欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对最近热销的新型间谍软件Baldr的分析

来源:本站整理 作者:佚名 时间:2019-04-15 TAG: 我要投稿

Malwarebytes安全实验室观察到,在过去几个月的时间里,间谍软件无论是在活动频率上还是出新的数量上都有所增长。间谍软件不像银行木马那样,需要被动等待受害者登录银行网站,它们通常都是“即来即取”模式。也就是说,一旦成功感染目标,它们就能收集所需数据,并立即将其发送给攻击者。而由于间谍软件通常不会在本地留存(没有持久性机制),除非攻击时被发现,否则受害者很难知道他们的信息已经被盗走。
这类恶意软件在网络犯罪分子中很流行,使用程度比银行木马更广。间谍软件除了能捕获浏览器历史记录、存储的密码和cookie外,还会寻找可能有价值的文件。
我们将在本文中详述Baldr stealer,它于2019年1月首次出现在地下论坛,2月时被微软在野外发现。
Baldr的来源
Baldr很可能是三名威胁行为者共同合作的作品:第一位是Agressor,也被称为Agri_MAN,早在2011年就以销售黑客工具而闻名;第二位是Overdot,负责销售和推广的工作;而最后一位LordOdin则是负责开发。Baldr于今年1月首次亮相,很快就在俄罗斯最具人气的黑客论坛clearnet上收获了许多好评。

Overdot之前曾参与过Arkei stealer间谍软件(见下图)的攻击行动。而如今,在clearnet的多处留言板上都可以看见他发的关于Baldr的广告。Overdot通过Jabber为客户提供服务,并负责处理买家的投诉。

论坛的某一篇帖子中提及到了Overdot之前与Arkei背后的威胁团伙的合作过程,并声称Baldr和Arkei的开发人员也有些许关联。
与发布在clearnet展示板上的大多数产品不同,Baldr以可靠性而出名,并且它还提供了良好的售后服务。

LordOdin,也被称作BaldrOdin,相对低调得多,但会跟踪与Baldr有关的帖子。

他会在跟帖中阐述Baldr与Azorult等对手产品的区别,并承诺Baldr绝不仅仅是Arkei的一个复制品:

Agressor/Agri_MAN是最后一位出现的参与者:


Agri_MAN在俄罗斯黑客论坛上销售工具的历史大约可以追溯到2011年。与LordOdin和Overdot相比,他的名声似乎并不好,曾被列入过退款黑名单,还因为使用假账号刷好评而被点名。
Agri_MAN还有一个备用帐户Agressor,此账户名下有一个自动化商店service-shop[.]ml,商店中并非所有商品都跟Baldr相关,并引起了某些误购客户的抱怨:

这可能表明,Agressor并非是核心成员,与Baldr的开发没有直接关联。Overdot和LordOdin似乎才是管理Baldr的主要参与者。
分发
在对Baldr的分析中,我们收集了几个不同的版本,侧面反映了Baldr开发周期是很短的。本文分析的版本是3月20日发布的2.2最新版:

Baldr传播主要途径之一就是伪装成破解工具或黑客工具的木马程序。在我们获得的样本中,有一个就是通过YouTube视频进行宣传的,视频内容是介绍一个能免费生成比特币的应用程序,但实际上它的真身是Baldr stealer。

Fallout exploit kit也有帮助Baldr进行传播:

技术分析(Baldr 2.2)
Baldr提供的功能相对简单直接,跟之前的间谍软件相比并没有什么突破性的进步,它的与众不同之处其极其复杂的逻辑实现。
大多间谍软件都像是为了快速赚钱而用多种工具组合在一块的拼凑品,做工粗糙,而Baldr显然是为了长期运行而精心设计的。无论是封装器的使用、payload的代码结构,还是是它的后端C2和分发,Baldr的作者显然是花了很多时间投入其中。
功能概述
Baldr的主要功能可分为五个步骤,按顺序完成。
步骤1:用户分析
Baldr首先收集用户分析数据列表。从用户帐户名到磁盘空间再到操作系统类型等信息都会被收集。
步骤2:过滤敏感数据
接下来,Baldr开始循环遍历计算机关键位置内的所有文件和文件夹。特别是在用户AppData和temp文件夹中查找与敏感数据相关的信息。以下是它搜索的关键位置和应用程序数据列表:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载