商业窃密木马Ficker活动及样本分析报告

时间 :  2021年05月04日  来源:  安天CERT


1、概述


        近日,安天CERT监测到一个活跃的商业窃密木马Ficker,最早出现于2020年10月。近期通过伪造Microsoft Store、Spotify、在线文档转换器等网站进行传播,在一个月内快速迭代十多个版本。

        Ficker窃密木马具备多种窃密功能,包括窃取系统信息、窃取浏览器信息、窃取应用程序凭证、屏幕截图等功能,并且可以窃取多个加密货币钱包。该窃密木马通过检测计算机语言环境,如果为俄罗斯、乌兹别克斯坦、乌克兰、亚美尼亚、哈萨克斯坦、阿塞拜疆、白俄罗斯的语言环境,则不会执行恶意代码。2021年1月,该窃密木马开始在俄语黑客论坛上公开售卖,传播方式由于购买者的不同逐渐产生了变化,例如通过伪装成主题为DocuSign的Word文档进行传播。与此同时,多个攻击组织实施过该木马的分发。例如,Hancitor恶意软件在感染独立主机时,选择使用Ficker窃密木马窃取数据。 经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。



2、事件对应的ATT&CK映射图谱


        该起攻击行动样本技术特点分布图:

图 2-1 技术特点对应ATT&CK的映射


        具体ATT&CK技术行为描述表:

表 2-1 ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

初始访问

网络钓鱼

利用钓鱼网站传播

执行

诱导用户执行

伪装成国际象棋应用程序诱导用户执行恶意代码

防御规避

仿冒

将图标伪装成国际象棋应用程序

防御规避

反混淆/解码文件或信息

将字符串解码为可执行程序

防御规避

混淆文件或信息

利用多层编码及加密混淆

防御规避

进程注入

将代码注入到进程中以规避检测

凭证访问

获取应用程序访问令牌

窃取Steam等应用程序保存的登陆凭证

凭证访问

窃取Web会话Cookie

窃取Web会话Cookie

发现

查询注册表

通过注册表收集有关系统、配置和已安装软件的信息

发现

发现系统信息

发现系统信息

发现

发现系统网络配置

通过访问www.ipify[.]org/查询外部IP地址

收集

收集本地系统数据

收集本地系统数据

收集

数据暂存

将查询得到的外部IP地址暂存在本地

收集

获取屏幕截图

获取屏幕截图

数据渗出

使用C2信道回传

回传到攻击者指定的C2服务器



3、防护建议


      针对该窃密木马安天建议企业采取如下防护措施:

3.1 企业防护

      (1)安装终端防护:安装反病毒软件,建议安装安天智甲终端防御系统;

      (2)加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

      (3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

      (4)安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

3.2 网站传播防护

      (1)尽量不打开来历不明的网页链接;

      (2)不随意点击网站上的广告信息;

      (3)在威胁情报分析系统中查询URL是否具有威胁。

        经验证,安天智甲终端防御系统(简称IEP)可实现对该窃密木马的查杀与有效防护。

图 3-1 安天IEP对该窃密木马的查杀截图



4、攻击流程


4.1 攻击流程图

        攻击者首先制作了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者伪造的Mircosoft Store页面。网页会自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件,压缩包内是伪装成“xChess 3”国际象棋的Ficker窃密木马。

图 4-1 攻击流程图


4.2 攻击流程详述

        攻击者首先制作并投放了一个推广在线国际象棋应用程序的广告。当用户点击广告时,会跳转到攻击者事先伪造的Mircosoft Store页面。

图 4-2 攻击者伪造的Mircosoft Store页面


        攻击者设置网页延时2秒后,自动跳转到一个AWS亚马逊服务器,并下载一个名为“xChess_v.709.zip”的zip文件。

图 4-3 延时2秒后跳转到指定服务器


        解压后,得到一个伪装成国际象棋应用程序的可执行文件,诱导用户执行。

图 4-4 伪装成国际象棋的Ficker窃密木马



5、样本分析


5.1 样本标签

表 5-1 Ficker窃密木马样本标签

病毒名称

Trojan[Spy]/Win32.Ficker

原始文件名

xChess_v.709.exe

MD5

562DAF0DAFE1EEED0D7B541D39136156

处理器架构

Intel 386 or later, and compatibles

文件大小

390.68 KB (400,054字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2019-12-26 13:49:16

数字签名

加壳类型

编译语言

Microsoft Visual C++ 9.0

VT首次上传时间

2021-04-20 12:29:11

VT检测结果

50/70


5.2 样本详细分析

        该样本运用Shellcode技术规避检测,样本中包含了大量对抗分析的技术,如进程镂空、代码自解密等。样本窃取系统信息、浏览器信息、应用程序凭证、屏幕截图、加密钱包等,并将窃取的信息回传到攻击者指定的C2服务器。

5.2.1 解密Shellcode

图 5-1 解密Shellcode


        Shellcode解码完成后,样本会运行自身,创建一个挂起的进程,卸载该进程占用的内存,将解密完成的核心代码注入到新创建的进程里,最后恢复挂起的进程。攻击者使用这种进程镂空的攻击技术以规避杀软检测。

图 5-2 创建自身进程


5.2.2 窃密回传

        注入的核心代码是一个PE文件,运行后会创建一个名为“serhershesrhsfesrf”的互斥量。

图 5-3 创建互斥量


        检测计算机的语言环境,如果为以下国家的语言环境,则不会执行恶意代码。

表 5-2 规避的国家/地区

缩写

国家

ru-RU

俄罗斯

uz-UZ

乌兹别克斯坦

ua-UA

乌克兰

hy-AM

亚美尼亚

kk-KZ

哈萨克斯坦

az-AZ

阿塞拜疆

be-BY

白俄罗斯


        访问www.ipify[.]org/查询外部IP地址,并将返回的信息下载到C:\ProgramData\kaosdma.txt。

图 5-4 查询外部IP地址并保存到本地


        获取系统用户名、系统版本、Windows序列号等信息。

图 5-5 获取Windows序列号


        窃取Web浏览器中的保存的用户名称、登陆凭证、Cookie等信息。

图 5-6 窃取浏览器用户信息


        窃取多个加密货币钱包,如下表所示:

表 5-3 窃取的加密钱包名称

Exodus

Atomic

Electrum

Zcashrum

bytecoin

Litecoin

Dash

vault

Ethereum

Monero


        窃取Pidgin、Steam、Discord等应用程序客户端和FTP客户端中保存的登陆凭证。

图 5-7 尝试窃取Steam登陆凭证


        对当前计算机上正在运行的活动应用程序进行截图。

图 5-8 屏幕截图


        将窃取的信息回传到攻击者指定的C2服务器188.120.251.192。

图 5-9 回传到指定服务器


        Ficker窃密木马于2020年10月末发现,并衍生多个版本,该家族其他版本曾下载其他流行远程控制木马。该窃密木马对用户的数据安全造成了极大的威胁,一旦感染,用户应及时清除,并且立即修改相关应用程序密码,通过反病毒扫描检查计算机中是否存在其他恶意软件。


6、IoCs


MD5:

562DAF0DAFE1EEED0D7B541D39136156

C8BB9EB65027CF82FBE11FFE55C37B53

6987DF0DEF75225847F7A1B44B4AC858

0C9221E48CA29B7CC30DCE61433CD17B

D615F7790D258DC87F05494838A8BE75

26E9921B4FA07DCE963C4EB4C703EA9A

9C807B433F45181DDB3060E9FFB54129

419549395F9DF96E24530CBBE81318AF

C5230EE45C145A14B202CA87E7B6317C

6E9D4EF64DE1B821579F6457F07CFE4C

4CA4725BD607EF1361B88D181A82DEE0

IP:

188.120.251.192(以上样本均连接此IP