一 概述 近期,兰云科技银河实验室近期通过“兰眼下一代威胁检测系统”发现逃逸沙箱的Stealer木马,木马采用C#编写,传播时可以绕开绝大多数沙箱的行为检测,危害极大。该木马可以窃取浏览器、FTP、VPN、通讯软件的数据。 二 分析 1、基本信息
2、基本流程
1.样本可能通过钓鱼邮件或其他方式启动。
2.检测自身是否多开、当前运行环境是否为沙箱、自身是否第一次运行。
3.窃取数据并截屏。
4.通过Tor发送数据给攻击者。
5.最后调用cmd删除自身。
流程图:
收集的用户数据:
3、关键行为
3.1、运行环境初始化及检测
首先检测运行环境,共有4种条件,如果满足其中一个,样本停止运行。
第一种创建互斥体确定是否是多开。
第二种解密得到Guid,并且拼接到注册表路径,创建子键并检查state键值,检测当前是否是第一次运行。
第三种检测连接器数量,用于检测沙箱。
第四种查看是否有SbieDll.dll模块,如果存在,证明是在沙箱环境中。
3.2、窃取浏览器信息及截图
此处发现array中存储的是一个压缩包。
回溯代码,发现收集信息操作:
1.截屏
2.Chrome
3.Firefox
4.FTP相关软件
5.VPN相关软件
6.通讯类软件
把数据保存之后查看,发现内容相等,以下为取证临时下载的软件。
3.3、加密数据通过Tor发送给攻击者
加密收集到的数据
下载Tor并解压启动
发送数据给攻击者
3.4、自删除
通过调用cmd删除自身。
三
总结
此木马运行之后难以发现,对客户主机中各类信息进行窃取,并会检测环境进行逃逸,用户的隐私安全也受到了极大的挑战,建议提前部署具备高级威胁检测能力的安全产品进行及时监控、防范。
- End -
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
