时间 : 2023年03月16日 来源: 安天CERT
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。
目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。通过模块化的组件设计,窃密木马的开发者制作了一系列独立性强、可扩展性强且易于维护的窃密木马功能组件,并将这些组件明码标价在黑市上出售。攻击者能够根据自身意图选购功能组件从而组装窃密木马,进而实施完全自定义的窃密攻击,并根据使用情况给开发者反馈,从而推动窃密木马的迭代更新。
在这个过程中,窃密木马主要体现出两个演进方向,一是主攻扩大攻击面的“广撒网”式窃密木马,二是主攻高价值目标的“定制化”木马。其中“广撒网”方向的窃密木马主要依托各类公共平台投放具备一定泛用性的窃密木马,从而对普通用户进行大范围攻击,以期通过搜集尽可能多的用户数据来获利;“定制化”方向的窃密木马则针对政企等大型目标进行专门的功能设计,强化隐蔽性和数据收集能力,以期窃取大量高价值数据。
2022年,安天CERT发布了多篇窃密木马分析报告。现在,我们将2022年流行的窃密木马进行梳理,阐述其发展现状,并总结出有效的防护建议,以帮助用户更好地进行安全防护工作。
近年大量的APT组织和攻击者针对我国金融、卫生、公共管理、防务、教育等多个重要行业持续发动网络攻击,攻击面涵盖关键基础设施、大型信息系统、企事业单位内网等,造成了多起危害国家安全和发展利益的网络安全事件,如名为“AgainstTheWest”(ATW)的黑客组织自2021年10月以来攻击SonarQube、Gitblit、Gogs等平台,窃取了国内多家企事业单位的数字资产,在境外黑客论坛进行非法售卖,造成了大量关键源代码、数据的泄露[1],对相关单位造成了巨大损失。一旦企业遭到窃密木马攻击,其现行业务便容易遭到破坏,如技术专利被竞争对手获取模仿、生产工艺遭到剽窃、客户资料遭到泄露致使丧失客户信任等。此外,攻击者还可能利用窃取而来的数据对企业进行勒索,造成更多损失。
此外,针对个人用户投放窃密木马的攻击事件也层出不穷,如“魔盗”窃密木马伪装成常用软件在下载网站上大肆传播[2];黑产组织利用上百个伪造的盗版软件下载站诱导用户下载执行窃密木马[3]等。一旦攻击者成功得手,被窃取的用户数据便很可能被不法分子用于非法牟利,进而使用户的合法权益面临多种风险,主要表现为以下三个方面:一是虚拟资产易被盗用,如社交账户被用于进一步传播木马载荷,游戏账号被洗劫一空等。二是个人财产处于危险境地,如信用卡可能会被灰产组织用于洗钱、账户余额可能被不法分子转走等。三是受诈骗风险提高,犯罪分子可能会利用用户的隐私信息制造用户难以识别的骗局,致使用户做出错误决定。
为避免上述情况的发生,用户有必要准确认识到窃密木马的危害,及时采取有效措施,确保数据处于有效保护和合法利用的状态。
近年攻击者构建了相对完整的窃密灰色产业链,形成了较为标准的攻击体系,实现了内部分工,并通过组件化的木马设计降低了攻击者的加入门槛,进行着快速扩张。
目前,窃密灰色产业链已形成了完整的上下游关系,有明确的组织结构和价值输送链条。其主要角色由木马编写者、分析对抗技术提供者、木马攻击者和数据收购者组成,产业链中一人可担任多个角色,一个角色也可以由多人承担。其中木马编写者负责编写窃密木马;分析对抗技术提供者负责提供混淆、加密、免杀等技术;木马攻击者购买窃密木马进行窃密攻击;数据收购者收购窃取来的数据用于牟利。其中木马编写者与分析技术提供者作为窃密木马的开发者专职制作了大量模块化的木马组件,使得攻击者可以低成本、易于维护地对窃密木马进行功能扩展,能够让窃密木马在具备分析对抗能力的同时集成多种恶意功能,从而发动较高技术水平的窃密攻击。
就当下而言,由于匿名网络和加密货币为窃密灰色产业链提供了充足的运作空间,加之在充足的利益支撑下仍有攻击者不断加入这条灰色产业链,其短时间内难以被取缔。预计未来窃密木马灰色产业链仍将继续壮大,使窃密木马的攻击能力更强、攻击成本更低、分析对抗技术更复杂。用户需要对其保持高度的警惕,及时对自身数据资产进行防护能力升级,以保障数据资产的安全。
窃密木马主要体现出两个发展方向,即主攻高价值目标的“定制化”窃密木马和主攻扩大攻击面的“广撒网”式窃密木马。
“定制化”方向的窃密木马主攻高价值目标,如政府、企业、组织等,此类目标通常具有极大数据量,并且数据价值极高,因此攻击者往往愿意为特定目标“量身定做”窃密木马,从而尽可能提升攻击的成功率。通过采用模块化的木马设计,攻击者可以综合运用多种窃密木马组件,从而完成精准作业。如2022年6月,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)在长期准备与筹划后,使用了四十余种专属网络攻击武器对西北工业大学进行了窃密攻击,造成了大量战略情报泄露[4]。已有的证据显示,美方在此次攻击中对投放的窃密木马进行了高度的定制化,实现了多种窃密功能的协同运作,在提前摸清攻击所必要的信息后,在极短时间内便完成了大量敏感数据的窃取,体现了“定制化”窃密木马的精准攻击能力。
“广撒网”方向的窃密木马则主攻扩大攻击面,通过利用公共传播方式来对尽可能多的普通用户进行窃密。如2022年间的Redline窃密木马,攻击者在视频网站大量上传“破解视频”“游戏外挂”等热点内容以增加曝光量,从而引诱大量用户下载执行该木马进而窃密[5]。而为了提升单次攻击的收益,此类木马窃取数据的范围非常广,包括但不限于用户的工作文件、个人笔记、支付账户、购买记录、社交账户、医疗信息、声音信息等。最终这些被窃取的数据会被攻击者出售或用于其他犯罪活动获利,造成巨大社会危害。
需要注意的是,除单独使用外,这两类窃密木马也可以被攻击者组合使用,攻击者可以先借助“广撒网”式窃密木马找出高价值目标,再制作“定制化”窃密木马进行定向攻击,从而牟取更多利益。
尽管两类窃密木马各有专精方向的发展,但其基本技术的演进方向是一致的,即渗透方式的多样化、窃密能力的扩展化及分析对抗的复杂化。渗透方式的多样化,是指攻击者会尝试发现并利用更多的安全隐患,增加入侵用户系统的途径;窃密能力的扩展化,是指木马开发者会根据攻击者的反馈数据,在确保窃密能力的基础上,为木马增加更多功能,从而提高在单次攻击中攫取的利益;分析对抗的复杂化,是指分析对抗技术提供者会开发出更有效的混淆、加密、免杀等技术,从而提升攻击的成功率。
为有效防御窃密木马攻击,提升安全防护水平,安天建议采取如下防护措施:
1.安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统(IEP);
2.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
1.建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载,下载后使用反病毒软件进行扫描。
2.建议使用沙箱环境执行可疑的文件,在确保安全的情况下再执行。安天追影威胁分析系统(PTA)采用深度静态分析与沙箱动态加载执行的组合机理,可有效检出分析鉴定各类已知与未知威胁。
联系应急响应团队:若遭受窃密木马攻击,建议及时隔离受攻击系统,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
Redline窃密木马最早发现于2020年3月,该窃密木马除利用常见的钓鱼邮件、软件捆绑等方式传播自身外,还通过在视频网站发布钓鱼视频的新方式进行传播。攻击者在视频网站大量上传热点题材视频如破解软件、游戏外挂、加密货币教程等,引诱用户前往视频简介中的钓鱼链接下载启动恶意载荷。用户感染Redline窃密木马后,该木马除窃取FTP、VPN、即时通讯软件、远程连接工具等软件内的重要数据外,还会盗取用户的视频网站账号,并利用盗取来的账户再度发布钓鱼视频,从而形成了“发布视频→窃取账号→用窃取到的账号进一步传播”的攻击模式。
表1 Redline窃密木马基本信息概览
窃密木马家族 |
Redline |
编译语言 |
C# |
首次发现时间 |
2020年3月 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、账号盗用 |
对抗分析方式 |
文件信息混淆、进程注入、沙箱逃逸 |
主要窃取目标 |
系统数据、浏览器、电子邮件、FTP、VPN、远程连接工具、即时通讯软件 |
其他恶意功能 |
捆绑下发其他恶意软件,持久化 |
• 攻击者利用视频平台Youtube传播窃密木马Redline[5]
2022年间,攻击者在视频网站Youtube上大量发布关于盗版软件、操作教程、加密货币、游戏作弊等各类热点话题的钓鱼视频,诱导受害者下载Redline窃密木马并运行。受害者的账号还会被盗取,用于进一步传播钓鱼视频。
AgentTesla窃密木马最早于2014年出现,其早期版本曾作为键盘记录器公开销售,之后其开发团队转向黑市出售,扩展了窃密功能,并进行持续地更新,使其逐渐成为了流行窃密木马之一[6]。
从目前捕获到的样本分析可知,该恶意软件除通常的窃密功能外,还具备键盘记录、屏幕截图、持久化等多种功能,且能够禁用部分系统功能以保持自身隐蔽。
根据安天的分析结果,2022年间捕获的AgentTesla样本在反检测、反调试、反沙箱等部分均进行了升级,使用了多层载荷和多种加密方法进行分析对抗,并支持Tor匿名网络、电子邮件、FTP和HTTP等多种回传方式。
表2 AgentTesla窃密木马基本信息概览
窃密木马家族 |
AgentTesla |
编译语言 |
.NET |
首次发现时间 |
2014年 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼 |
主要分析对抗技术 |
载荷混淆、多层载荷加载、进程注入 |
主要窃取目标 |
系统数据、浏览器、电子邮件、FTP、VPN、远程连接工具、即时通讯软件、数据库、下载器 |
其他恶意行为 |
禁用系统功能、持久化 |
• OPERA1ER组织使用AgentTesla窃密木马对非洲金融机构进行持续性窃密攻击
截至2022年3月,APT组织OPERA1ER已使用包含AgentTesla在内的窃密木马对非洲金融机构进行了数百次攻击,其中成功了至少30次,预估涉案金额已超过3000万美元,对相关机构的客户信任造成了巨大打击。
Formbook 窃密木马自2016年起在黑客论坛上以“恶意软件即服务(MaaS)”形式出售,至今仍保持活跃[7]。2020年10月,Formbook的开发者宣布该窃密木马改名为Xloader,并引入了一些功能改进。
该窃密木马能够自动收集目标系统中浏览器、邮箱客户端、即时通讯客户端和FTP客户端中的敏感数据,可以进行键盘记录和屏幕截图。同时,该木马具备一定的对抗检测、对抗分析和反溯源能力,主要包括载荷混淆、进程注入和沙箱逃逸。此外,该窃密木马还具有更新、下发恶意软件、远程命令执行、持久化等功能。
表3 Formbook/Xloader窃密木马基本信息概览
窃密木马家族 |
Formbook / Xloader |
编译语言 |
C/C++ |
首次发现时间 |
2016年 |
主要传播方式 |
网络钓鱼 |
针对平台 |
Windows |
主要分析对抗技术 |
载荷混淆、进程注入、沙箱逃逸 |
主要窃取目标 |
浏览器、邮箱、即时通讯软件、FTP |
其他恶意行为 |
捆绑下发其他恶意软件、远程命令执行、持久化 |
• “UAC-0041”组织使用Formbook攻击乌克兰政府机构
2022年3月,被乌克兰计算机应急响应小组(CERT-UA)命名为“UAC-0041”的网络攻击以“战争和提供财政援助议题”为邮件内容,向乌克兰政府机构和单位进行大量的投递诱饵文档。该文档携带具下载功能的宏代码,受害者一旦启用宏,该宏会从攻击者的服务器上下载Formbook窃密木马并执行,攻击者即可开展进一步的网络攻击。
LokiBot窃密木马自2015年在黑客论坛出售,至今仍保持活跃[8]。由于Lokibot的服务端源码曾被泄露,因而出现了大量的衍生版本,使得其变种数量多、传播范围广。攻击者常用钓鱼邮件、软件捆绑等方式投放Lokibot窃密木马。除通常的窃密功能外,LokiBot还可以在感染系统中部署执行其他恶意软件,并进行持久化,对受害者产生更多威胁。
表4 Lokibot窃密木马基本信息概览
窃密木马家族 |
Lokibot |
编译语言 |
C/C++ |
首次发现时间 |
2015年 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、文件捆绑 |
主要分析对抗技术 |
反射机制加载、文件权限修改、载荷混淆、进程注入 |
主要窃取目标 |
系统数据、浏览器、密码管理器、远程管理工具、电子邮件、电子笔记 |
其他恶意行为 |
远程代码执行、捆绑下发其他恶意软件、持久化 |
•攻击者针对韩国多个机构投递Lokibot窃密木马进行攻击[8]
2022年4月,安天CERT监测到一起目标为韩国奖学金基金会、重工企业等多个机构的窃密攻击活动。攻击者利用钓鱼邮件的方式投递恶意载荷,主题为“请求基础产业报价”的报价单,以此诱导受害者解压并执行压缩包中的LokiBot窃密木马,导致用户的隐私和数据泄露。
Raccoon(浣熊)窃密木马自2019年初以来一直在地下论坛上以“恶意软件即服务(MaaS)”模式出售。2022年7月上旬,该窃密木马的开发者发布了由C语言编写的升级版本Raccoon Stealer v2,集成了多种窃密功能和分析对抗技术。该窃密木马除具备窃取密码、敏感文件等常见窃密功能外,还可窃取加密货币。
有所不同的是,该窃密木马的部分样本并未采用持久化策略,而是会在窃密完毕后将自身直接删除,推测其由木马配置中的定制化选项决定。
表5 Raccoon窃密木马基本信息概览
窃密木马家族 |
Raccoon |
编译语言 |
C/C++ |
首次发现时间 |
2019年 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、文件捆绑 |
主要分析对抗技术 |
自删除、字节填充、载荷混淆 |
主要窃取目标 |
系统数据、浏览器、密码管理器、远程管理工具、电子邮件、电子笔记 |
其他恶意行为 |
窃取加密货币 |
• 攻击者构建大量钓鱼网站并通过SEO污染投放Raccoon窃密木马
2022年7月,攻击者通过大量生成破解软件相关的钓鱼网站,并优化了SEO使得这些钓鱼网站在谷歌搜索结果中前置。不知情的用户下载启动所谓的“破解程序”(实为Raccoon Stealer v2窃密木马)后,该窃密木马就会窃取用户的浏览器账号密码、支付信息、加密货币等。目前已有大量用户的数据遭到泄露。
AZORult窃密木马首次发现于2016年7月,曾是俄罗斯黑客论坛上最为畅销的木马病毒之一。尽管在2018年底AZORult的主要卖家公开宣布将永久停止出售此木马病毒,但由于此前的源代码泄露,AZORult仍使用广泛且存在多个变种。如Gazorp可直接生成AZORult窃密木马载荷、Hermes勒索软件利用AZORult窃密木马作为下载器传播自身等。除具备通常窃密功能之外,该窃密木马还可以关闭Windows的安全功能,并作为下载器捆绑下发其他恶意代码。
表6 AZORult窃密木马基本信息概览
窃密木马家族 |
AZORult |
编译语言 |
C/C++、Delphi |
首次发现时间 |
2016年7月 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、文件捆绑 |
主要分析对抗技术 |
载荷混淆、加密流量传输 |
主要窃取目标 |
系统数据、浏览器、密码管理器、远程管理工具、电子邮件、电子笔记、源代码 |
其他恶意行为 |
下发其他恶意程序、关闭Windows安全功能、远程控制 |
• b攻击者利用AZORult对德国车企进行广撒网式钓鱼邮件攻击
2022年5月,国外安全厂商Check Point的一篇报告提到,攻击者伪装成汽车经销商向汽车制造商发送钓鱼邮件,在邮件中附带伪装成汽车发票的恶意载荷。该恶意载荷执行后会经由托管服务器下载AZORult窃密木马进行数据窃取。
Vidar窃密木马于2018年12月首次被发现,开发者主要通过黑客论坛及匿名通信软件对其进行出售,不同档位的售价在130美元到750美元不等。因为Vidar与此前已存在的窃密木马Arkei存在很强的同源性,两者整体结构及通信协议等核心代码基本相同。推测Vidar为Arkei的更新版本或分支版本,目前Vidar与Arkei均保持更新。
表7 Vidar窃密木马基本信息概览
窃密木马家族 |
Vidar |
编译语言 |
C/C++ |
首次发现时间 |
2018年12月 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、软件捆绑 |
主要分析对抗技术 |
载荷混淆、沙箱规避 |
主要窃取目标 |
系统数据、FTP、浏览器、邮件客户端、源代码、即时通讯,电子笔记,远程控制客户端 |
其他恶意行为 |
窃取加密货币,持久化 |
• 攻击者使用谷歌广告服务存在的流程缺陷投放Vidar窃密木马
2022年12月,攻击者利用谷歌的广告服务投放Vidar窃密木马。攻击者通过错误拼写、将广告重定向到特定服务等方式将广告指向其搭建好的钓鱼网站,不知情的用户会经由广告直接访问钓鱼网站,从而遭到窃密。
• 攻击者利用媒体或社交平台作为C&C服务器中介传递Vidar窃密木马控制信息
2023年1月,Vidar窃密木马使用知名媒体平台如Tiktok、Telegram、Steam等平台传递C&C服务器信息,其方法是创建大量的一次性账户,并在账户的个人资料、个人签名等独特信息栏中放入需传输的内容,以供载荷访问读取。
Pony窃密木马,也被称为Fareit或Siplog,首次发现于2011年,是长期存在的窃密木马家族之一,主要活跃于欧美地区,因而中文互联网上对其介绍较少[9]。
该窃密木马功能较多,其窃密范围涵盖超110款应用程序,且能够禁用Windows安全功能、窃取加密货币、作为下载器投放其他恶意载荷并进行持久化。
此外,Pony采用了大量分析对抗技术,如反调试、多层载荷嵌套、载荷混淆等,拥有比较强的检测绕过能力。
表8 Pony窃密木马基本信息概览
窃密木马家族 |
Pony/Fareit/Siplog |
编译语言 |
.NET、ASM |
首次发现时间 |
2011年 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、软件捆绑 |
主要分析对抗技术 |
反调试、多层载荷嵌套、载荷混淆 |
主要窃取目标 |
系统数据、FTP、浏览器、邮件客户端、源代码、即时通讯 |
其他恶意行为 |
禁用安全软件、窃取加密货币、下发其他恶意程序、持久化 |
• Conti勒索组织被曝利用Pony进行大面积窃密攻击
2022年3月,一名乌克兰安全研究员公布了Conti勒索组织的大量内部资料,包括内部聊天记录、该组织的培训资料及内部使用的源码等。其中显示Conti勒索组织利用Pony窃取了大量包含gmail.com、mail.ru、yahoo.com等邮件服务商的凭据用于网络攻击活动。
Jester窃密木马家族存在时间相比其他窃密木马较短,其开发者自2021年7月20日起售卖Jester窃密木马,后续则陆续开发售卖了剪贴板劫持器、挖矿木马、僵尸网络等工具。
Jester窃密木马拥有多种基本窃密功能和混淆技术,攻击者主要通过网络钓鱼的方式对其进行传播。除了窃取通讯记录、FTP、浏览器数据等常见敏感内容外,Jester窃密木马还会捆绑剪贴板劫持器,通过劫持剪贴板的方式将感染系统中的加密钱包地址改为攻击者的加密钱包地址从而窃取加密货币。
经分析,2022年安天捕获到的Lilith僵尸网络与Jester窃密木马出于同一开发团伙[10][11],目前该团伙仍保持高度活跃,安天将持续关注其后续活动。
表9 Jester窃密木马基本信息概览
窃密木马家族 |
Jester |
编译语言 |
.NET |
首次发现时间 |
2021年 |
针对平台 |
Windows |
主要传播方式 |
网络钓鱼、软件捆绑 |
主要分析对抗技术 |
沙箱逃逸、载荷混淆、多层载荷嵌套 |
主要窃取目标 |
系统数据、FTP、浏览器、邮件客户端、即时通讯 |
其他恶意行为 |
窃取加密货币 |
• CERT-UA警告恶意垃圾邮件传播Jester窃密木马
2022年5月,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester的数据窃取程序。据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。
通过追踪窃密木马的常见攻击流程,发现目前攻击者采用钓鱼邮件、钓鱼网站、公共网站等多个传播方式入侵受害者主机,入侵成功后收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等)并将其回传给攻击者,给用户带来隐私泄露、经济损失等严重后果。
安天CERT将持续关注窃密木马的相关技术变化和特点,及时分享最新的分析成果并提出解决方案。安天智甲终端防御系统(IEP)不仅具备病毒查杀、主动防御等功能,而且提供终端管控、网络管控等能力,能够有效防御此类威胁攻击,保障用户数据安全。