、Cyberfox、Palemon、InternetExplorer、微软Edge、Opera、Xpom、YandexBrowser、360Browser、TorBro、Suhba加密货币钱包:Electrum,Electrum LTC,Electrum LTC,Electrum btcp,Jaxx,MultiBitHD,Monero,比特币,比特币,比特币,比特币,比特币ABC,出埃及记,cc如何防御,出埃及记伊甸园,以太坊其他:Outlook、Filezilla、PSI+、WinScp、Skype、电报、Steam所有被盗的文件都被压缩在一个ZIP文件中,与浏览器的数据相结合,并在发送到C&C服务器之前用相同的3字节XOR密钥进行加密。图18:被盗数据这个azurlt从配置数据中接收的url下载并执行另外两个恶意软件。马萨德·斯蒂勒:hxxp://51.83.210[.]220/生成.exe寄生鼠:hxxp://51.83.210[.]220/主进程2.2马萨德偷窃者马萨德窃贼用电报过滤被盗信息。执行后,它开始从受感染的系统收集敏感信息,服务器ddos防御方法,如浏览器凭据、FTP凭据、加密货币钱包、屏幕截图、电报数据和桌面文件。它使用7-ZIP实用程序将这些信息压缩到一个文件中。图19:Masad Stealer窃取的信息Masad窃取者使用senddocumentapi将这个7-ZIP文件发送到C&C Telegram bot。Telegram机器人用户名:"MyVavilon_bot"电报机器人ID:"BOT1119770172"2.3寄生鼠像大多数老鼠一样,寄生虫HTTP提供信息窃取功能、观察或控制PC的VNC以及绕过权限的用户管理。它还宣传诸如防火墙绕过、可选的系统范围的持久性以及对白名单系统进程的注入等功能。它还为其C&C通信提供加密功能。图20:寄生鼠通讯这个变种的寄生虫鼠还下载了一个DLL文件,这是NukeBot恶意软件。NukeBot(又名Nuclear Bot)是一种成熟的银行特洛伊木马程序,包括HiddenDesktop/VNC服务器和反向SOCKS4服务器。当受害者访问银行网站时,它可以窃取密码并注入任意内容。 新闻报道:Zscaler云沙盒服务成功阻止了此次攻击中观察到的指标。图21:Zscaler假Nord VPN客户端云沙盒报告 图22:Zscaler假VPN4Test客户端的云沙盒报告除了沙箱检测外,Zscaler的多层云安全平台还检测不同级别的指标。Win32。后门。外景Win32。亚速尔Win32。马萨德Win32。后门。寄生虫Win32。后门,核弹头国际奥委会:nordfreevpn[.]通信nordfreevpn[.]com/NordVPNSetup[.]exews38[.]watashinonegai[.]ru/Gfl