竊取加密貨幣的新型木馬:InnfiRAT

深信服千里目發表於2019-09-16

背景

近日,國外安全研究人員曝光了一種名為InnfiRAT的新型木馬,該木馬使用.NET編寫,具有竊取使用者資訊、抓取瀏覽器Cookie用於竊取密碼、螢幕擷取、下載執行其他惡意檔案等行為。除此之外,該木馬還會查詢主機上的加密貨幣錢包資訊,用於竊取加密貨幣(萊特幣和比特幣)。


功能分析

竊取加密貨幣的新型木馬:InnfiRAT

木馬程式首先檢測自身路徑是否為%AppData%\NvidiaDriver.exe,並且終止名為NvidiaDriver.exe的程式,將自身複製到%AppData%\NvidiaDriver.exe再次執行:

竊取加密貨幣的新型木馬:InnfiRAT

以NvidiaDriver.exe重新執行後,會拼接一段base64編碼的資料,解碼後是一個PE檔案,載入到記憶體中執行:

竊取加密貨幣的新型木馬:InnfiRAT 

獲取主機資訊,檢查Manufacturer是否包含相關字串,以此來進行反虛擬機器操作:

竊取加密貨幣的新型木馬:InnfiRAT 

建立DuplexChannelFactory來與C&C伺服器進行通訊:

tcp://62[.]210[.]142[.]219:17231/Ivictim

竊取加密貨幣的新型木馬:InnfiRAT

檢查是否存在相關分析工具的程式,如果存在,將結束該程式:

竊取加密貨幣的新型木馬:InnfiRAT

建立定時任務執行木馬母體:

竊取加密貨幣的新型木馬:InnfiRAT

從指定連線下載和執行檔案:

竊取加密貨幣的新型木馬:InnfiRAT

竊取UserProfile資訊傳送的C&C端:

竊取加密貨幣的新型木馬:InnfiRAT

竊取下列指定瀏覽器的Cookie資訊:

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

竊取加密貨幣的新型木馬:InnfiRAT

竊取加密貨幣錢包資訊:

竊取加密貨幣的新型木馬:InnfiRAT


解決方案

1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:

竊取加密貨幣的新型木馬:InnfiRAT

2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺:

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅;

4、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。


IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim


參考連結

https://www.zscaler.com/blogs/rese


相關文章