解密新晋信息窃取木马Spymel

安全 黑客攻防
近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

木马简介

感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。

研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。

 

解密新晋信息窃取木马Spymel

图一 硬编码的URL的屏幕截图

分析过程

已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后,出现了新变种,该变种使用了SBO INVEST的另一个已撤销的证书。

解密新晋信息窃取木马Spymel

图二 Spymel使用的证书

Spymel的有效载荷散列值:

4E86F05B4F533DD216540A98591FFAC2

2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平台上以“svchost.exe”或“Startup32.1.exe”形式存在:

WinXP

%Application Data%\ProgramFiles(32.1)\svchost.exe

%User%\Start Menu\Programs\Startup\Startup32.1.exe

Win7

%AppData%\Roaming\ProgramFiles(32.1)\svchost.exe

%AppData%\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Startup32.1.exe

Spymel安装后会创建以下注册表,以保证其可以持续感染:

WinXP

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run @ Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run @ Sidebar(32.1)

Win7

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run Sidebar(32.1)

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run Sidebar(32.1)

Spymel的配置数据包括Command & Control服务器和File & Registry信息,这些信息都硬编码在可执行安装包中,如图三:

 

解密新晋信息窃取木马Spymel

图三 Spymel的配置数据

分析发现,该安装包中存在以下模块:

1、Keylogging模块

该模块将用户的键盘信息记录在日志文件中(位置:%Application Data%\ProgramFiles(32.1)\svchost.exe.tmp)。图四为该模块对应的类“kyl”:

解密新晋信息窃取木马Spymel

图四 Keylogging代码

2、ProtectMe模块

该模块防止中断用户终止恶意软件,它禁用了确认提示中的“OK”按钮。进而Taskkill命令不会如预期一样正常工作。图五为该模块对应的类“ProtectMe”:

 

解密新晋信息窃取木马Spymel

图五 ProtectMe代码

信息窃取

该恶意软件可以像Task Manager一样监控应用程序,它使用GetForegroundWindow() API获取活动窗口的句柄,并更改其功能。

Spymel使用1216端口连接远程域android.sh(213.136.92.111),一旦连接成功,它就开始发送活动进程窗口的信息。下表为Command & Control服务器发送给该恶意软件的命令:

解密新晋信息窃取木马Spymel

 

恶意软件发送的文件内容使用base64编码进行加密,图六为记录浏览器播放视频的代码:

 

解密新晋信息窃取木马Spymel

图六 记录浏览器播放视频的代码

总结

目前,使用数字证书伪装恶意软件成为一种通用方法,Spymel是其中一例。攻击者借助社会工程学向目标发送电子邮件,导致感染,进一步窃取敏感信息,Spymel便会监控用户行为并转发给攻击者。对于普通终端用户而言,慎点邮件中的链接是保护自己免受Spymel木马危害的最好方式,毕竟,它使用的链接是很好识别的。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2022-02-23 11:43:15

银行木马网络攻击恶意软件

2015-06-16 09:56:44

2015-05-07 10:38:58

2024-10-15 15:45:51

2011-02-14 09:53:51

2022-04-08 09:57:20

恶意软件黑客信息泄露

2015-04-02 11:27:33

2023-06-27 19:11:23

2016-08-05 18:53:25

CTO导师技术

2016-08-05 20:21:51

CTO导师技术

2022-03-02 10:53:32

木马恶意软件

2014-08-27 17:20:24

2020-07-17 11:29:17

黑客新冠疫苗恶意软件

2011-03-07 13:59:00

2020-12-14 09:50:37

黑客网络安全网络攻击

2011-08-04 15:20:52

2012-08-27 14:34:29

2010-05-14 12:04:02

2013-06-21 16:19:20

点赞
收藏

51CTO技术栈公众号