ObserverStealer窃密木马于2023年5月中旬开始在zelenka、xss、exploit等多个黑客论坛上以$150每月的价格进行售卖,并通过Matrix(一个分布式开源即时通讯协议,可用于构建私有化即时通讯系统)进行联系。该窃密木马具有以下特征:
1. 采用C++编写,具备混淆加密,规避安全软件检测;
2. 构建后大小为290-330KB,传播能力较强,可能会造成较大范围的感染;
3. 可以在Windows8.1到Windows11上运行。
图 2-1 论坛售卖信息
图 2-2 窃密数量对比图
3.1 获取系统地理位置
ObserverStealer窃密木马会收集系统的语言标识符、用户界面语言等信息,当包括以下字符串时则退出:armenia(亚美尼亚)、azerbaijan(阿塞拜疆)、belarus(白俄罗斯)、kazakhstan(哈萨克斯坦)、kyrgyzstan(吉尔吉斯斯坦)、moldova(尔多瓦)、tajikistan(塔吉克斯坦)、uzbekistan(乌兹别克斯坦)、ukraine(乌克兰)、russia(俄罗斯)。
图 3-1 获取系统界面语言
3.2 收集HWID
HWID(Hardware ID)可以用于唯一标识和追踪设备,ObserverStealer窃密木马会在每次运行时上传HWID。
图 3-2 获取HWID
3.3 收集系统信息
ObserverStealer窃密木马会收集用户名、语言、时区、系统版本、应用列表、CPU型号、架构、内存大小、显示器名称、分辨率,并上传收集到的信息。
图 3-3 收集系统信息
3.4 收集屏幕截图
ObserverStealer窃密木马收集屏幕截图,如下图所示:
图 3-4 收集屏幕截图
3.5 窃取浏览器信息
ObserverStealer窃密木马会收集gecko内核浏览器的cookie和密码,会收集chromium内核浏览器的cookie、密码、浏览器插件数据以及自动填充信息(银行卡信息、住址信息等)。
图 3-5 chromium内核浏览器窃取
在收集到的配置文件中,收集了以下浏览器信息:
|
浏览器内核 |
浏览器名称 |
||||
|
gecko |
Firefox |
Waterfox |
K-Meleon |
Thunderbird |
IceDragon |
|
Cyberfox |
BlackHaw |
PaleMoon |
|||
|
chromium |
Chromium |
Battle.net |
Google |
Google86 |
Opera |
|
ChromiumPlus |
Iridium |
7Star |
CentBrowser |
Chedot |
|
|
Vivaldi |
Kometa |
Elements |
EpicPrivacyBrowser |
Uran |
|
|
Sleipnir5 |
Citrio |
Coowon |
liebao |
QIPSurf |
|
|
Orbitum |
Comodo |
Amigo |
Torch |
YandexBrowser |
|
|
360Browser |
Maxthon3 |
K-Melon |
Sputnik |
Nichrome |
|
|
CocCoc |
Uran2 |
Chromodo2 |
Atom |
BraveSoftware |
|
|
Edge |
GeForceExperience |
Steam |
CryptoTabBrowser |
OperaGX |
|
|
YoroiWallet |
Tronlink |
NiftyWallet |
Metamask |
MathWallet |
|
Coinbase |
BinanceChain |
GuardaWallet |
EqualWallet |
JaxxxLiberty |
|
BitAppWallet |
iWallet |
Wombat |
AtomicWallet |
MewCx |
|
GuildWallet |
SaturnWallet |
RoninWallet |
TerraStation |
HarmonyWallet |
|
Coin98Wallet |
TonCrystal |
KardiaChain |
Phantom |
Oxygen |
|
PaliWallet |
BoltX |
LiqualityWallet |
XdefiWallet |
NamiWallet |
|
MaiarDeFiWallet |
Authenticator |
TempleWallet |
Exdous |
BitPay |
|
AuroxWallet |
WalletGuard |
EOFinanceWallet |
BitKeep-Wallet |
CoreWallet |
|
Crypto-Wallet |
VenomWallet |
BraavosWallet |
SolflareWallet |
BitfinityWallet |
|
TalismanWallet |
SubWallet |
PetraWallet |
PontemWallet |
MartianWallet |
|
SuiWallet |
Metamask |
ArgentX |
2FA-Authenticator |
Authy |
|
ABCWallet |
Bitski |
Z3US |
Nightly |
EthosSuiWallet |
|
LeapCosmosWallet |
Zecrey |
KeplrWallet |
FewchaMoveWallet |
UniSat |
|
XverseWallet |
PocketUniverse |
MorphisWallet |
okxwallet |
CosmoStation |
3.6 收集特定目录和文件
ObserverStealer窃密木马会根据配置收集特定的目录和文件,在收集到的配置文件中,包含了如下程序目录:
|
类别 |
软件名称 |
||
|
通信软件 |
Telegram |
Discord |
Element |
|
娱乐软件 |
Steam |
Steam Desktop Authenticator |
|
|
电子钱包 |
Atomic |
Coinomi |
Electrum |
|
Monero |
Exodus |
Binance |
|
|
FTP客户端 |
FileZilla |
||
3.7 下载并运行其他恶意载荷
ObserverStealer还会根据配置文件下载并运行其他恶意载荷,如图所示:
图 3‑6 下载运行其他载荷
样本对应的ATT&CK映射图谱
图 4‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表 4‑1 ATT&CK技术行为描述表
|
ATT&CK阶段/类别 |
具体行为 |
注释 |
|
执行 |
利用API |
可以根据配置文件下载执行其他恶意代码载荷 |
|
防御规避 |
混淆文件或信息 |
加密有效载荷,需要对有效载荷按位取反并加固定值解密 |
|
凭证访问 |
从存储密码的位置获取凭证 |
获取gecko内核以及chromium内核浏览器保存的用户名和密码 |
|
窃取应用程序访问令牌 |
窃取如Telegram、Steam等程序登录凭证 |
|
|
窃取Web会话Cookie |
获取gecko内核以及chromium内核浏览器保存的cookie信息 |
|
|
发现 |
发现进程 |
根据运行的进程信息获取Telegram、Steam等应用程序安装目录 |
|
发现软件 |
获取计算机中安装的软件列表并上传 |
|
|
发现系统信息 |
获取CPU、系统版本、屏幕分辨率等信息并上传 |
|
|
发现系统地理位置 |
获取时区、语言等信息并上传 |
|
|
发现系统地理位置 |
获取语言、键盘布局等信息并判断是否执行程序 |
|
|
发现系统所有者/用户 |
获取计算机用户名并上传 |
|
|
发现系统时间 |
获取时区信息并上传 |
|
|
收集 |
收集本地系统数据 |
根据目录搜索特定格式文件并上传 |
|
屏幕捕获 |
获取屏幕截图并上传 |
|
|
命令与控制 |
使用应用层协议 |
通过HTTP请求从C2下载配置文件获取窃取信息的目标 |
商业窃密木马的“产、销、用”已经形成一条完整的产业链,攻击者通过购买各个攻击阶段的服务实现低成本攻击,给用户的安全防护工作带来更多挑战,对此,安天建议:
1. 加强终端实时防护和行为检测
加强终端的执行体行为监控能力和病毒检测能力。部署安天智甲终端防御系统,通过安天下一代威胁检测引擎检测下载文件和ObserverStealer启动,通过内核级主动防御能力阻止其落地和运行。对于未启用实时防护功能的终端,智甲可针对ObserverStealer读取浏览器缓存文件、保存密码、屏幕截取等窃密行为进行告警和处置。
2. 提升网内流量的监测与响应
网络流量威胁检测设备可以发现ObserverStealer木马的传播行为,及时定位被感染的设备与传播源头。安天探海威胁检测系统可以对网络流量进行解析、分析、告警、存储。探海集成了恶意代码检测引擎、网络行为检测引擎、命令与控制通道检测引擎、威胁检测模型、自定义场景检测引擎,可以准确识别窃密木马的传播和窃密行为。
3. 引入沙箱深度分析鉴定
4. 遭受攻击及时发起应急响应
联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
|
IoCs |
|
5.42.64[.]41 |
|
91.103.252[.]15 |
|
91.103.252[.]16 |
|
91.103.252[.]17 |
|
0143F0A9D8EC33E98B94AB52F6ECEFFF |
|
2E4A5AF7A87FE7A58DBE4E9CD1045027 |
|
0843AA3D31B1801489ED68D23247FFB5 |
|
4C91120B7B53C4D453648FE2CC064FBD |
|
AA1E902C914FA474C70E66DCE8389830 |
|
DF3795E6842E839CF45E694B7164EE17 |
|
C28CC92A7C78B96BEC58FA3E5398074A |
|
508971E96C961D6B88D56701CD189BB2 |
|
FC7A0B6A337B96CBBE8D5FA3D7F010AB |
|
D70894B10C7806583FAD6CF77F315B2A |
|
96F2224C0F7F23F0EA0E933127E20023 |
|
DB2C2FCCB99E5EA0B710FDA6423EDA8C |
|
DB033868D1FB9AA2EA4BAD4E476BEB40 |
|
18BC6571A83B22ADA81E07824AE80030 |
|
21001EFC52912F4FAC0EC8B4A5837313 |
|
29DA0584D7BA7A2547D95D2EF2E3D4E3 |
|
F700C7059DCB4DB8B23E7F31EC135B7B |
|
DDEA87BB99FA0C0E4B8E7ED6DFA15458 |
原文始发于微信公众号(安天集团):商业窃密木马ObserverStealer活动及样本分析报告
