如果你還不知道發(fā)生了什么，請(qǐng)看:

本文章主要目的為解析"Fractureiser"木馬的技術(shù)細(xì)節(jié)，并提供事件的大致時(shí)間線。大部分內(nèi)容來(lái)自于Github上的相關(guān)文章。如果你對(duì)這些內(nèi)容不感興趣，現(xiàn)在就可以劃走了(

木馬運(yùn)作原理

為了繞過(guò)殺毒軟件的檢測(cè)，木馬采用了多階段偽裝技術(shù)。在.jar文件中的木馬并非完全體，而只是一個(gè)下載后續(xù)程序的腳本。木馬的階段可具體分為4種：

1. 第一階段：此時(shí)木馬處于休眠狀態(tài)，寄生于被感染的.jar文件內(nèi)，例如Minecraft模組和服務(wù)器插件。

   其實(shí)現(xiàn)方式為在程序的主類中添加一個(gè)帶有木馬代碼的方法，并在靜態(tài)初始化時(shí)調(diào)用方法。通俗來(lái)講就是運(yùn)行程序后木馬將自動(dòng)執(zhí)行。

2. 第二階段：當(dāng)被感染的.jar文件被打開(kāi)后，木馬將進(jìn)入活躍狀態(tài)。其將會(huì)從IP地址85.217.144.130中下載一個(gè)名為dl.jar的臨時(shí)程序。

   下載源的IP地址等數(shù)據(jù)經(jīng)過(guò)混淆，方法為將一系列列表中的byte類型數(shù)據(jù)轉(zhuǎn)化為實(shí)際用到的字符串。

3. 第三階段：在下載完成后，dl.jar首先將會(huì)檢查并避免重復(fù)感染。如果此為第一次感染，其則將從85.217.144.130中下載一個(gè)開(kāi)機(jī)自啟動(dòng)的程序。程序的名稱在Windows平臺(tái)為libWebGL64.jar，在Linux則為lib.jar。

   如果無(wú)法連接85.217.144.130，dl.jar則假定此IP地址已經(jīng)無(wú)效，并通過(guò)一個(gè)Cloudflare托管的網(wǎng)站獲取新的IP地址。

4. 第四階段：當(dāng)上一階段dl.jar下載的程序被啟動(dòng)后，其將用同樣的方式在后臺(tái)緩慢下載并執(zhí)行client.jar，也就是包含真正惡意功能的，木馬程序的完全體。

   注：在木馬散布者的第一個(gè)C&C服務(wù)器地址(即85.217.144.130)被服務(wù)商屏蔽一段時(shí)間后，第四階段下載的惡意程序由client.jar變?yōu)榱肆硪豢畲饲耙阎哪抉R：SkyRage，有關(guān)SkyRage的信息可自行查詢，在此不再贅述。

因此，想要擺脫Fractureiser木馬的危害，則必須同時(shí)刪除最后的惡意程序，libWebGL64.jar，以及被感染的.jar文件。

client.jar的能力

激活狀態(tài)下的client.jar(源代碼內(nèi)也被稱作nekoclient)具有相當(dāng)?shù)奈：π?，具體能力：

• 竊取剪貼板信息，惡意替換加密貨幣地址

• 竊取Discord令牌，以及微軟賬號(hào)和Minecraft正版賬號(hào)令牌

• 開(kāi)機(jī)自啟動(dòng)，如果我沒(méi)理解錯(cuò)的話，全自動(dòng)更新自身代碼

• 竊取幾乎所有瀏覽器的登錄憑證和Cookie，如：Steam，Epic賬號(hào)登錄憑證

• 掃描電腦硬盤，并將整個(gè)文件系統(tǒng)內(nèi)全部.jar文件植入第一階段木馬

• 遠(yuǎn)程執(zhí)行任意代碼，并將被感染的電腦作為肉雞發(fā)動(dòng)DDoS攻擊

• 自動(dòng)將傳遞出被感染虛擬機(jī)的文件植入第一階段木馬，以此“逃出”虛擬機(jī)

精簡(jiǎn)版時(shí)間線

注：此段的所有信息直接來(lái)自于github.com/fractureiser-investigation/fractureiser/blob/main/docs/timeline.md。

2023.4-未知

木馬被第一次散布，具體日期未知。

2023.6.1-2023.6.4

國(guó)外網(wǎng)友D3SL和其他人開(kāi)始對(duì)木馬展開(kāi)調(diào)查，發(fā)現(xiàn)了由libWebGL64.jar發(fā)出的數(shù)據(jù)交換請(qǐng)求，確定了木馬存在。為避免打草驚蛇，消息只在Curseforge等平臺(tái)內(nèi)部流通。

2023.6.7 0:40 UTC

調(diào)查團(tuán)隊(duì)確定了新版Better Minecraft整合包中含有惡意文件，并展開(kāi)研究。

2023.6.7 3:38?UTC

木馬散布者的一號(hào)C&C服務(wù)器(即85.217.144.130)被服務(wù)商屏蔽。

2023.6.7 4:40-4:57 UTC

調(diào)查團(tuán)隊(duì)確定了木馬的散布時(shí)間極早，可追溯到5月，甚至4月。Modrinth管理團(tuán)隊(duì)對(duì)最近上傳的模組進(jìn)行了檢測(cè)，沒(méi)有發(fā)現(xiàn)木馬。

2023.6.7 5:27 UTC

調(diào)查團(tuán)隊(duì)獲取到了一份不完整的client.jar文件，確定其可偷取令牌。

2023.6.7 6:20-7:03 UTC

D3SL和調(diào)查團(tuán)隊(duì)的其他人完成了對(duì)完整版client.jar的研究。確定了其全部的惡意功能。

2023-06-07 14:05-14:20 UTC

dl.jar引用的Cloudflare托管域名更新了IP地址，但很快被屏蔽。通過(guò)解析IP地址(原文如此)，調(diào)查團(tuán)隊(duì)成功獲得了無(wú)混淆的client.jar源代碼。

2023-06-07 ~14:40?UTC

IP地址提供的無(wú)混淆client.jar很快被替換成原版，隨后替換成SkyRage木馬。一段時(shí)間后，其又變?yōu)镸eteor Client。真的嗎

2023-06-07 18:51?UTC

木馬散布者的第二個(gè)C&C服務(wù)器地址(107.189.3.101)已被托管商屏蔽。

2023-06-08 05:11 UTC

Modrinth團(tuán)隊(duì)發(fā)布公告，確定10個(gè)月內(nèi)所有被上傳的模組沒(méi)有感染木馬。

額外鏈接

本文大部分技術(shù)信息的來(lái)源: github.com/fractureiser-investigation/fractureiser

可用于掃描Fractureiser木馬的工具:

Windows:?github.com/overwolf/jar-infection-scanner/releases

Mac/Linux:?github.com/MCRcortex/nekodetector/releases