来自 CC防护 2022-05-13 17:00 的文章

云盾_装修防护网_超稳定

云盾_装修防护网_超稳定

您的文档已损坏:从图像到信息窃取特洛伊木马

InfoStealer是一种特洛伊木马,它从受影响的计算机系统收集有关用户的敏感信息,并将其转发到预定位置。这些信息,无论是财务信息、登录凭据、密码还是所有这些信息的组合,都可以在黑市上出售。AVAST将此信息窃取者检测为MSIL:Agent AKP。

在这篇博文中,我们将查看通过漏洞工具包提供给受害者计算机的恶意.NET文件。在反编译器中打开文件后,我们注意到资源中只包含噪声图像,如下图所示。

每个图像作为位图打开,并逐像素处理。对于非透明黑色(ARGB不等于0x00000000)的每个像素,所有三个颜色通道的值都会被提取并存储在一个列表中,一个值一个值地逐列存储。当我们转储整个列表时,将显示以下结果。请注意MZ标记,它是可执行文件的开始。现在很清楚,我们正在处理一个模糊器,该模糊器将数据从位图转换为可执行文件。

从查看位图文件来看,并不立即清楚它是否存储了可执行图像。当我们查看BitMapInfo Header及其项biHeight时,我们可以看到其值为0x134。

根据文档,如果biHeight为正值,则位图为自底向上的DIB,防御cc的cdn,原点位于左下角。

下图显示了可执行文件的前9个字符如何隐藏在位图中。一个像素包含一个三元组字符,后面是下一行的下一个三元组字符(自下而上),等等。。。我们发现红色长方形标记的字符是4D5A90 000300 000004,这是可执行文件的MZ签名。

仔细查看有效负载

有效负载从位图中提取。原始文件有两个位图,国内高防cdn列表,一个解码到.NET中编写的加载程序中,加载到内存中并执行第二个二进制文件。第一个二进制文件修改zone.identifier备用数据流。磁盘上的任何文件都可能被分配或不被分配:zone.identifier数据流,该数据流包含有关文件源区域的信息。如果文件来自internet,则其区域为3,如果为0,则其来自本地计算机。

然而,免费cc防御盾,恶意软件尝试将区域ID设置为2,这是受信任的。

区域存在是出于安全原因。某些程序/操作系统可能会报告与该文件来源相关的安全信息。

第二个二进制文件从原始文件的第二个位图中提取。它通过创建一个带有Uuid值的Win7zip注册表项来标记其存在。

它通过在[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]中创建一个项来禁用多个安全程序的运行,创业公司ddos防御,其中值调试器设置为指向不存在的exe文件的路径。每当用户试图运行任何受影响的程序时,Windows都会运行"Debugger"值中指定的程序,这会导致禁用此类程序。下图显示了通过修改此注册表项禁用的程序列表。

它还通过修改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policys\Explorer]中的注册表项禁用了多个安全组件。将值HideSCAHealth设置为1将禁用操作中心。通过修改TaskBarNotification注册表项禁用通知引出序号。在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup]中,禁用注册表项将禁用Windows备份通知。

它通过将2500项下的注册表项设置为值3-disabled来关闭Internet Explorer中的保护模式。

它窃取多个FTP程序的登录凭据,如果已安装。

以下字符串在其主体中可见。

它修改以下注册表项:

注册表项[HKEY_LOCAL_MACHINE\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer]的类型为REG_DWORD,设置0表示禁用Java;设置1表示启用Java。

注册表项[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\{version}\Privileged\bProtectedMode]的类型为REG_DWORD。0表示已禁用,1表示已启用。

作者显然保留了将来重新完善系统的可能性。一旦用户再次登陆攻击工具包,感染可能会再次发生。

InfoStealer还报告在受损计算机中安装了多个程序。

通过"存在游戏"或"存在游戏"来确定其是否存在,注册表项"SOFTWARE\\Blizzard Entertainment"或"SOFTWARE\Valve\Steam"告诉我们可能安装了这些游戏发行商的一些游戏。字符串"League of legends"和"Software\Skype"不言自明。

InfoStealer禁用了多个系统服务。

在"Windows安全服务"中,我们尝试了将

升级为"Windows安全服务"时,

升级为"Windows安全服务"的目标,我们设计了一个地下论坛,描述如下:

系统重启后的持久性是通过在注册表项[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中添加值名"AudioDriver32"来实现的。

InfoStealer特洛伊木马使用了一种巧妙的方法来迷惑用户,使其同意以提升的权限运行它。它显示以下错误消息窗口。

单击"还原文件"或"还原文件并检查磁盘是否存在错误"后,执行以下代码。