竊取終端資料成本低，謹防Formbook惡意軟體入侵竊密

背景概述

科學技術的高速發展，帶來了大量的商業發展機會，同時也為終端安全帶來巨大的挑戰。近日，深信服終端安全團隊捕獲了Formbook樣本病毒。這是一款著名的商業惡意軟體，自2016以來在駭客論壇出售，因其隱蔽且易用的特點聞名。其主要利用釣魚郵件進行傳播，一旦使用者不小心下載開啟郵件附件，該惡意軟體將會安裝到終端上竊取機密資料和敏感資訊。

Formbook竊密軟體在駭客論壇上的售價並不是非常高昂，使得竊密的犯罪成本降低，很容易對使用者的終端資料造成威脅。

（圖片來自於海外媒體）

FormBook主要會從受害者的裝置（如鍵盤記錄器）中竊取受害者的鍵盤輸入以及某些軟體的資料，例如瀏覽器，Email客戶端和FTP客戶端等個人資訊，並使用C2的控制命令來操縱他們的裝置或者伺服器。

技術分析

該病毒上使用”傀儡“程式進行釋放以防止分析人員的除錯：透過GetProcAddress獲取函式名並釋放動態庫檔案ek0j.dll，並呼叫其惡意匯出函式Rcxlxosdkhvclf：

在temp檔案下寫入加密檔案：

加密檔案經解密後為一段shellcode，將其載入到記憶體並執行：

建立子程式：

對子程式的dump進行分析病毒真正的操縱，透過使用ida Lumina進行 f12匹配分析

初始化記憶體，該buffer區域在整個FormBook中進行讀寫，包含配置選項

該buffer記憶體區域：

具有標記組用來檢測該病毒是否在被除錯狀態下進行，在buffer+0x29的位置上，所以flag正確的check為：00 01 01 00 00 01 00 01 00 01 00

Base+0x34位置上檢查ASM執行時間差來判斷是否在除錯狀態：

存在該病毒的base，以及後面所運用到的檢索API的hash值，當前的os的位數，以及許多的dll的模組

全程使用計算以及比較hash，來獲取api的名字以及地址：

過載兩份ntdll，構建部分ntdll從而防止殺軟在3環對原始ntdll做檢測

反除錯檢查: r3與r0層的除錯，查詢SystemKernelDebuggerInformation，以及ProcessDebugPort

(SYSTEM_INFORMATION_CLASS)SystemKernelDebuggerInformation

當為0x23時為獲取系統是否在被除錯資訊存放到第2個引數指向的結構中,該結構是2個1位元組的結構,當處於除錯時這2位元組都會被寫入1從而判斷是否在r0層進行除錯

檢查黑名單程式：

程式也是透過hash的比對進行，程式列表為:

VBoxService.exe, VBoxTray.exe, VBoxService.exe,vmwareuser.exe, vmwareservice.exe, vmtoolsd.exe, vmusrvc.exe, vmsrvc.exe, sandboxiedcomlaunch.exe, procmon.exe, filemon.exe, wireshark.exe, NetMon.exe, python.exe, perl.exe

透過checkfilename ModulePath Username來判斷是否存在沙箱行為，沙箱一般會將使用者名稱變成特定使用者名稱從而該病毒進行檢查

檢查使用者名稱列表: Cuckoo sandbox nmsdbox wilbert xpamast

0x19996921為explorer程式hash，獲取執行緒進行劫持

Windows 程式名稱列表在初始化的buffer中被加密，透過索引選擇，Explorer中讀取到某32位程式資訊，explorer.exe

記錄下的程式列表為：

explorer.exe，wininit.exe，cmmon32.exe， svchost.exe，lsass.exe，raserver.exe，netsh.exe，rundll32.exe，control.exe， services.exe，ipconfig.exe等等

FormBook 隨機獲取 explorer.exe 返回的懸掛如上程式列表的程式資訊，將 FormBook 有效負載檔案複製到這些程式當中中，並將其主執行緒的入口點程式碼修改為注入的 FormBook 的OEP，執行 FormBook 的惡意程式碼，呼叫exitprocess來終止注入的formbook

該病毒使用explorer主執行緒來劫持以及進行APC注入且建立一個掛起的程式，在該掛起程式中實現遷移從而實現explorer程式中沒有建立新的程式，而建立掛起的程式父程式為explorer

在C:\Program File(x86)下建立了隨機的資料夾裡面有病毒程式formbook的過載

並透過登錄檔進行註冊

並使用這兩個檔案進行記錄獲取鍵盤等的資料，並進行通訊

與c2伺服器進行通訊，隨機選擇十六臺主機作為它自己的 c 2伺服器，並將竊取的資料傳送到這臺伺服器

C2列表:

34.102.136.180:80, 45.56.79.23:80, 52.200.25.77:80, 75.126.163.75:80, 167.114.6.31:80, 52.79.124.173:80, 163.44.239.71:80, 176.104.107.18:80, 162.0.239.203:80 ........

構造的新的控制塊

獲取樣本的路徑，設定當前的互斥，將病毒檔案過載記憶體

經過上述的惡意操作後，該病毒會刪除自身的檔案: C del “C:\Users\Simp1er\Desktop\virus”

加固建議

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2.深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。