近年來,惡意軟件攻擊變得越來越復雜,攻擊者會不斷尋找新的方法來進行攻擊與竊取敏感數據。研究人員近日發現了一個名為 Devopt 的后門,提供按鍵記錄、瀏覽器憑據竊取等功能。短短幾日,后門的多個版本就輪番出現,這表明攻擊者仍然在積極開發中。
研究人員在尋找新的惡意軟件時發現了使用 Free Pascal 創建的后門,該后門能夠從失陷主機中竊取數據。調查中發現一個俄語網站,用戶在網站上完成涉及惡意軟件下載的任務后會獲得經濟獎勵。通過進一步分析,下載的惡意軟件是壓縮文件的圖標,并且引誘用戶雙擊執行。網絡犯罪分子也會使用經濟激勵等策略來引誘用戶下載惡意軟件,其 URL 通常遵循如下結構:wdfiles-download[.]siteme[.]org/arxiv[digit].exe。
誘使用戶下載惡意樣本
最早發現的后門包含圖形界面且沒有經過混淆,大約為 20MB。新變種約為 2MB,且使用編碼來混淆字符串。
舊版本后門使用 HTTP 協議,而新版本后門使用 HTTPS 協議。為了建立網絡連接,后門依賴 libcrypto-1_1.dll、libeay32.dll、libssl-1_1.dll、libssl32.dll 與 ssleay32.dll 這幾個 DLL 文件。如果缺少這些依賴,惡意軟件將不會感染系統。
混淆字符串 | 原始字符串 | 描述 |
5494-4756-7544-6970-9430-8282-9348-9430-7544 | C:\Users\ | 失陷主機用戶目錄 |
7544-5576-8282-9430-8774-9512-9102-9184-7544 | \Desktop\ | 失陷主機桌面目錄 |
7544-5576-9102-8118-9594-8938-8282-9020-9512-9430-7544 | \Documents\ | 失陷主機文檔目錄 |
7544-5576-9102-9758-9020-8856-9102-7954-8200-9430-7544 | \Downloads\ | 失陷主機下載目錄 |
8200-8282-9676-9102-9184-9512-3444-3772-8282-9840-8282 | devopt*.exe | 創建副本文件持久化 |
7544-7134-8610-9020-8774-8282-9922-6068-8282-9512-3772-8610-9020-8610 | \WinkeyJet.ini | 配置文件名 |
8528-9512-9512-9184-9430-4756-3854-3854-8938-9676-8200-3690-8774-3690-9512-9594-8856-7954-3772-9430-8610-9512-8282-8938-8282-3772-9102-9348-8446-3854 | https[:]//mvd-k-tula[.]siteme[.]org/ | C&C 服務器 |
7544-5330-9184-9184-5576-7954-9512-7954-7544-6724-9102-7954-8938-8610-9020-8446-7544-6314-8610-8118-9348-9102-9430-9102-8364-9512-7544-7134-8610-9020-8200-9102-9758-9430-7544-6806-9512-7954-9348-9512-2624-6314-8282-9020-9594-7544-6560-9348-9102-8446-9348-7954-8938-9430-7544-6806-9512-7954-9348-9512-9594-9184-7544 | \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ | 啟動路徑 |
6314-9102-10004-8610-8856-8856-7954-3854-4346-3772-3936-2624-3280-7134-8610-9020-8200-9102-9758-9430-2624-6396-6888-2624-4428-3772-4100-4838-2624-9348-9676-4756-4018-3936-4264-3772-3936-3362-2624-5822-8282-8118-8774-9102-3854-4100-3936-4018-3936-3936-4018-3936-4018-2624-5740-8610-9348-8282-8364-9102-9840-3854-4018-3936-4264-3772-3936 | Mozilla/5.0 (Windows NT 6.2; rv:104.0) Gecko/20100101 Firefox/104.0 | User-Agent |
8856-8610-9430-9512-8282-9020-8282-9348-3772-9184-8528-9184 | listener.php | 回傳地址 |
早期版本的后門需要用戶點擊提交,新版本的后門則無需交互即可靜默運行。
早期版本的后門
樣本文件會在啟動文件夾中進行復制,使其在計算機開機時保持啟動,其路徑為:C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\devopt[random 2 digits].exe。
持久化機制
樣本文件會創建名為 C:\User\[User]\clippa.dan的文件,其中記錄了剪貼板中的所有信息。
獲取剪貼板數據
在 C:\User\[User]\中的 cdck.bin與 bdck.bin,竊取特定瀏覽器的憑據、Cookie、歷史記錄和版本信息:
從 Chrome 瀏覽器收集的數據:
從 Yandex 瀏覽器收集的數據:
惡意軟件會創建 C:\User[User]\Kebba.dan 文件來存儲用戶的按鍵記錄。
按鍵記錄
遍歷文件目錄
惡意軟件會查找存儲在文檔文件夾、下載文件夾與桌面文件夾的各種文件,竊取的文件會保存在 C:\User[User]\grb.bin。
竊取內容
早期版本的后門使用名為 unpacked.dt 的文件,其中包含隨機生成的字符串。新版本中,該文件名為 0.txt。
隨機字符串
該文件可能是為了旨在干擾惡意軟件分析人員,并沒有實際作用。
名為 Winkeyjet.ini 的配置文件中,包含有關失陷主機的相關信息,例如操作系統名、設備 ID 與操作系統版本號等。此外,文件中還包含惡意軟件的硬編碼版本號。配置文件中還指定了 C&C 服務器:
配置文件
早期版本的惡意軟件會顯示消息框,文本是嘲笑俄羅斯總統普京的標語。
消息框
網絡通信
后門所支持的命令如下所示:
命令列表
舊版本的惡意軟件不支持收集驅動器和進程信息的 DRLS 和 PRLS 命令。
該惡意軟件是一種多功能的后門,可以竊取機密信息、記錄按鍵、竊取文件以及建立對失陷主機的持久訪問權限。攻擊者也在不斷為該后門增加新功能使其更加隱蔽,并且使用了各種檢測逃避技術來改進惡意軟件。Devopt 后門將命令進行編碼,并且使用了誤導性名稱文件來欺騙惡意軟件分析人員。
mvd-k-tula[.]siteme[.]org
mvd-k-tula[.]ru
wdfiles-download[.]siteme[.]org/arxiv5.exe
翻譯自
https://www.zscaler.com/blogs/security-research/introducing-devopt-multifunctional-backdoor-arsenal
互聯網安全威脅態勢
1
CVE統計
最近一周CVE公告總數與前期相比大幅下降,值得關注的高危漏洞如下:
2
威脅信息回顧
● 英特爾CPU芯片故障
●因特爾Atom C2000系列處理器含有一個能有效影響設備的缺陷,時鐘信號問題,將可能導致采用其芯片的網絡硬件設備出現故障甚至停機。思科已發出警告稱,其路由、 光網絡、 安全和交換機等產品,在 2016 年 11 月 16 日之前的版本可能存在思科時鐘芯片部件問題
●RSA熱議之威脅情報
●一年一度的美國RSA 2017又要開幕了,今年創新沙盒上照樣少不了威脅情報公司的身影,想當年CrowdStrike就是在RSA 2012上露面,Fireeye成立時間比RSA早,不然的話估計也會在RSA上嶄露頭角。今年,Webroot殺入了2017 RSA創新沙盒Final List,不知道是否可以勝出。這么火熱的威脅情報話題,持續了好多年,那它到底是怎么回事兒?知乎上 @機智的大群主 對威脅情報的解釋挺通俗易懂,大家可以看看。
(數據來源:綠盟科技 威脅情報與網絡安全實驗室 收集整理)
漏洞研究
1
漏洞庫統計
截止到2017年2月10日,綠盟科技漏洞庫已收錄總條目達到35885條。本周新增漏洞記錄60條,其中高危漏洞數量37條,中危漏洞數量20條,低危漏洞數量3條。
●OpenJPEG sycc422_t_rgb函數拒絕服務漏洞(CVE-2016-3183)
●危險等級:中
●cve編號:CVE-2016-3183
●OpenJPEG color_cmyk_to_rgb函數拒絕服務漏洞(CVE-2016-4796)
●危險等級:中
●cve編號:CVE-2016-4796
●OpenJPEG opj_tcd_init_tile函數拒絕服務漏洞(CVE-2016-4797)
●危險等級:中
●BID:90641
●cve編號:CVE-2016-4797
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2962)
●危險等級:高
●BID:95340
●cve編號:CVE-2017-2962
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2966)
●危險等級:高
●BID:95344
●cve編號:CVE-2017-2966
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2959)
●cve編號:CVE-2017-2959
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2949)
●cve編號:CVE-2017-2949
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2946)
●cve編號:CVE-2017-2946
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2942)
●cve編號:CVE-2017-2942
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2945)
●cve編號:CVE-2017-2945
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2965)
●危險等級:高
●BID:95345
●cve編號:CVE-2017-2965
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2967)
●cve編號:CVE-2017-2967
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2964)
●cve編號:CVE-2017-2964
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2963)
●cve編號:CVE-2017-2963
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2960)
●cve編號:CVE-2017-2960
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2954)
●cve編號:CVE-2017-2954
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2953)
●cve編號:CVE-2017-2953
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2944)
●cve編號:CVE-2017-2944
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2943)
●cve編號:CVE-2017-2943
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2941)
●cve編號:CVE-2017-2941
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2940)
●cve編號:CVE-2017-2940
●WebKit 內存破壞漏洞(CVE-2016-9642)
●危險等級:低
●BID:94554
●cve編號:CVE-2016-9642
●b2evolution 目錄遍歷漏洞(CVE-2017-5539)
●危險等級:高
●BID:95700
●cve編號:CVE-2017-5539
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2972)
●危險等級:高
●BID:95690
●cve編號:CVE-2017-2972
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2971)
●cve編號:CVE-2017-2971
●Adobe Acrobat Reader堆緩沖區溢出漏洞(CVE-2017-2970)
●cve編號:CVE-2017-2970
●Adobe Acrobat Reader內存破壞漏洞(CVE-2017-2939)
●cve編號:CVE-2017-2939
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2961)
●危險等級:高
●BID:95343
●cve編號:CVE-2017-2961
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2958)
●cve編號:CVE-2017-2958
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2951)
●cve編號:CVE-2017-2951
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2957)
●cve編號:CVE-2017-2957
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2956)
●cve編號:CVE-2017-2956
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2955)
●cve編號:CVE-2017-2955
●Adobe Acrobat Reader遠程代碼執行漏洞(CVE-2017-2950)
●cve編號:CVE-2017-2950
●Google Android權限提升漏洞(CVE-2017-0386)
●危險等級:高
●BID:95256
●cve編號:CVE-2017-0386
●Google Android Audioserver權限提升漏洞(CVE-2017-0385)
●危險等級:高
●BID:95239
●cve編號:CVE-2017-0385
●Google Android Audioserver權限提升漏洞(CVE-2017-0384)
●cve編號:CVE-2017-0384
●Google Android Audioserver權限提升漏洞(CVE-2017-0383)
●危險等級:高
●BID:95243
●cve編號:CVE-2017-0383
●Linux Kernel遠程緩沖區溢出漏洞(CVE-2017-5577)
●危險等級:中
●BID:95765
●cve編號:CVE-2017-5577
●Linux Kernel整數溢出漏洞(CVE-2017-5576)
●危險等級:中
●BID:95767
●cve編號:CVE-2017-5576
●Linux Kernel本地拒絕服務漏洞(CVE-2017-5551)
●危險等級:中
●BID:95717
●cve編號:CVE-2017-5551
●Google Android Kernel Networking ●Subsystem遠程權限提升漏洞(CVE-2014-9914)
●危險等級:中
●BID:96100
●cve編號:CVE-2014-9914
●Google Android Mediaserver 遠程代碼執行漏洞(CVE-2017-0381)
●危險等級:高
●BID:95248
●cve編號:CVE-2017-0381
●IBM Tivoli Key Lifecycle Manager跨站腳本漏洞(CVE-2016-6096)
●危險等級:中
●BID:95983
●cve編號:CVE-2016-6096
●IBM Tivoli Key Lifecycle Manager任意文件上傳漏洞(CVE-2016-6104)
●危險等級:中
●BID:95980
●cve編號:CVE-2016-6104
●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6097)
●危險等級:中
●BID:95977
●cve編號:CVE-2016-6097
●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6094)
●危險等級:中
●BID:95984
●cve編號:CVE-2016-6094
●IBM Tivoli Key Lifecycle Manager本地信息泄露漏洞(CVE-2016-6092)
●危險等級:中
●cve編號:CVE-2016-6092
●Google Nexus Realtek Sound Driver權限提升漏洞(CVE-2017-0444)
●危險等級:高
●BID:96107
●cve編號:CVE-2017-0444
●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0445)
●危險等級:中
●BID:96054
●cve編號:CVE-2017-0445
●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0447)
●cve編號:CVE-2017-0447
●Google Pixel/Pixel XL HTC觸屏驅動器權限提升漏洞(CVE-2017-0446)
●cve編號:CVE-2017-0446
●Google Nexus NVIDIA Video Driver信息泄露漏洞(CVE-2017-0448)
●危險等級:中
●BID:96105
●cve編號:CVE-2017-0448
●FFmpeg libavformat/http.c堆緩沖區溢出漏洞(CVE-2016-10190)
●危險等級:中
●BID:95986
●cve編號:CVE-2016-10190
●FFmpeg ffserver.c堆緩沖區溢出漏洞(CVE-2016-10192)
●危險等級:中
●BID:95991
●cve編號:CVE-2016-10192
●Cisco AnyConnect Secure Mobility Client SBL模塊權限提升漏洞(CVE-2017-3813)
●危險等級:高
●cve編號:CVE-2017-3813
●FFmpeg libavformat/rtmppkt.c堆緩沖區溢出漏洞(CVE-2016-10191)
●危險等級:中
●BID:95989
●cve編號:CVE-2016-10191
●Node.js unserialize函數任意代碼執行漏洞(CVE-2017-5941)
●危險等級:中
●cve編號:CVE-2017-5941
●Hanwha Techwin Smart Security Manager 跨站請求偽造漏洞(CVE-2017-5169)
●危險等級:低
●cve編號:CVE-2017-5169
●Hanwha Techwin Smart Security Manager 權限提升漏洞(CVE-2017-5168)
●危險等級:低
●cve編號:CVE-2017-5168
(數據來源:綠盟科技安全研究部&產品規則組)
焦點漏洞
● 焦點漏洞
QEMU任意代碼執行漏洞
◆NSFOCUS ID
35899
◆CVE ID
CVE-2017-2615
◆受影響版本
支持Cirrus CLGD 54xx VGA 模擬器的QEMU
◆漏洞點評
支持Cirrus CLGD 54xx VGA的QEMU在通過bitblt拷貝VGA數據時存在越界訪問的問題,攻擊者通過惡意構造的數據可以導致QEMU崩潰或者遠程代碼執行。漏洞細節已經披露,可能導致大規模對此漏洞的利用。當前廠商已發布補丁,請受影響的用戶盡快升級修復。
(數據來源:綠盟科技安全研究部&產品規則組)
請點擊屏幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟云APP