前言

筆者在某國外開源樣本沙箱平臺閑逛的時候，發(fā)現(xiàn)了一個有趣的樣本，該樣本偽裝成安全研究人員經(jīng)常使用的某個滲透測試工具的破解版壓縮包，對安全研究人員進行竊密與勒索雙重攻擊，這種雙重攻擊的方式也是勒索病毒黑客組織常用的勒索攻擊模式之一。

Lazarus APT組織就曾發(fā)起過多次針對安全研究人員的定向攻擊活動，通過捆綁IDA、dnSpy等安全研究人員常用的工具安裝木馬后門，竊取安全研究人員電腦上的重要數(shù)據(jù)，所以安全研究人員平時在各種各樣的網(wǎng)站、論壇、或者公私有的聊天群里下載陌生人分享的各種安全工具、學習資料、源代碼工程等，都需要提高安全意識，多留一個心眼，有可能下載的這些東西就被捆綁了病毒木馬，一不小心就會被竊密勒索，大家的研究成果可能就會受到損失，如果有發(fā)現(xiàn)什么可疑的樣本，可以打包發(fā)給筆者。

分析

1.攻擊者利用偽裝成SQL注入工具破解版壓縮包文件進行傳播，樣本解壓之后，如下所示：

2.CRACKER EXECUTE FIRST.exe程序其實是StormKitty竊密程序，如下所示：

StormKitty竊密程序，是一款使用C#語言編寫的竊密程序，可以獲取操作系統(tǒng)剪切版相關(guān)數(shù)據(jù)，進行鍵盤記錄，竊密系統(tǒng)中的各種敏感數(shù)據(jù)信息等，該惡意軟件具有反虛擬機、反沙箱、反分析、反調(diào)試等功能，如下所示：

竊密程序會判斷Telegram通信Token信息，如果獲取到Token有效則安裝竊密程序到系統(tǒng)，如果獲取Token失敗，則進行自刪除操作，如下所示：

自刪除操作，如下所示：

請求的URL鏈接：

https://api.telegram.org/bot5164472041:AAHwEusPzWifxsmadoFOsQ-P1iPCki9rGus/getMe，返回值如下所示：

返回成功之后，安裝竊密木馬，安裝成功之后進行各種數(shù)據(jù)竊取操作，如下所示：

竊取的數(shù)據(jù)包含：系統(tǒng)版本、進程、CPU、GPU、RAM等系統(tǒng)信息、COOKIE數(shù)據(jù)、歷史記錄信息、Chromium、Firefox、IE、Edge等瀏覽器密碼數(shù)據(jù)信息、ProtonVPN、OpenVPN、NordVPN等VPN客戶端數(shù)據(jù)、加密貨幣虛擬錢包數(shù)據(jù)、USB設(shè)備數(shù)據(jù)、鍵盤記錄數(shù)據(jù)、剪切版數(shù)據(jù)、屏幕截圖以及攝像頭訪問權(quán)限等，將竊密的系統(tǒng)信息以及獲取到的數(shù)據(jù)壓縮加密保存在指定目錄下，然后通過Telegram發(fā)送到黑客服務(wù)器上，竊密的數(shù)據(jù)信息顯示為Prynt Stealer竊密信息，如下所示：

Prynt Stealer竊密軟件是一款新型的信息竊取惡意軟件家族，此前在地下黑客論壇公開出售，每個月僅售100美元，可以針對 30 多種基于 Chromium 的瀏覽器、5 多種基于 Firefox 的瀏覽器以及一系列 VPN、FTP、消息傳遞和游戲應(yīng)用程序進行信息竊取，功能非常強大。

3.SQL Injector Cracked By @mustleak.exe程序其實是Magnus勒索病毒，如下所示：

判斷操作系統(tǒng)版本，如果是以下兩個國家的操作系統(tǒng)語言版本，則不進行加密操作，如下所示：

判斷進程是否為管理者權(quán)限，如果為管理者權(quán)限，則刪除系統(tǒng)磁盤卷影、備份、禁用系統(tǒng)任務(wù)管理器，關(guān)閉相關(guān)系統(tǒng)服務(wù)等，如下所示：

遍歷系統(tǒng)文件目錄，進行文件加密操作，如下所示：

對包含如下字符串的系統(tǒng)目錄文件不進行加密，字符串列表：

"Program Files",

"Program Files (x86)",

"Windows",

"$Recycle.Bin",

"MSOCache",

"Documents and Settings",

"Intel",

"PerfLogs",

"Windows.old",

"AMD",

"NVIDIA",

"ProgramData"

對包含如下字符串的文件名的文件，不進行加密，字符串列表：

"appdata\\local",

"appdata\\locallow",

"users\\all users",

"\\ProgramData",

"boot.ini",

"bootfont.bin",

"boot.ini",

"iconcache.db",

"ntuser.dat",

"ntuser.dat.log",

"ntuser.ini",

"thumbs.db",

"autorun.inf",

"bootsect.bak",

"bootmgfw.efi",

"desktop.ini"

加密文件算法采用AES加密算法，加密密鑰為硬編碼RSA密鑰信息，如下所示：

加密后的文件后綴名為隨機文件名，如下所示：

生成的勒索提示信息文件名READMEEEEEE!!!!.txt，內(nèi)容如下所示：

黑客的BTC錢包地址：bc1qrx0frdqdur0lllc6ezmv45hchdrg72ns7m6jmy，同時桌面背景被修改成如下所示：

黑客組織偽裝成SQL注入工具破解版壓縮包程序，傳播StormKitty竊密程序和Magnus勒索病毒進行竊密和勒索雙重攻擊，從網(wǎng)站下載各種破解版的軟件的時候，一定要多留意一下。

總結(jié)

安全意識很重要，現(xiàn)在各種釣魚攻擊層出不窮、花樣百出，惡意軟件也是無處不在，一些黑客組織每天都在尋找著新的目標進行定向竊密攻擊，拿到這些目標的重要數(shù)據(jù)之后，再進行后續(xù)其他惡意攻擊活動，所以大家下載軟件的時候，一定要到正規(guī)的官方指定網(wǎng)站進行下載，同時需要檢測官方的數(shù)據(jù)簽名是否完整有效，現(xiàn)在各種新型的惡意軟件不斷涌現(xiàn)，黑客組織也在不斷更新開發(fā)自己武器庫的攻擊程序，大家在接受別人發(fā)的程序，文檔數(shù)據(jù)的時候，一定要多加一層防范意識，可能這些程序、文檔數(shù)據(jù)就被捆綁了惡意軟件，當你打開這些程序或文檔之后，可能你的電腦就會被黑客勒索、數(shù)據(jù)被黑客竊取，更有可能造成后面更大的損失。

筆者一直從事與惡意軟件研究相關(guān)的工作，包含挖礦、勒索、遠控后門、僵尸網(wǎng)絡(luò)、加載器、APT攻擊樣本、CS木馬、Rootkit后門木馬等，這些惡意軟件家族涉及到多種不同的平臺(Windows/Linux/Mac/Android/iOS)，各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發(fā)給筆者，感謝給筆者提供樣本的朋友們！

做安全，不忘初心，與時俱進，方得始終！