欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Vidar窃密木马分析(上)

来源:本站整理 作者:佚名 时间:2019-01-26 TAG: 我要投稿

前言
有时,当你对海量的恶意软件检测结果进行分析时,你可能并不希望一些看似无关痛痒的小细节会对最终的判定造成影响。
前不久,我因为将遇到的恶意软件误认为 Arkei(一款功能强大的窃密木马)而付出了代价。根据当时我设置的Yara规则,显示匹配到的是 Arkei,但是经过逆向分析之后,我发现遇到的这个恶意软件并非Arkei。一些与Arkei特征相关的字符串都被删除了,取而代之的是“Vidar”。经过深度分析后,我发现 它是由Arkei优化改进得到的,除了一些细节之外,其他部分和Arkei区别不大。
这款恶意软件使用C++编写,似乎在2018年10月初就已经开始活动,它具有窃取木马的所有典型功能:
搜索特定文档
从浏览器窃取cookie
窃取浏览器历史记录(包括tor浏览器)
窃取数字货币钱包
从带有2FA(双因素认证)的软件窃取数据
从消息应用中窃取数据
屏幕截图
安装Loader
Telegram通知(服务器端)
获取受害者计算机信息快照
在黑市/论坛中,这款窃密木马以250-700美元的价格进行出售。购买后,可以通过访问C2域名来生成专属的payload,所以没有统一管理端。除此之外,C2域名每4天就会进行更新。
在本文中,我将对4.1版本的Vidar进行深入分析,并介绍其管理面板,说明它和Arkei的差异。
 
定向投递
首先,如果受害者机器使用GetUserDefaultLocaleName来配置语言,我们可以使用很经典的方式(改变系统语言)来中止恶意软件。这也是检查恶意软件是否不会对一些特定的国家/地区进行感染最简单的办法之一。

正如MSDN所声明的,“local”中以集合的方式展示用户的语言偏好。窃密软件将检查被入侵主机的是否设置为以下语言:

谷歌一下,我们就能知道这是哪些哪些国家/地区的简称:

LCID Structure – https://msdn.microsoft.com/en-us/library/cc233968.aspxLanguage Code Table – http://www.lingoes.net/en/translator/langcode.htmLocaleName – https://docs.microsoft.com/fr-fr/windows/desktop/Intl/locale-namesLocale – https://docs.microsoft.com/fr-fr/windows/desktop/Intl/locales-and-languages
 
互斥体
对于每个受害者,Vidar将生成唯一的特征字符串。它的形成很简单,就是由2个字符串拼接后得到的。
硬件配置IDGetCurrentHwProfileA用于检索具有szHwProfileGuid值的计算机的当前硬件配置信息。如果执行失败,它将返回“Unknown”。

计算机GUID通过RegOpenKeyExA,可以在注册表中获取该值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMachineGuidWindows在安装操作系统时会生成UUID。

以上操作完成后,将生成互斥体,如下图所示:

 
字符串设置
当Vidar执行main函数时,会先驻存一些必要的字符串,以便后续步骤的正常进行。

当所有字符串的RVA(相对虚拟地址)都存储在.data中后,恶意软件将访问被请求的字符串。

这种做法会给静态分析带来一些难度,但影响不大。
 
C2域名&Profile ID
当builder在受害主机生成恶意软件时,随之会硬编码一个唯一ID。在恶意域名上输入该ID,将检索出攻击者想要从受害者计算机上窃取到的指定配置信息。
如下图,展示的是Profile ID为“178”的感染计算机,如果恶意软件没有进行配置,那么其Profile ID默认为“1”。

C2域名只是简单的进行了异或操作。只需要使用异或函数就可以解密出原始数据。

解密可以得到C2域名为“newagenias.com”。

可以使用我GItHub仓库中的脚本izanami.py来完成配置信息的提取。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载