Magecart第五小组开始使用KPOT开展窃密活动

安天 新闻 2019年9月28日发布
Favorite收藏

导语:安天CERT监测到了多起由Magecart第五小组发起的利用KPOT木马进行窃密的事件,攻击者利用KPOT窃取了用户钱包、账户等多种信息。分析人员还梳理了Magecart十多个小组的目标、攻击过程等相应特点。

1 概述

2019年8月,安天CERT监测到了多起利用KPOT木马进行窃密的事件。安天CERT判定这些窃密事件是由Magecart第五小组发起的,攻击者利用KPOT窃取用户加密货币钱包信息、应用账户信息以及浏览器cookies等多种信息。攻击者主要利用了垃圾邮件以及RIG和Fallout漏洞利用工具包来传播木马。

Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合,根据公开情报描述,Magecart至少有12个不同的小组,这些小组具有不同的运作方式、技术配置,成员水平也参差不齐。

Magecart的第五小组最早出现于2016年,主要利用供应链进行攻击。攻击者将窃密脚本注入到第三方服务提供商的组件库中,在线零售商在使用第三方服务提供商的服务时,可能会加载攻击者注入的窃密脚本。当用户进行在线支付时,窃密脚本运行并尝试窃取用户的支付信息。在本次发现的窃密事件中,Magecart第五小组的攻击行为和目的都发生了改变,舍弃了以往使用的专用窃密脚本而改用KPOT木马,窃取了更多的用户信息。

经验证,安天智甲终端防御系统可实现对KPOT木马的有效防御。

2 KPOT木马的传播方式

2.1 利用垃圾邮件传播KPOT

攻击者通过购买现成的邮件地址库、根据自定义规则自动生成邮件地址、从网络上收集邮件地址等方法获取到大量邮件地址,发送大量带有恶意附件的垃圾邮件。

攻击者将KPOT木马制作成压缩包添加在邮件附件中,使用PowerPoint等正常软件的图标作为KPOT木马的图标,将KPOT木马伪装成PPT等正常文件,若用户未设置“显示文件后缀名”,则不能发现该文件实为EXE文件,当用户双击打开该伪装PPT时,就会运行KPOT木马,被窃取各种信息。

攻击者构造漏洞利用文档,将该文档添加在邮件附件中,在邮件正文中书写诱惑性文字,诱使用户打开附件中的文档。当用户打开文档时,便会触发漏洞利用代码,下载KPOT并执行,致使用户多种信息被窃取。

图 2-1 传播KPOT木马的钓鱼邮件

2.2利用RIG和Fallout漏洞利用工具包传播KPOT

攻击者攻击某网站并在网页中嵌入网页重定向代码,用户访问被攻陷的网站后,经过多次重定向,获得漏洞利用工具的着陆页(引导页),触发漏洞利用代码,从服务器下载KPOT木马到用户主机上并运行该木马,窃取用户多种信息。

图 2 2 漏洞利用工具包作业过程

2.3可能利用钓鱼网站传播KPOT

攻击者为一款名为G-Cleaner的Windows垃圾清理工具构建了官网。G-Cleaner是一个伪装成Windows垃圾清理工具的Azorult木马。当用户在搜索引擎上搜索清理工具时,有可能搜索G-Cleaner并下载该工具,在进行垃圾清理时运行该木马,导致信息被窃取。

虽然目前还未出现利用钓鱼网站传播KPOT的事件,但是从近期出现的构建虚假G-Cleaner官网和BleachBit官网传播Azorult木马的事件来看,利用这种方法传播KPOT是极有可能发生的。【1】

图 2-3 构建虚假G(arbage)Cleaner传播Azorult木马

图 2-4 构建虚假BleachBit官网传播Azorult木马

3 KPOT域名与Magecart第五小组联系密切

分析人员通过KPOT木马的回传数据所使用的域名关联到了多个公开的Magecart第五小组域名,如下图所示。在关联过程中发现的脚本文件init.js,经对比也与Magecart第五小组使用的窃密脚本一致。

图 3-1 通过域名关联到Magecart第五小组

关联到的脚本的结构与Magecart第五小组使用的窃密脚本结构一致。脚本的功能是为页面中所有的表单和可单击元素设置监听器,确保用户提交支付信息之前可以调用CLK函数,从表单和输入字段中提取支付信息,提取信息成功后,使用Base64算法将信息进行编码,通过HTTP POST方式将支付信息、主机名和用户ID发送到C2服务器。功能也与Magecart第五小组的一致。

图 3-2 Magecart第五小组脚本和关联脚本的对比

4 Magecart——多个窃取支付信息的组织集合

Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合,根据公开情报描述,Magecart至少有12个不同的小组,这些小组具有不同的运作方式、技术配置,成员水平也参差不齐。【2】组织信息如下表所示(暂无第十小组的相关信息)。

表 4-1 第一小组(第二小组)

image.png

表 4-2 第三小组

image.png

表 4-3 第四小组

image.png

表4-4 第五小组

image.png

表 4-5 第六小组

image.png

表4-6 第七小组

image.png

表 4-7 第八小组image.png

表 4-8 第九小组

image.png

表 4-9 第十一小组

image.png

表 4-10 第十二小组

image.png

5 KPOT木马分析

表 5-1 KPOT木马

image.png

5.1 KPOT运行流程

KPOT运行后会从C2服务器获取控制指令,根据控制指令窃取指定信息,将信息加密后回传到C2服务器。KPOT会获取系统语言版本并判断当前语言所对应的国家是否为“独立国家联合体”成员国(详见5.5小节),若是则不进行窃密操作。

图 5-1 KPOT流程图

5.2 规避反病毒程序检测

5.2.1 在内存中释放两段shellcode躲避检测

样本运行后会通过两段shellcode来执行窃密程序。

表 5-2 shellcode功能

image.png

图 5-2 通过两段shellcode执行窃密程序

5.2.2 异或加密字符串

样本为了规避反病毒程序检测,将重要字符串进行了异或加密,每个字符串对应不同的密钥。

表 5-3 字符串解密举例

image.png

图 5-3 EXE文件中加密的字符串

5.3 创建互斥量,保证只有一个实例运行

窃密程序会根据磁盘序列号生成互斥量名称,并创建互斥量,若创建失败,则退出程序。

图 5-4 互斥量生成算法

5.4 连接C2获取控制指令

5.4.1 控制指令解密算法

样本会连接C2服务器获取控制指令,通过Base64解码和XOR解密后得到控制指令。

图 5-5 数据解密流程

表 5-4 解密模块的异或算法伪代码

image.png

5.4.2 控制指令格式和功能

由于C2服务器已失活,不能得到具体的控制指令,但是KPOT是一个在地下论坛中公开售卖的信息窃取恶意软件,因此可以通过其他事件中所暴露的控制指令格式来分析本样本功能。

1111111111111110__DELIMM__IP地址

__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

控制指令之间通过“__DELIMM__”进行分割。【3】上述代码中共包含了4组信息。

表 5-5 控制指令格式举例码

image.png

GRABBER规则指定要搜索和窃取的文件。

表 5-6 GRABBER规则说明

image.png

第一组数据是一个16字节大小的字符串,“1111111111111110”,每个字节都对应一个功能的开启和关闭,1代表开启,0代表关闭。

1.窃取账户和浏览器cookies信息

表 5-7 16字节字符串代表的功能

image.png

除了控制指令中声明的信息外,该样本还会窃取Microsoft Outlook账户信息、VPN账户信息以及从“default.rdp”文件中获取rdp配置信息。

图 5-6 窃取Microsoft Outlook账户信息

2.第二组数据是C2服务器的IP地址。

3.GRABBER规则:['appdata', '*.log,*.txt,', '%appdata%', '0', '1024']

在“C:\Users\用户名\AppData\Roaming\”文件夹中搜索文件大小在0到1024字节之间,后缀名为“.log”和“.txt”的文件,窃取软件的日志信息。

4.GRABBER规则:['desktop_txt', '*.txt,', '%userprofile%', '0', '150']

在“C:\Users\用户名\”文件夹中搜索文件大小在0到150字节之间,后缀名为“.txt”的文件。用户可能会将一些账户口令信息保存在该目录下,攻击者可以通过在这些目录下搜索txt文件窃取账户口令信息。

5.5 收集系统信息回传到C2服务器

样本会收集系统信息,并以HTTP POST方式回传到C2服务器。回传的数据经过了异或加密,加密密钥和控制指令的解密密钥相同,都为“LfB9zNRyztyNDcgN”,但异或方法不同,控制指令异或方法详见表3-4,数据加密是直接使用该密钥进行异或。样本发送给服务器的数据详见表2-9。这些数据以SYSINFORMATION或_CRED_DATA_FFFILEE为起始分隔符,以_SYSINFORMATION_CRED_DATA_或_FFFILEE_为结束分隔符。

图 5-7 以POST方式回传数据

表 5-8 回传到服务器的数据

image.png

图 5-8 起始分隔符和结束分隔符

5.6 删除自身

1.若样本获取控制指令失败,则退出程序,删除自身。

2.控制指令中包含是否删除自身的选项,若该选项设置为1,则删除自身。

图 5-9 控制指令中指定是否删除自身

6 总结

Magecart第五小组使用木马KPOT开展窃密活动,该木马一直都在地下论坛售卖,木马作者也一直持续进行更新。在之前的窃密活动中,Magecart第五小组一直在窃取支付信息,并未出现窃取其他信息的行为,并且一直专用窃密脚本进行窃密操作,然而在此次窃密活动中,Magecart第五小组不仅使用KPOT木马完成窃密活动,还窃取了用户多种类型的信息,攻击形式和目的都发生了改变。

附录一:IoCs

image.pngimage.png

附录二:参考资料

[1]攻击者通过虚假BleachBit官网分发AZORult恶意软件

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83509&extra=page%3D1

[2]RiskIQ-Flashpoint Inside Magecart Report

https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf

[3]New KPOT v2.0 stealer brings zero persistence and in-memory features to silently steal credentials

https://www.proofpoint.com/us/threat-insight/post/new-kpot-v20-stealer-brings-zero-persistence-and-memory-features-silently-steal

[4]Ar3s Avoids Lengthy Prison Term After Cooperating With Authorities

https://www.recordedfuture.com/ar3s-prison-release/

如若转载,请注明原文地址: https://www.4hou.com/info/news/20588.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论