Magecart第五小组开始使用KPOT展开窃密运动 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Magecart第五小组开始使用KPOT展开窃密运动

申博_新闻事件 申博 39次浏览 已收录 0个评论

剖析僵尸网络使用的多种持久化方法:MyKings新变种分析

概述 5月,在亚太地区一家科技公司的可管理的检测与响应(Managed Detection and Response,MDR)服务中,我们发现了与永恒之蓝(EternalBlue)相关的可疑活动,发现了一个经常被用于进行WannaCry攻击的漏洞利用工具。在发现之后,我们向该公司发出了关于潜在威胁的警报。 几天之后,我们从该公司的一台主机上发现了与下述URL通信的流量,最终确认为恶意URL: · hxxp://js[.]my

1 概述

2019年8月,安天CERT监测到了多起运用KPOT木马举行窃密的事宜。安天CERT剖断这些窃密事宜是由Magecart第五小组提议的,进击者运用KPOT盗取用户加密钱银钱包信息、运用账户信息以及浏览器cookies等多种信息。进击者主要运用了垃圾邮件以及RIG和Fallout破绽运用东西包来流传木马。

Magecart是一个以猎取经济利益为主要目标的盗取付出信息的组织鸠合,依据公然谍报形貌,Magecart至少有12个差别的小组,这些小组具有差别的运作体式格局、手艺设置,成员程度也良莠不齐。

Magecart的第五小组最早涌现于2016年,主要运用供应链举行进击。进击者将窃密剧本注入到第三方效劳提供商的组件库中,在线零售商在运用第三方效劳提供商的效劳时,能够会加载进击者注入的窃密剧本。当用户举行在线付出时,窃密剧本运转并尝试盗取用户的付出信息。在本次发明的窃密事宜中,Magecart第五小组的进击行动和目标都发生了转变,舍弃了以往运用的专用窃密剧本而改用KPOT木马,盗取了更多的用户信息。

经考证,安天智甲终端防备体系可完成对KPOT木马的有用防备。

2 KPOT木马的流传体式格局

2.1 运用垃圾邮件流传KPOT

进击者经由历程购置现成的邮件地点库、依据自定义划定规矩自动天生邮件地点、从网络上网络邮件地点等要领猎取到大批邮件地点,发送大批带有歹意附件的垃圾邮件。

进击者将KPOT木马制作成压缩包添加在邮件附件中,运用PowerPoint等一般软件的图标作为KPOT木马的图标,将KPOT木马假装成PPT等一般文件,若用户未设置“显示文件后缀名”,则不能发明该文件实为EXE文件,当用户双击翻开该假装PPT时,就会运转KPOT木马,被盗取种种信息。

进击者组织破绽运用文档,将该文档添加在邮件附件中,在邮件正文中誊写诱惑性笔墨,诱运用户翻开附件中的文档。当用户翻开文档时,便会触发破绽运用代码,下载KPOT并实行,致运用户多种信息被盗取。

2.2运用RIG和Fallout破绽运用东西包流传KPOT

进击者进击某网站并在网页中嵌入网页重定向代码,用户接见被攻下的网站后,经由屡次重定向,取得破绽运用东西的着陆页(指导页),触发破绽运用代码,从效劳器下载KPOT木马到用户主机上并运转该木马,盗取用户多种信息。

2.3能够运用垂纶网站流传KPOT

进击者为一款名为G-Cleaner的Windows垃圾清算东西构建了官网。G-Cleaner是一个假装成Windows垃圾清算东西的Azorult木马。当用户在搜刮引擎上搜刮清算东西时,有能够搜刮G-Cleaner并下载该东西,在举行垃圾清算时运转该木马,致使信息被盗取。

虽然现在还未涌现运用垂纶网站流传KPOT的事宜,然则从近期涌现的构建子虚G-Cleaner官网和BleachBit官网流传Azorult木马的事宜来看,运用这类要领流传KPOT是极有能够发生的。【1】

3 KPOT域名与Magecart第五小组联络亲昵

剖析职员经由历程KPOT木马的回传数据所运用的域名关联到了多个公然的Magecart第五小组域名,如下图所示。在关联历程当中发明的剧本文件init.js,经对照也与Magecart第五小组运用的窃密剧本一致。

关联到的剧本的构造与Magecart第五小组运用的窃密剧本构造一致。剧本的功用是为页面中所有的表单和可单击元素设置监听器,确保用户提交付出信息之前能够挪用CLK函数,从表单和输入字段中提取付出信息,提取信息胜利后,运用Base64算法将信息举行编码,经由历程HTTP POST体式格局将付出信息、主机名和用户ID发送到C2效劳器。功用也与Magecart第五小组的一致。

4 Magecart——多个盗取付出信息的组织鸠合

Magecart是一个以猎取经济利益为主要目标的盗取付出信息的组织鸠合,依据公然谍报形貌,Magecart至少有12个差别的小组,这些小组具有差别的运作体式格局、手艺设置,成员程度也良莠不齐。【2】组织信息如下表所示(暂无第十小组的相干信息)。

Magecart第五小组开始使用KPOT展开窃密运动

 

5 KPOT木马剖析

5.1 KPOT运转流程

KPOT运转后会从C2效劳器猎取控制指令,依据控制指令盗取指定信息,将信息加密后回传到C2效劳器。KPOT会猎取体系言语版本并推断当前言语所对应的国度是不是为“独立国度联合体”成员国(详见5.5小节),如果则不举行窃密操纵。

5.2 隐匿反病毒顺序检测

5.2.1 在内存中开释两段shellcode隐匿检测

直击云栖大会|阿里云平安肖力:云原生平安修建下一代企业平安架构

“数字经济的发展驱动越来越多的企业上云,每个企业都会基于云原生安全能力构筑下一代企业安全架构,完成从扁平到立体式架构的进化,届时云原生安全技术红利也将加速释放!”9月27日,阿里云智能安全事业部总经理肖力在2019杭州云栖大会·云安全峰会上指出。 肖力强调,云原生安全技术会默认植入在下一代企业安全架构的每个模块,从而升级整体安全水位。 阿里云

样本运转后会经由历程两段shellcode来实行窃密顺序。

Magecart第五小组开始使用KPOT展开窃密运动

图 5-2 经由历程两段shellcode实行窃密顺序

5.2.2 异或加密字符串

样本为了隐匿反病毒顺序检测,将主要字符串举行了异或加密,每一个字符串对应差别的密钥。

5.3 建立互斥量,保证只要一个实例运转

窃密顺序会依据磁盘序列号天生互斥量称号,并建立互斥量,若建立失利,则退出顺序。

5.4 衔接C2猎取控制指令

5.4.1 控制指令解密算法

样本会衔接C2效劳器猎取控制指令,经由历程Base64解码和XOR解密后获得控制指令。

5.4.2 控制指令花样和功用

因为C2效劳器已失活,不能获得详细的控制指令,然则KPOT是一个在地下论坛中公然售卖的信息盗取歹意软件,因而能够经由历程其他事宜中所暴露的控制指令花样来剖析本样本功用。

1111111111111110__DELIMM__IP地点

__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

控制指令之间经由历程“__DELIMM__”举行支解。【3】上述代码中共包括了4组信息。

表 5-5 控制指令花样举例码

Magecart第五小组开始使用KPOT展开窃密运动

GRABBER划定规矩指定要搜刮和盗取的文件。

表 5-6 GRABBER划定规矩申明

Magecart第五小组开始使用KPOT展开窃密运动

第一组数据是一个16字节大小的字符串,“1111111111111110”,每一个字节都对应一个功用的开启和封闭,1代表开启,0代表封闭。

1.盗取账户和浏览器cookies信息

除了控制指令中声明的信息外,该样本还会盗取Microsoft Outlook账户信息、VPN账户信息以及从“default.rdp”文件中猎取rdp设置信息。

2.第二组数据是C2效劳器的IP地点。

3.GRABBER划定规矩:[‘appdata’, ‘*.log,*.txt,’, ‘%appdata%’, ‘0’, ‘1024’]

在“C:\Users\用户名\AppData\Roaming\”文件夹中搜刮文件大小在0到1024字节之间,后缀名为“.log”和“.txt”的文件,盗取软件的日记信息。

4.GRABBER划定规矩:[‘desktop_txt’, ‘*.txt,’, ‘%userprofile%’, ‘0’, ‘150’]

在“C:\Users\用户名\”文件夹中搜刮文件大小在0到150字节之间,后缀名为“.txt”的文件。用户能够会将一些账户口令信息保存在该目录下,进击者能够经由历程在这些目录下搜刮txt文件盗取账户口令信息。

5.5 网络体系信息回传到C2效劳器

样本会网络体系信息,并以HTTP POST体式格局回传到C2效劳器。回传的数据经由了异或加密,加密密钥和控制指令的解密密钥雷同,都为“LfB9zNRyztyNDcgN”,但异或要领差别,控制指令异或要领详见表3-4,数据加密是直接运用该密钥举行异或。样本发送给效劳器的数据详见表2-9。这些数据以SYSINFORMATION或_CRED_DATA_FFFILEE为肇端分隔符,以_SYSINFORMATION_CRED_DATA_或_FFFILEE_为完毕分隔符。

表 5-8 回传到效劳器的数据

Magecart第五小组开始使用KPOT展开窃密运动

Magecart第五小组开始使用KPOT展开窃密运动

图 5-8 肇端分隔符和完毕分隔符

5.6 删除本身

1.若样本猎取控制指令失利,则退出顺序,删除本身。

2.控制指令中包括是不是删除本身的选项,若该选项设置为1,则删除本身。

6 总结

Magecart第五小组运用木马KPOT展开窃密运动,该木马一向都在地下论坛售卖,木马作者也一向延续举行更新。在之前的窃密运动中,Magecart第五小组一向在盗取付出信息,并未涌现盗取其他信息的行动,而且一向专用窃密剧本举行窃密操纵,但是在此次窃密运动中,Magecart第五小组不仅运用KPOT木马完成窃密运动,还盗取了用户多种范例的信息,进击情势和目标都发生了转变。

原文地点: https://www.4hou.com/info/news/20588.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Magecart第五小组开始使用KPOT展开窃密运动
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址