趋势科技的分析工作人员近期看到了一个新产生的进攻主题活动,该活动会散播了一个Credential Stealer程序流程,其关键编码部件是用AutoHotkey(AHK)撰写的。
网络攻击一直在找寻一种方式 来在受害者电子计算机上执行文档并防止不被检验到。最经常使用的一种方式是涉及到应用脚本语言,该脚本语言在受害者的系统软件中沒有内嵌编译程序,而且沒有其编译程序或解释程序就没法执行。 Python,AutoIT和AutoHotkey(AHK)是该类脚本语言的一些实例。尤其是,AHK是Windows的一种开源系统脚本语言,致力于给予简便的快捷键或热键、迅速的微建立和程序流程自动化技术,AHK还容许客户采用其编码建立“compiled” .EXE。
在12月中下旬,科学研究工作人员发觉了一个散播Credential Stealer的主题活动。科学研究工作人员还认识到,该行动的关键编码一部分是应用AHK撰写的。根据追踪主题活动的构成部分,科学研究工作人员发觉其主题活动起源于2020年初。木马程序感柒包含好几个环节,这种环节从故意Excel文档逐渐。相反,此文件包含AHK脚本制作编译程序可执行文档,故意的AHK脚本文件和Visual Basic for Applications(VBA)AutoOpen宏。详细的攻击链如下图1所显示。科学研究员工的遥测技术追踪了木马程序的指令和操纵(C&C)网络服务器,并确认这种网络服务器来源于英国、西班牙和德国。科学研究工作人员还认识到,该木马程序一直将进攻总体目标对于英国和澳大利亚的金融企业。
删掉的adb.exe和adb.ahk在这里感柒中发挥了主导作用,adb.exe是正规的生命期AHK脚本制作编译程序,其工作任务是在给出途径下编译程序和执行AHK脚本制作。默认设置状况下(没有主要参数),此可执行文档在同一文件目录中执行具备同样名字的脚本制作。被移除的AHK脚本制作是一个烧录手机客户端,承担完成持续性,剖析受害者,免费下载和执行受害者系统软件上的AHK脚本制作。
为了更好地维持持续性,烧录手机客户端会在启动文件夹中为adb.exe建立一个自启动连接,该生命期编译程序用以编译程序和执行AHK脚本制作。默认设置状况下(没有一切传送主要参数),此可执行文档在同一文件目录(本例中为adb.ahk)中执行具备同样名字的AHK脚本制作。
该脚本根据基于C控制器的卷系列号为每一个受害者转化成唯一的ID来对每一个客户开展配备。随后,该木马程序将历经不断循环,并逐渐每五秒左右推送一次含有转化成ID的HTTP GET要求。此ID作为其指令和操纵(C&C)网络服务器的要求途径,以在受传染的系統上查找和执行AHK脚本制作。
为了更好地执行指令,该木马程序接纳每一个受害者不一样工作的各种各样AHK脚本制作,并采用同样的C&C URL执行这种脚本制作,而不是在一个文档中完成全部控制模块并接纳执行指令的命令。根据这种做,网络攻击可以决策提交特殊脚本制作以完成对于每一个客户或用户组的定制每日任务。这还可以避免关键部件被公布,尤其是向别的科研工作人员或沙盒游戏公布。事实上,虽然科学研究工作人员注意到这类进攻早在2020年初就开始了,但沙盒仍未发觉一切指令。这说明,进攻要不挑选什么时候将指令具体发送至受传染的受害者电子计算机,要不C&C网络服务器的迅速转变使其无法追踪。到现在为止,科学研究工作人员发觉了五台C&C网络服务器和仅2个指令:deletecookies 和passwords。
木马程序的攻击链
在免费下载的下载安装部件中,科学研究工作人员观查到一个用AHK撰写的Credential Stealer。该脚本制作承担从各种各样电脑浏览器中搜集凭证并将其泄露给网络攻击。特别注意的是,这类Credential Stealer的一个组合以指定的网址为总体目标。主要包括澳大利亚的关键金融机构,如下图2所显示。
澳大利亚金融机构的客户资料被泄露
一个有意思的层面是,AHK给予了脚本制作,在其中包括德语的使用说明书。这说明攻击链的建立身后是一个“hack-for-hire”机构。下边几组将叙述图1中所显示的攻击链的详细资料。
故意部件剖析
假如客户启用宏来开启Excel文档,则VBA AutoOpen宏将删掉并根据生命期的AHK脚本制作编译程序执行AHK烧录手机客户端脚本制作。
Excel文档中的VBA烧录
默认设置状况下,已删除的生命期AHK脚本制作编译程序adb.exe在同一文件目录中以同样名字执行AHK脚本制作。在这样的情况下,adb.exe自动识别并执行adb.ahk脚本制作。
AHK烧录脚本制作
如前所述,adb.ahk是一个烧录手机客户端,它承担持续性,对受害者开展功能剖析及其每五秒左右持续在受害者系统软件中免费下载和执行AHK脚本制作。该木马程序向其C&C服务器发送HTTP GET要求,便于在受传染的计算机系统中免费下载并执行AHK脚本制作。
AHK烧录推送的HTTP GET要求
网络服务器的回应将保留到名叫adb.exe〜的资料中,adb.exe〜是AHK纯文字脚本制作,它并不是可执行文档。图5中的HTTP GET要求途径是受害者的唯一ID,其文件格式如下所示:
关键的是要留意,在别的一些组合中,“-xl2”被更换为“-pro”。在adb.ahk执行免费下载的AHK脚本制作以前,它最先查验文档的结尾是不是存有特殊标识符(“〜”)。假如寻找该标识符,则再次执行。
除此之外,该木马程序还会继续在启动文件夹中构建一个自启动连接,该链接偏向名叫“GraphicsPerfSvc.lnk”的adb.exe AHK脚本制作编译程序。如前所述,默认设置状况下,编译程序执行具备同样名字和文件目录的AHK脚本制作。
Credential Stealer的最终一行
剖析Credential Stealer
烧录下载安装的一个脚本制作是电脑浏览器凭证盗取程序流程,在下列一部分中,科学研究工作人员将科学研究此故意脚本制作的完成、函数公式和通信网络。
一旦取得成功执行,该恶意程序根据HTTP POST要求向C&C服务器发送情况日志 (“passwords: load”):
木马程序推送的情况日志
与adb.ahk一样,此脚本制作还会继续依据C控制器的卷系列号为其受害者转化成唯一的ID。随后,将产生的唯一受害者ID用以追踪感柒,而且针对每一个受害者持续保持同样。
随后,Credential Stealer试着在被害电子计算机上免费下载“sqlite3.dll”。该木马程序应用此DLL对电脑浏览器的应用软件文件中的SQLite数据库查询执行SQL查看。
Credential Stealer下载sqlite3.dll并推送执行情况
从以上的字符串常量中,科学研究工作人员可以见到恶意程序再度查找了C控制器的卷系列号,并检索了2个硬编码的系列号605109072和605109072。这两个序列号已用以调节目地,撤出的时候会脚本制作在信息框中表明SendLog()函数主要参数。特别注意的是,此调节技术性也已在这里脚本制作的各种各样函数中见到。
特别注意的是,恶意程序创作者应用下列开源代码根据AHK解决SQLite数据库查询。
AHK的开源系统SQLite类
该恶意程序的具体目标是以各种各样电脑浏览器(例如Microsoft Edge,Google Chrome,Opera,Firefox和Internet Explorer(IE))中盗取凭证。为了更好地完成此每日任务,恶意程序应用下列函数:
Credential Stealer函数
下面的图演试了以上函数的实施全过程:
与Chrome,Edge和Opera电脑浏览器有关的函数简述
Firefox盗取程序流程函数简述
IE盗取程序流程函数简述
该恶意程序会鉴别被害电子计算机中安裝的电脑浏览器并根据SendLog()函数将其发现报告给其C&C网络服务器。假如未安裝总体目标电脑浏览器,则该恶意程序会将其标注为“not_found”:
可以看得出,恶意程序将“Opera_not_found”发送至C&C网络服务器,因为它沒有在已安裝的网页中寻找Opera。
另一方面,假如总体目标电脑浏览器在被害电子计算机中,则恶意程序将其标注为“ _ok”,如下图所示:
因为Chrome是已安裝的网页之一,因而恶意程序会将“Chrome_ok”发送至C&C网络服务器。
下列字符串常量演试了恶意程序怎样检索Chrome,Edge和Opera的登陆数据信息。
恶意程序会寻找已安裝的电脑浏览器
针对Internet Explorer登陆密码盗取程序流程,开发人员从开源系统IE登陆密码信息内容盗取程序流程中使用了一些编码,并将其变换为AHK。
IE盗取程序流程
数据信息漏水
最后,该恶意程序根据HTTP POST要求从受害人电子计算机上已安裝的网页中采集到的凭证发给攻击者。特别注意的是,针对每一个电脑浏览器,恶意程序都是会试着破译凭证并将其阿依莲文字的方式发送至C&C。
凭据泄露的实例
凭据泄露
有关这一运动的另一件有趣的事情是,免费下载的部件在编码等级上机构得很好。这种免费下载的部件也是有关键函数和自变量的注解文件格式的使用说明书。因而,此个人行为很有可能说明,此编码不但供其开发人员应用,还能够别人做为服务项目或单独目标应用。
汇总
恶意程序的传染包含以故意Excel文档逐渐的好几个环节,假如客户使用了宏以开启Excel文档,则VBA AutoOpen宏将删掉并进行法律认可的生命期AHK脚本制作编译程序实行烧录手机客户端脚本制作。烧录手机客户端承担完成持续性,剖析受害者及其在受害者系统软件中免费下载并实行AHK脚本制作。该恶意程序沒有从C&C网络服务器接受指令,反而是免费下载并实行AHK脚本制作来实行不一样的每日任务。免费下载的脚本制作是对于各种各样电脑浏览器(例如Google Chrome,Opera,Edge等)的Credential Stealer。Credential Stealer从浏览器搜集和破译凭证,随后根据HTTP POST要求将信息内容泄露到攻击者的网络服务器。
实际上,根据在受害人的系统软件中应用一种欠缺内嵌编译程序的开发语言,载入故意部件以各自进行多种每日任务及其经常变更C&C网络服务器,攻击者早已可以从沙盒游戏中掩藏其用意。
IOCs
文中翻譯自:
https://www.trendmicro.com/en_us/research/20/l/stealth-credential-stealer-targets-us-canadian-bank-customers.html