1??????? 攻擊活動概覽

近期，安天CERT監(jiān)測到通過視頻網(wǎng)站進(jìn)行傳播的攻擊活動。攻擊者竊取訂閱者數(shù)量超過10萬的視頻創(chuàng)作者賬號，發(fā)布與破解版熱門軟件相關(guān)的演示視頻，誘導(dǎo)受害者下載RecordBreaker竊密木馬。

RecordBreaker竊密木馬是Raccoon竊密木馬的2.0版本，該竊密木馬從C2服務(wù)器接收配置信息，根據(jù)配置信息中的內(nèi)容竊取相應(yīng)的敏感信息，并根據(jù)其中的URL下載載荷文件，最終投遞Laplas Clipper木馬和一個挖礦木馬。由于該挖礦木馬所下載的載荷會終止大量游戲進(jìn)程，安天CERT將其命名為StopGames挖礦木馬。

通過視頻網(wǎng)站、盜版軟件下載站等途徑傳播竊密木馬，再利用竊密木馬投遞其他惡意載荷已成為一種常見的攻擊方式，安天CERT曾于《通過視頻網(wǎng)站傳播的RedLine竊密木馬跟進(jìn)分析》[1]、《偽造盜版軟件傳播的竊密樣本分析》[2]對這種攻擊方式進(jìn)行了介紹。在本次攻擊活動中，攻擊者專門竊取具備認(rèn)證且訂閱人數(shù)達(dá)到10萬以上的視頻創(chuàng)作者賬號，發(fā)布經(jīng)過剪輯的演示視頻，試圖以這種方式快速擴(kuò)大傳播范圍并提高攻擊成功率。

表 1?1 攻擊活動概覽

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對竊密木馬及挖礦木馬等惡意軟件的有效查殺。

2??????? 技術(shù)梳理

2.1??????? 傳播方式

2.1.1???????? 發(fā)布視頻

攻擊者竊取具有認(rèn)證且具備一定訂閱者數(shù)量的視頻創(chuàng)作者賬號，以此快速擴(kuò)大傳播范圍。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

攻擊者利用竊取的YouTube賬號連續(xù)發(fā)布數(shù)個視頻，視頻內(nèi)容與破解版熱門軟件相關(guān)。

2.1.2???????? 演示視頻

攻擊者特意錄制了演示視頻，并使用剪輯手段將應(yīng)用軟件的正常安裝過程拼接到雙擊LauncherPC.exe程序之后，使整個安裝流程看起來沒有問題，以此引誘用戶雙擊執(zhí)行程序。

視頻的簡介中含有破解軟件資源的下載地址，并附有標(biāo)簽。當(dāng)用戶在搜索引擎或視頻網(wǎng)站中輸入標(biāo)簽內(nèi)的關(guān)鍵詞時，便能夠搜索到相關(guān)視頻。在簡介中，攻擊者建議用戶關(guān)閉電腦中的安全產(chǎn)品，強(qiáng)調(diào)資源文件是非惡意的。

2.1.3???????? 下載地址

攻擊者將文件托管于MediaFire等文件托管平臺中，最終都會跳轉(zhuǎn)至同一個下載地址中。

攻擊者搭建了多個用于釣魚的下載站，均與熱門軟件破解程序相關(guān)。

下載站中看似發(fā)布了各種各樣的破解程序，但同一個下載站中最終的下載地址都是相同的。攻擊者將壓縮包文件托管于GitHub、Amazon S3等可用于存儲文件的平臺中。

2.2??????? 傳播惡意程序

在本次攻擊活動中，攻擊者利用RecordBreaker等具備下載執(zhí)行其他載荷功能的流行商業(yè)竊密木馬，在受害主機(jī)中竊取敏感信息并投遞Laplas Clipper木馬以及StopGames挖礦木馬。本次攻擊活動的流程圖如下圖所示。

3??????? 樣本分析

攻擊者在惡意程序末尾添加了大量的垃圾字節(jié)，將文件大小膨脹至1GB左右，以此迷惑用戶認(rèn)為該程序中包含應(yīng)用軟件的組件及破解程序，并且阻礙用戶將此程序上傳至多引擎掃描平臺或者在線沙箱中進(jìn)行檢測。

3.1??????? RecordBreaker竊密木馬

該惡意程序?qū)儆赗ecordBreaker竊密木馬家族，是流行竊密木馬家族Raccoon的2.0版本。運(yùn)行后，從C2服務(wù)器中接收配置信息，竊取目標(biāo)瀏覽器中的數(shù)據(jù)，并根據(jù)配置信息中的標(biāo)識符執(zhí)行相應(yīng)的功能。

RecordBreaker竊密木馬接收的標(biāo)識符及功能如下表所示。

表 3?1 標(biāo)識符及功能

攻擊者利用RecordBreaker竊密木馬從創(chuàng)建的GitHub項目中獲取載荷文件。

其中，vdss.exe是Laplas Clipper木馬。vfvfd.exe是挖礦木馬，用于進(jìn)行后續(xù)的挖礦活動。

3.2??????? Laplas Clipper木馬

vdss.exe程序同樣被大量的垃圾字節(jié)填充至1.18GB，該程序?qū)儆贚aplas Clipper木馬家族。由于加密貨幣地址較長、不易記憶，很多用戶習(xí)慣于在使用時對地址進(jìn)行復(fù)制粘貼。Laplas Clipper木馬利用這一點，監(jiān)控受害主機(jī)中的剪貼板內(nèi)容，根據(jù)正則表達(dá)式匹配錢包地址，并將該地址替換成攻擊者的錢包地址，從而竊取加密貨幣。

該正則表達(dá)式匹配的加密貨幣錢包地址如下表所示。

表 3?2匹配的加密貨幣

??

3.3??????? StopGames挖礦木馬

vfvfd.exe程序是StopGames挖礦木馬，運(yùn)行后將惡意載荷注入到指定進(jìn)程中；該惡意載荷執(zhí)行經(jīng)過Base64編碼的命令，將%UserProfile%、%SystemDrive%等路徑添加至Windows Defender的排除項中，隨后下載攻擊者托管于Pastebin中的配置信息。配置信息中包含挖礦相關(guān)程序的下載地址以及攻擊者用于挖礦的相關(guān)信息。

惡意載荷根據(jù)配置信息中的下載地址，下載攻擊者托管于GitHub中與挖礦相關(guān)的程序。其中的lolMiner.exe和xmrig.exe是開源的挖礦程序，WatchNew.exe用于監(jiān)控挖礦程序的運(yùn)行情況以保證挖礦活動持續(xù)進(jìn)行。惡意載荷將WatchNew.exe程序添加至計劃任務(wù)中，實現(xiàn)持久化。

WatchNew.exe程序的整體功能結(jié)構(gòu)如下圖所示。

該程序創(chuàng)建線程遍歷當(dāng)前系統(tǒng)中所運(yùn)行的進(jìn)程，與指定的124個進(jìn)程名稱進(jìn)行對比，并終止相同名稱的進(jìn)程。在該程序所終止的進(jìn)程列表中存在大量游戲進(jìn)程名稱，攻擊者認(rèn)為游戲運(yùn)行時占據(jù)較大的CPU資源會影響其挖礦效益。

從攻擊者加密貨幣錢包的算力曲線中可以看出，攻擊者于5月末開始進(jìn)行攻擊活動，且被用于挖礦的受害者主機(jī)數(shù)量呈現(xiàn)上升趨勢。

4??????? 防護(hù)建議

為有效防御此類攻擊事件，提升安全防護(hù)水平，安天建議政企機(jī)構(gòu)采取如下防護(hù)措施：

4.1??????? 網(wǎng)站傳播防護(hù)

1.建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進(jìn)行下載，下載后使用反病毒軟件進(jìn)行掃描；

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機(jī)執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機(jī)理，可有效檢出分析鑒定各類已知與未知威脅。

4.2??????? 終端防護(hù)

1.安裝終端防護(hù)系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.加強(qiáng)口令強(qiáng)度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個賬號使用相同口令；

4.3??????? 遭受攻擊及時發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團(tuán)隊：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機(jī)，并保護(hù)現(xiàn)場等待安全工程師對計算機(jī)進(jìn)行排查；安天7*24小時服務(wù)熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對竊密木馬及挖礦木馬等惡意軟件的有效查殺。

5??????? 事件對應(yīng)的ATT&CK映射圖譜

針對攻擊者投遞竊密木馬的完整過程，安天梳理本次攻擊事件對應(yīng)的ATT&CK映射圖譜如下圖所示：

攻擊者使用的技術(shù)點如下表所示：

6??????? IoCs

7??????? 參考鏈接

[1] 通過視頻網(wǎng)站傳播的RedLine竊密木馬跟進(jìn)分析

https://www.antiy.cn/research/notice&report/research_report/20221115.html

[2] 偽造盜版軟件傳播的竊密樣本分析

https://www.antiy.cn/research/notice&report/research_report/20210628.html

?