欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

瞄准Chrome凭据的新威胁已现身

来源:本站整理 作者:佚名 时间:2019-08-30 TAG: 我要投稿

CyberArk最近捕获了一个有趣的恶意软件样本。它与常规的盗窃凭证恶意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。
该恶意样本没有被混淆,但却能够逃避大多数反病毒软件(AV)的检测,这是由于它所使用的一种不常见的逃避技术。
隐藏在资源里——Dropper分析

图1.Dropper的VirusTotal评分
在我们开始之前,让我们先讨论一下负责程序植入和执行payload来收集凭据的dropper。当我们发现这个恶意软件时,VirusTotal (VT)的得分只有11/71(图1),现在它的得分是33/71,仍然较低。
事实上,这个dropper真的很基础。它首先在当前路径中创建一个\ temp文件夹作为dropper的父文件夹,在此文件夹中再创建一个名为“death.bat”的批处理脚本,目的是后续将\ temp删除。之后dropper将其他六个文件放入此文件夹中(图2),这六个文件分别是五个DLL文件和一个二进制文件“virus.exe”。从文件名中我们可以看出,此二进制文件似乎需要使用cURL库(和libcurl)。而使用cURL的恶意软件类型并不多,这点是值得注意的。

图2.文件植入
文件夹的总大小约为6MB,并且没有发生下载行为,这与dropper的文件大小是非常相似的。实际上,文件夹中的所有文件都保存在文件资源中(图3)。此恶意软件没有加密,也没有被混淆,显示的文件名都是很直白的。

图3 BrowserHax显示的二进制资源
dropper和潜在payload的执行流程
创建并填充文件夹后,恶意软件运行主二进制文件“virus.exe”(图4),等待五秒钟后执行删除恶意软件所有痕迹的批处理脚本。

图4 BrowserHax的流程
接下来恶意软件弹出带有错误消息的对话框(图5)。在IDA中可以很明显看出,此对话框的目标只是欺骗用户,旨在让用户认为执行中存在错误,单实际上这是程序的正确流程。(图4)。

图5.提示错误
以隐私为目标——payload分析
该恶意软件目前在VT上的检测率为零(图6)。

图6 .Virus.exe的VT分数
Chrome是当今世界上最常见的浏览器。它不仅可以存储您的所有密码,还可以存储您的信用卡数据。此外,没有管理员权限的普通用户也可以访问Chrome凭据文件。这意味着恶意软件不需要任何提权机制即可访问Chrome凭据。
此恶意软件遵循流程如下:它首先收集计算机的相关信息;然后检查cURL库是否已成功加载;再获取当前会话的用户名,然后阅读Chrome文件并获取密码。
Google Chrome的凭据存储在名为Login Data(无扩展名)的SQLite DB文件中,该文件通常位于以下文件夹中:
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\
当Google Chrome运行时,它会锁定DB文件,以便在此过程的运行时间内无人可访问。为了解决这个问题,恶意软件会首先杀死所有的chrome进程(图7)。

图7.关闭Chrome进程
在杀死Chrome进程之后,打开DB文件并执行SQL查询来读取其中保存的密钥。通过下图所示的SQLite查询能看出(图8),恶意软件目标是logins表,其中包含origin_url、用户名和密码等字段;之后它将所有数据保存到堆中分配的结构中。

图8.从Chrome DB获取URL、用户名和密码
获得后,它只需通过cURL(图9)将数据发送到自己的Google Form。
这里解释下什么是cURL以及攻击者为什么要使用它。
 

图9运行中的cURL命令
cURL代表客户端URL。cURL是一个非常简单和强大的命令行工具,使用URL语法进行数据传输。它支持许多协议,包括HTTP和HTTPS。cURL也是交叉平台,使用起来非常简单。cURL的作者还提供了一个C语言库,其中包含将其集成到任何应用程序所需的功能,而不需要在被攻击的一方上获得额外的资源。此外,使用cURL的恶意软件类型的数量非常少,因此对攻击者来说,cURL就成了一个很好的工具,还能避免触发AV检测。

图10. curl_easy_setopt方法中的cURL对象初始化和函数指针定义
Google Form一探究竟
Google Forms是一个著名的基于web的免费应用程序,经常被公司和学生用作调查工具,收集数据并将其存储在电子表格中。它还提供用户友好的Web界面。除了Google Forms提供的网络界面外,还可以通过cURL提交表单。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载