欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

异次元窃贼:使用AutoIt脚本进行键盘记录窃取的“新奇玩法”

来源:本站整理 作者:腾讯电脑管家 时间:2016-11-15 TAG: 我要投稿

 近日,哈勃分析系统捕获到一类木马,与通常的木马不同的是,新发现的这类木马在payload中大量使用了混淆的AutoIt脚本来实现各种恶意功能,包括混淆、虚拟机检测、傀儡进程内存替换、键盘记录等行为,同时实现了包括Win2000在内的多种操作系统,以及32位和64位在内的高度兼容。

以下是对此木马各阶段的详细分析。

阶段一:Downloader

木马的Downloader的形式最近已经屡见不鲜,依然是发送带宏的文档,引诱受害者启用宏。

使用混淆过的宏脚本,从固定的网址上下载exe并运行。

宏的内容本文中不详述。此外,通过域名信息进行搜索可以得知,此恶意域名伪装的是美国支付汇款网站Ria Money Transfer,并且曾经假冒该网站的名义发送过钓鱼邮件。注册此域名用的电子邮件和电话号码都是无效状态。

下载下来的exe会被命名为puttyx86.exe,同时使用iTunes软件相关的文件信息伪装自己。实际上,该exe文件是一个RAR自解压包。

阶段二:Extractor

查看上一阶段下载的RAR包,可以发现,其自解压部分代码进行了混淆,实际功能是利用解压出来的jps.exe去执行aul-fns。

其中jps.exe是一个AutoIt脚本解释器,并且带AutoIt签名,不会被安全软件报毒。而aul-fns是混淆过的autoit脚本。

可是,当使用jps.exe执行这个aul-nfs以后,系统直接蓝屏了。这又是怎么回事呢?

于是,尝试对压缩包中的AutoIt脚本进行解密和分析。接下来的AutoIt脚本都是经过解密后的结果。经分析,脚本运行的步骤如下:

首先,读取压缩包中的另一个文件ovq.ppt,该文件为一个经过混淆的配置文件,用于配置脚本的各种功能。

接下来,脚本检查当前路径是否在temp目录下,并且检查当前没有qsq目录窗口。因为之前的puttyx86.exe会自解压到qsq目录,木马作者以此逻辑防止分析人员自己去找到这个目录。如果不满足条件,脚本则会结束系统的所有进程,并且强制重启系统。

然后,脚本设置当前目录中的所有文件隐藏和只读,然后通过压缩包的另一个文件ovq.ppt的数据,解密出另一个AutoIt脚本,然后写到随机文件名的au3文件中去,最后拉起这个新的脚本。

阶段三:Keylogger

新的恶意脚本运行后,会将系统目录中\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe复制到\temp\RegSvcs.exe,然后读取原自解压包的另一个文件eck,并且将读取的数据附加到新复制的RegSvcs.exe文件的末尾,为傀儡进程做准备。

有了修改后的RegSvcs.exe文件之后,脚本会创建并挂起新进程,创建以后Unmap原有的内存并用自己的替换,以此完成傀儡进程替换。替换时,脚本使用了DllStructCreate,DllStructGetData、DllStructSetData、DllStructGetPtr等AutoIt自己提供的接口,脚本编写起来并不复杂。

内存替换之后,RegSvcs变成了一个脚本解释器,重新执行au3脚本。新的au3脚本逻辑稍有不同,会使用CallWindowProcW来执行一段shellcode。

这段shellcode的作用是记录键盘与窗口内容,然后发送到服务器。经搜索,此keylogger与知名的商业木马Limitless Keylogger比较类似,该木马目前作者已停止支持。追踪其上传时所用的C&C服务器域名,只能发现使用的是一个动态域名服务,未能继续深入下去。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载