科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全解密新晋信息窃取木马Spymel

解密新晋信息窃取木马Spymel

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

作者:FreeBuf.COM 来源:业界供稿  2016-01-13 11:13:45

关键字: 信息安全 木马

  • 评论
  • 分享微博
  • 分享邮件

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。

木马简介

感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。

研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。

图一 硬编码的URL的屏幕截图

分析过程

已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后,出现了新变种,该变种使用了SBO INVEST的另一个已撤销的证书。

图二 Spymel使用的证书

Spymel的有效载荷散列值:

4E86F05B4F533DD216540A98591FFAC2
2B52B5AA33A0A067C34563CC3010C6AF

Spymel在以下平台上以“svchost.exe”或“Startup32.1.exe”形式存在:

WinXP

%ApplicationData%ProgramFiles(32.1)svchost.exe
%User%StartMenuProgramsStartupStartup32.1.exe

Win7

%AppData%RoamingProgramFiles(32.1)svchost.exe
%AppData%RoamingMicrosoftWindowsStartMenuProgramsStartupStartup32.1.exe

Spymel安装后会创建以下注册表,以保证其可以持续感染:

WinXP

HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRun@Sidebar(32.1)
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun@Sidebar(32.1)

Win7

HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRunSidebar(32.1)
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRunSidebar(32.1)

Spymel的配置数据包括Command & Control服务器和File & Registry信息,这些信息都硬编码在可执行安装包中,如图三:

图三 Spymel的配置数据

分析发现,该安装包中存在以下模块:

1、Keylogging模块

该模块将用户的键盘信息记录在日志文件中(位置:%Application Data%ProgramFiles(32.1)svchost.exe.tmp)。图四为该模块对应的类“kyl”:

图四 Keylogging代码

2、ProtectMe模块

该模块防止中断用户终止恶意软件,它禁用了确认提示中的“OK”按钮。进而Taskkill命令不会如预期一样正常工作。图五为该模块对应的类“ProtectMe”:

图五 ProtectMe代码

信息窃取

该恶意软件可以像Task Manager一样监控应用程序,它使用GetForegroundWindow() API获取活动窗口的句柄,并更改其功能。

Spymel使用1216端口连接远程域android.sh(213.136.92.111),一旦连接成功,它就开始发送活动进程窗口的信息。下表为Command & Control服务器发送给该恶意软件的命令:

恶意软件发送的文件内容使用base64编码进行加密,图六为记录浏览器播放视频的代码:

图六 记录浏览器播放视频的代码

总结

目前,使用数字证书伪装恶意软件成为一种通用方法,Spymel是其中一例。攻击者借助社会工程学向目标发送电子邮件,导致感染,进一步窃取敏感信息,Spymel便会监控用户行为并转发给攻击者。对于普通终端用户而言,慎点邮件中的链接是保护自己免受Spymel木马危害的最好方式,毕竟,它使用的链接是很好识别的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    相关文章
    最新文章