1??????? 概述

近期，安天CERT發(fā)現(xiàn)一種名為ObserverStealer的竊密木馬在多個黑客論壇上進(jìn)行售賣。該竊密木馬會竊取瀏覽器數(shù)據(jù)、上傳指定目錄文件、獲取屏幕截圖，并且會下載運(yùn)行其他惡意載荷。

ObserverStealer竊密木馬具備自定義配置文件功能，每次運(yùn)行都會從C2獲取配置文件。通過修改配置文件，攻擊者可以設(shè)定竊取的瀏覽器列表，指定竊取文件的范圍，甚至能夠通過加載其他惡意載荷實(shí)現(xiàn)更多惡意功能。這種定制化的攻擊行為允許攻擊者能夠隨時擴(kuò)大竊密范圍。此外，攻擊者還可以在攻擊結(jié)束后刪除配置文件，讓用戶難以確定被竊取的信息范圍。這一功能增加了竊密木馬的隱蔽性和靈活性，使其更難被防御和檢測。ObserverStealer竊密木馬具有多種惡意行為，包括竊取用戶的賬號密碼和社交媒體賬戶信息。攻擊者可以利用這些信息冒充用戶進(jìn)行欺騙活動，進(jìn)一步擴(kuò)大攻擊范圍和效果。此外，該竊密木馬還會盜取用戶的虛擬貨幣，給用戶帶來更多的經(jīng)濟(jì)損失。

經(jīng)驗(yàn)證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實(shí)現(xiàn)對ObserverStealer竊密木馬的有效防護(hù)。

針對該竊密木馬的防護(hù)建議詳見本文第五章節(jié)。

2??????? 關(guān)聯(lián)分析

ObserverStealer竊密木馬于2023年5月中旬開始在zelenka、xss、exploit等多個黑客論壇上以$150每月的價格進(jìn)行售賣，并通過Matrix（一個分布式開源即時通訊協(xié)議，可用于構(gòu)建私有化即時通訊系統(tǒng)）進(jìn)行聯(lián)系。該竊密木馬具有以下特征：

1.??????? 采用C++編寫，具備混淆加密，規(guī)避安全軟件檢測；

2.??????? 構(gòu)建后大小為290-330KB，傳播能力較強(qiáng)，可能會造成較大范圍的感染；

3.??????? 可以在Windows8.1到Windows11上運(yùn)行。

圖 2?1 論壇售賣信息

根據(jù)ObserverStealer開發(fā)者于2023年6月10日上傳的演示視頻中，一共有496個被感染的IP，竊取了2.4萬賬號、29張銀行卡信息。然而，在僅僅20天后，根據(jù)開發(fā)者的更新的視頻顯示，被感染IP增加到了1721個，竊取了12.8萬賬號、142張銀行卡信息。竊取的賬號數(shù)量增長了5倍，感染范圍還在持續(xù)擴(kuò)大，需要用戶及時展開檢測和防護(hù)。

圖 2?2 竊密數(shù)量對比圖

3??????? 樣本分析

3.1??????? 獲取系統(tǒng)地理位置

ObserverStealer竊密木馬會收集系統(tǒng)的語言標(biāo)識符、用戶界面語言等信息，當(dāng)包括以下字符串時則退出：armenia（亞美尼亞）、azerbaijan（阿塞拜疆）、belarus（白俄羅斯）、kazakhstan（哈薩克斯坦）、kyrgyzstan（吉爾吉斯斯坦）、moldova（爾多瓦）、tajikistan（塔吉克斯坦）、uzbekistan（烏茲別克斯坦）、ukraine（烏克蘭）、russia（俄羅斯）。

圖 3?1 獲取系統(tǒng)界面語言

3.2??????? 收集HWID

HWID(Hardware ID)可以用于唯一標(biāo)識和追蹤設(shè)備，ObserverStealer竊密木馬會在每次運(yùn)行時上傳HWID。

圖 3?2獲取HWID

3.3??????? 收集系統(tǒng)信息

ObserverStealer竊密木馬會收集用戶名、語言、時區(qū)、系統(tǒng)版本、應(yīng)用列表、CPU型號、架構(gòu)、內(nèi)存大小、顯示器名稱、分辨率，并上傳收集到的信息。

圖 3?3 收集系統(tǒng)信息

3.4??????? 收集屏幕截圖

ObserverStealer竊密木馬收集屏幕截圖，如下圖所示：

圖 3?4 收集屏幕截圖

3.5??????? 竊取瀏覽器信息

ObserverStealer竊密木馬會收集gecko內(nèi)核瀏覽器的cookie和密碼，會收集chromium內(nèi)核瀏覽器的cookie、密碼、瀏覽器插件數(shù)據(jù)以及自動填充信息（銀行卡信息、住址信息等）。

圖 3?5 chromium內(nèi)核瀏覽器竊取

在收集到的配置文件中，收集了以下瀏覽器信息：

表 3?1 收集瀏覽器

ObserverStealer會收集如下瀏覽器插件數(shù)據(jù)，其中除了Authenticator、2FA-Authenticator、Authy為2FA雙重認(rèn)證插件以外均為數(shù)字貨幣錢包：

表 3?2 瀏覽器插件

3.6??????? 收集特定目錄和文件

ObserverStealer竊密木馬會根據(jù)配置收集特定的目錄和文件，在收集到的配置文件中，包含了如下程序目錄：

表 3?3 受影響軟件范圍

3.7??????? 下載并運(yùn)行其他惡意載荷

ObserverStealer還會根據(jù)配置文件下載并運(yùn)行其他惡意載荷，如圖所示：

圖 3?6 下載運(yùn)行其他載荷

4??????? 樣本對應(yīng)的ATT&CK映射圖譜

圖 4?1 技術(shù)特點(diǎn)對應(yīng)ATT&CK的映射

具體ATT&CK技術(shù)行為描述表：

表 4?1 ATT&CK技術(shù)行為描述表

5??????? 安全建議：持續(xù)增進(jìn)終端/網(wǎng)絡(luò)側(cè)防護(hù)及安全運(yùn)營能力

商業(yè)竊密木馬的“產(chǎn)、銷、用”已經(jīng)形成一條完整的產(chǎn)業(yè)鏈，攻擊者通過購買各個攻擊階段的服務(wù)實(shí)現(xiàn)低成本攻擊，給用戶的安全防護(hù)工作帶來更多挑戰(zhàn)，對此，安天建議：

1．加強(qiáng)終端實(shí)時防護(hù)和行為檢測

加強(qiáng)終端的執(zhí)行體行為監(jiān)控能力和病毒檢測能力。部署安天智甲終端防御系統(tǒng)，通過安天下一代威脅檢測引擎檢測下載文件和ObserverStealer啟動，通過內(nèi)核級主動防御能力阻止其落地和運(yùn)行。對于未啟用實(shí)時防護(hù)功能的終端，智甲可針對ObserverStealer讀取瀏覽器緩存文件、保存密碼、屏幕截取等竊密行為進(jìn)行告警和處置。

2．提升網(wǎng)內(nèi)流量的監(jiān)測與響應(yīng)

網(wǎng)絡(luò)流量威脅檢測設(shè)備可以發(fā)現(xiàn)ObserverStealer木馬的傳播行為，及時定位被感染的設(shè)備與傳播源頭。安天探海威脅檢測系統(tǒng)可以對網(wǎng)絡(luò)流量進(jìn)行解析、分析、告警、存儲。探海集成了惡意代碼檢測引擎、網(wǎng)絡(luò)行為檢測引擎、命令與控制通道檢測引擎、威脅檢測模型、自定義場景檢測引擎，可以準(zhǔn)確識別竊密木馬的傳播和竊密行為。

3．引入沙箱深度分析鑒定

沙箱系統(tǒng)分析ObserverStealer木馬可以揭示竊密類木馬的更多攻擊細(xì)節(jié)，輸出相關(guān)威脅情報。安天追影威脅分析系統(tǒng)采用深度靜態(tài)分析與沙箱動態(tài)分析結(jié)合的分析方法，分析輸入對象的行為，結(jié)合閾值、算法、機(jī)器學(xué)習(xí)和安天知識庫鑒定威脅行為并輸出分析報告。

4．遭受攻擊及時發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團(tuán)隊(duì)：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場等待安全工程師對計(jì)算機(jī)進(jìn)行排查；安天7*24小時服務(wù)熱線：400-840-9234。

最后，面對不斷升級的竊密木馬產(chǎn)業(yè)鏈，安天建議客戶及時更新智甲終端安全防御、探海威脅檢測等產(chǎn)品的特征庫、規(guī)則庫；配置相應(yīng)的安全管控策略，并通過建設(shè)安天可擴(kuò)展威脅檢測響應(yīng)平臺（XDR）持續(xù)增進(jìn)安全運(yùn)營水平。

6??????? IoCs