背景
近日,國外安全研究人員曝光了一種名為InnfiRAT的新型木馬,該木馬使用.NET編寫,具有竊取使用者資訊、抓取瀏覽器Cookie用於竊取密碼、螢幕擷取、下載執行其他惡意檔案等行為。除此之外,該木馬還會查詢主機上的加密貨幣錢包資訊,用於竊取加密貨幣(萊特幣和比特幣)。
功能分析
木馬程式首先檢測自身路徑是否為%AppData%\NvidiaDriver.exe,並且終止名為NvidiaDriver.exe的程式,將自身複製到%AppData%\NvidiaDriver.exe再次執行:
以NvidiaDriver.exe重新執行後,會拼接一段base64編碼的資料,解碼後是一個PE檔案,載入到記憶體中執行:
獲取主機資訊,檢查Manufacturer是否包含相關字串,以此來進行反虛擬機器操作:
建立DuplexChannelFactory來與C&C伺服器進行通訊:
tcp://62[.]210[.]142[.]219:17231/Ivictim
檢查是否存在相關分析工具的程式,如果存在,將結束該程式:
建立定時任務執行木馬母體:
從指定連線下載和執行檔案:
竊取UserProfile資訊傳送的C&C端:
竊取下列指定瀏覽器的Cookie資訊:
Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera
竊取加密貨幣錢包資訊:
解決方案
1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺:
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;
4、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
IOCs
MD5:
f992dd6dbe1e065dff73a20e3d7b1eef
URL:
tcp://62.210.142.219:17231/IVictim
參考連結
https://www.zscaler.com/blogs/rese