歡迎大家前往騰訊雲社群,獲取更多騰訊海量技術實踐乾貨哦~
作者:cocoyan、odaywang
導語: 水坑攻擊是一種常見的高階攻擊方法。電腦管家安全感知系統最近捕獲到一例,分析如下。
“門前大橋下,遊過一群鴨 快來快來數一數,二四六七八……”
“Duck?”
“No,Hacker!”
“Hacker?”
“Yes,Hacker!“
0x1故事梗概
故事情節是這樣的:
一大波小黑,或許是為了免費體驗Roblox遊戲和Discord遊戲聊天平臺,或者是為了彰顯自己的技術實力,虛心了學習 Harioboy(網路ID)上傳至Youtube的破解視訊,並忠心耿耿的下載了Harioboy提供的工具,心急如焚的在自己電腦上在顯身手,功夫不負有心人他們居然破解成功了。哼著小曲,玩著遊戲……
此時此刻幕後的Harioboy亦哼著小調,歡樂著盯著螢幕上的資料:二四六七八……
(某遊戲玩家玩的不亦樂乎,殊不知,你的遊戲被黑客截圖回傳了)
0x2故事原型
故事絕無虛構,如有雷同,純屬吻合。
事實上,騰訊反病毒實驗室在追溯Agent Tesla系列APT攻擊案例中,關注到一個網路ID為Harioboy的黑客或黑客組織,Harioboy利用水坑攻擊引導受害者下載&執行其定製的Agent Tesla,進而控制受害者電腦。
初步預測已有數十萬Hacker機器淪為Harioboy的肉雞。
截止撰稿前一週裡,仍有1K+多受害者變身為Harioboy的“小鮮肉”。
從Harioboy的後臺上傳來看,淪陷的機器多為遊戲資深玩家和一些小黑客,部分機器上發現裝有Visio Studio開發環境 和 Cheat Engin等黑客工具。
受害者電腦上的遊戲帳號、網上銀行資訊以及比特幣等敏感資訊均會被Harioboy回傳至C&C伺服器,致使受害者財產面臨著嚴重的安全威脅。
0x3事件盤點
【投毒黑客工具】
盤點一下案例,Harioboy提供了免費的RC7 Cracked 和 Discord破解工具,並在Youtube等視訊網站投放教學視訊,手把手教使用者怎麼破解RC7 和 Discord,然後坐等受害者入坑。
受害者通過搜尋引擎發現視訊 或roblox(RC7 Cracked)、Discord破解工具,下載並執行惡意程式碼,惡意程式碼在受害者電腦下載並執行Agent Tesla,黑客利用Agent Tesla C&C伺服器監視、控制受害者電腦。
【Agent Tesla】
基於Youtube視訊資料,至少2014年起Agent Tesla就已經存在,Agent Tesla原本是一個簡單的鍵盤記錄器(Keylogger),記錄使用者的按鍵行為,並回傳至黑客伺服器。歷經兩三年的發展,Agent Tesla惡意程式開發發團隊不斷迭代新的功能,將Agent Tesla從一個簡單的鍵盤記錄器演化成了一個模組化的間諜軟體,並通過網際網路對Agent Tesla進行出售,而買家可以按需購買Agent Tesla模組,進而方便地部署利用Agent Tesla木馬。
Agent Tesla的最常見的攻擊方式是利用釣魚郵件進行魚叉式攻擊,郵件中藏有惡意檔案。使用者一旦開啟並允許程式執行,該惡意檔案 就會自動下載安裝Agent Tesla。但是隨著針對性攻擊事件不斷髮生,人們對釣魚郵件的警覺性正在逐漸增強,釣魚郵件的攻擊成功率勢必受到影響。
【Harioboy水坑攻擊]
Harioboy似乎並未受到影響,Harioboy沒有利用釣魚郵件,而是利用水坑式攻擊的思路,主要針對遊戲玩家、黑客或破解愛好者這個群體,進行靶向攻擊。首先,Harioboy在網際網路部署一個植入惡意程式碼的黑客工具,並通過Youtube釋出其使用教程。受害者在Youtube相關視訊引導下會主動下載並執行這個黑客工具,進而遭受Harioboy的APT攻擊。
“姜太公釣魚,願者上勾”,黑客工具一旦在受害者電腦上執行,就會執行Harioboy事先植入的惡意程式碼,進而下載Harioboy定製的Agent Tesla木馬。 Harioboy此時此刻就如同潛伏在水坑旁的獅子,享受著等待著獵物(受害者)的“投懷送抱”。Harioboy藉助Agent Tesla C&C伺服器與受害者電腦進行通訊,對受害者電腦進行監控、控制,甚至竊取受害者銀行帳號、遊戲帳號、以及比特幣等敏感資訊並將回傳到C&C伺服器。
黑客利用Agent Tesla木馬向C&C伺服器回傳了大量的受害者帳號資訊。
0x4木馬危害
木馬保留了遠控功能,可通過接收C&C伺服器傳送的指令下載執行任何惡意程式碼 同時該木馬會收集各種軟體資訊、系統資訊、檔案資訊,並通過木馬定製竊取FTP客戶端、瀏覽器資料、郵箱帳號資訊、比特幣錢包等隱私資料,涉及的軟體/客戶端有上百款:
【木馬執行流程]
木馬會從資源中解密Shellcode載入&執行
1、首先Shellcode會通過GetTickCount檢測指令執行時差、GetCursorPos檢測滑鼠移動等方式進行除錯檢測,如果認為木馬程式被除錯,則會進入一個死迴圈,永不進行後續程式碼的執行。
2、利用“借屍”方法建立一個同名的程式,然後通過ZwUnmapViewOfSection,ZwWriteVirtualMemory將再次解密的惡意程式碼注入到新建的程式中。
3、通過GetThreadContext,SetThreadContext,ZwResumeThread恢復目標程式的執行。從而完成“殭屍”程式的建立,繼而執行注入惡意程式碼。
4、惡意程式碼可以同時包含數百個竊取資訊的函式,每個函式可以針對一種或一類軟體進行資訊竊取,羅列了幾種竊取場景:
①竊取Safari 瀏覽器帳號密碼儲存
Keychain.plist存放著Safari 瀏覽器記錄的帳號密碼資訊,通過命令。
將Keychain.plist轉換成xml檔案,再利用windows Windows DPAPI 可以輕易的解密加密後的帳號密碼。
轉換XML的命令列如下:
plutil.exe -convert xml1 -s -o c:\keychain.xml "c:\users\administrator\appdata\roaming\apple
computer\preferences\keychain.plist"複製程式碼
②竊取Chorme瀏覽器的密碼儲存
通過查詢檔案,索引資料庫表項,獲取敏感資訊 。
③竊取FileZilla帳號密碼
FileZilla是一款包含服務端和客戶端的FTP軟體。木馬可通過查詢FileZilla相關xml檔案獲取到帳號資訊。
④竊取OutLook郵箱資訊
通過查詢登錄檔獲取郵箱資訊 。
⑤竊取網路賭博(PokerStars)平臺帳號資訊
PokerStars目前是世界上最大的網路平臺撲克室。
通過遍歷查詢特定資料夾中是否含有users.ini檔案,解密其中的PWD欄位或者其他欄位進行竊取。
⑥竊取比特幣資訊
比特幣錢包的wallet.dat檔案對於比特幣賬戶來說非常重要,檔案裡存有私鑰資訊,如果沒有通過嚴格加密,是完全有可能造成私鑰洩漏,出現比特幣被盜的。
0x5傳播趨勢
C&C伺服器上傳的截圖分析發現,大部分受害者都是遊戲愛好者,喜歡研究遊戲破解,這些受害者或可稱為“Script Kiddie”。
受害者電腦上發現有使用包括螢幕錄影直播、遊戲開發引擎、滑鼠自動點選、記憶體編輯,DLL注入在內一款或多款工具 以及一些Steam遊戲:
地區分佈來看美國、歐洲一些國家感染比較明顯,亞洲地區主要集中在東南亞地區,這跟Roblox遊戲及Discord的釋出地區密切相關。
閱讀推薦
一站式滿足電商節雲端計算需求的祕訣
Android 記憶體洩漏分析心得
使用 Django 自定義 Field 加密資料
此文已由作者授權騰訊雲技術社群釋出,轉載請註明文章出處
原文連結:
cloud.tencent.com/community/a…