▌写在前面

自今年5月起，我们在多个黑客论坛中发现了一款名为ObserverStealer的窃密木马正在被售卖。这款木马具有强大的恶意功能，它能够窃取用户的浏览器数据，上传指定目录的文件，获取屏幕截图，甚至下载和运行其他恶意载荷。

在我们的监控过程中，也观察到了此类事件的发生。

因此，今天我们将从这个角度出发，通过各种渠道进行IOC收集，同时利用FOFA和any.run这两款工具，对该组织进行深度的资产拓线分析。

▌原始IOC收集  

原始样本分析

甚至根据样本能看到被控人的截图，好家伙。

互联网检索  

我们通过以上获得的信息进行检索，发现Group-IB安全团队在5月份的时候就揭露了类似的组织，并称其为Observer Stealer（观察偷窃者），Group-IB揭露了有人在xss.is网站上以150美元/月的价格出售用户浏览器保存的账号密码信息、个人电脑信息。和我们发现的情况一样！   

通过Group-IB的推文信息可以发现，这个平台可以直接生成exe执行文件，并去收集相关电脑上的信息，而且披露的该平台的样本数据截图，和我们获取到的数据结构非常相似！

病毒样本分析  

在使用关键词“Observer Stealer”在app.any.run病毒分析站进行搜索后，我们发现了三个病毒样本。

经过初步的样本分析，我们发现它们会进行类似于认证的操作，随后从外部服务器加载DLL执行。接着，它们会向外联地址持续性地发送TXT和image文档。

path:          /freebl3.dll          /libcrypto.dll          /mozglue.dll          /nss3.dll          /mozglue.dll          /softokn3.dll          /sqlite3.dll

C2:          http://5.42.64.13:3000          http://5.42.64.41:1337          http://91.103.252.17:8912

▌利用FOFA进行拓线 

经过上述的几个方法，我们获取到了一些样本，下面我们将会使用FOFA尝试进行进一步的资产拓线，以获取更多不为人知的改组织的资产。    

线索1：从上述获取到的图标进行搜索，获取到4条数据。    

icon_hash="-1529439559"

线索2：病毒样本的C2地址特征 

样本病毒每次进行远程加载DLL时，都需要进行一次验证，且鉴定失败就会显示404。通过这条IOC，我们发现了这两个特征。

ip="5.42.64.13" 

将这两个特征拼接可得搜索语法，但是结果有点太多了，不太正常。

banner="access-control-expose-headers: Content-Type, Authorization" && banner="404 Not Found"

我们冷静下来重新分析，如果都通过该平台去加载这种行为，那它每一次的404返回页面内容应该是一样的，那么长度信息也可以进行提取，同时满足三个特征的资产才是我们要找的。

生成的新语法有6个地址，5个独立IP。     

banner="access-control-expose-headers: Content-Type, Authorization"&&banner="404 Not Found"&&banner="Content-Length: 40"

拿到这些资产后，可以继续去样本网站进行查询，试试这样是否会发现更多的线索。

结果1

5.42.64.13: 最早样本时间为2023年6月13日。该样本特征为同一个进程中利用了其他C2地址来下载exe可执行文件和上传txt文档。

他所关联的C2地址为：        

5.42.66.1          94.142.138.116

结果2

5.42.64.41：最早样本时间为2023年6⽉5⽇。是一种新的利⽤⽅式，它会通过共享⽂件平台这种⽅式下载恶意⽂件并运⾏。

https://www.4sync.com/web/directDownload/5cAUlxF1/fOHYSFp2.2d5b0e87aace84bf3807a7c917adfb0d

结果3    

91.103.252.17：最早样本时间为2023年7⽉4日。⼜发现了与上述两个结果不同的利⽤⽅式，它会通过⽩名单 windowsupdate.com跟godaddy.com去加载恶意⽂件进行⼆次利⽤。

结果4

77.73.134.51：最早样本时间为2023年5⽉15日。该IP直接对应到了observer stealer组织演示该平台的时间跟IP。

为什么要选取这几个结果IOC进行分析呢？因为它们很有代表性且可以得出有意思的结论。

我们根据攻击方式和时间线（基本都是在6月到7月出现第一批样本数据）来说，可以判断这些IP并不是同一个组织，初步判断有三批不同的团队在通过这个平台进行病毒传播。

而且通过分析病毒行为发现，该病毒在5月份以后的版本出现了远控的功能，可以控制下载或者访问挂载的文件。

我们刚才通过病毒关联发现了两个有用的IP，可以在FOFA上进行进一步的拓线。

先从5.42.66.1入手，发现了熟悉的开放端口3000，根据相关样本相近的结果显示，这个程序访问的80端口上挂载着一个myliunx的服务。

现在已知，该组织一般会通过3000端口去加载DLL，80端口POST文件利用，那么结合这两个特征，先通过标题和80端口检索结果。

有8条资产，6个独立ip。

title=="myLinx" && port="80"

77.91.76.15          5.42.66.1          104.21.76.48(cloundflare)          172.67.187.177(cloundflare)          208.113.165.34          135.181.213.164

我们去除掉cloundflare 资产分别查看这4个IP是否开放3000端⼝。

（bot的吐槽：马上2024了，检测同时开放了两个端口的ip语法还没上线，还得一条一条查，回头就找研发掰头）

发现IP归属地为东欧地区的IP都开放了3000端⼝，结合我们之前对病毒⾏为分析的结论：在远程加载DLL之前需要验证，所以3000端⼝返回包应该为 404。

所以基本确认 77.91.76.15和5.42.66.1是这个组织另外的C2地址。

这次关联ip的分析结果如下：

c2地址：77.91.76.15          5.42.66.1          受控主机          94.142.138.116

▌总结   

我们这次通过分析Stealer偷窃者类木马的行为特征，结合FOFA和any.run，去探寻他们背后的更多资产和特征。

这个木马其主要表现为进行类似认证的外部访问操作，加载外部服务器挂载的DLL执行，以及持续向外联地址POST发送txt和image文件，并伴有一些远控行为。

通过对病毒样本的分析，我们发现了三种不同的攻击行为方式，确认了存在多个组织在进行此类活动的结论。并且通过FOFA拓线发现并确认了该组织的服务器以及C2服务器。

希望这篇文章可以为大家带来更多的思考，互联网非常的有趣，抽丝剥茧总能发现隐藏在最深处的线索。   

信息汇总

DLL path          /freebl3.dll          /libcrypto.dll          /mozglue.dll          /nss3.dll          /mozglue.dll          /softokn3.dll          /sqlite3.dll

C2:          5.42.64.41:1234          179.43.155.205:81          91.103.252.16:2424          91.215.85.38:1234          5.42.64.13:3000          91.103.252.17:8912          91.215.85.38:3000          5.42.64.41:1337          77.73.134.51:3000          77.73.134.51:3001          77.91.76.15          5.42.66.1          94.142.138.116    

Trojan hash MD5：3a4bd9f63354d5c840069528f2245b8a          94a5c959239a6cd8f580e5f088552369          57cebb3b7e7f6362fd8282c0a62e8ed9          8daeb676138ec7a6173f8cae4d9b5146          9213ec7fc25ac1f8e2fb318bb2d399e7          e5dbe60dbe305d5b512a93c80f2575ad          be266f86c6927fedc41f106002e6c9c2          fd72250981f4893adf7b46f44d41444d          fc6c1ca41a6d39ded7ed9aa8a4d85585          781b967891fc70a56149bf82dfad4fa4          508971e96c961d6b88d56701cd189bb2          1780096fea2ee66aedd59718c7686f15          298b4efda09bf8d79b5deb84ca87fbae          7f8d6ce69e8b0d9c09208ad39b1d1440          d382782d8fa8574354ac6033f95eb5ca          df3795e6842e839cf45e694b7164ee17          bee39fe76d04c610256938a58ac5d660          d86704134f65f0ebe87032f76864db5a          df3795e6842e839cf45e694b7164ee17          c28cc92a7c78b96bec58fa3e5398074a          21001efc52912f4fac0ec8b4a5837313          88344d191754f08133b2e798b836638d          c31d52eb807ac1b269d66ceafa3012b9          d6b12bcfdf067e283a062a542d96c6e0          0160251d7bd26c489df555fbe24dd9be          59565c1d8b5fd88759ea9e225379783b          e884f6eec5e4ab58a189203001c6acc9

▌参考链接：   

[1]:https://www.antiy.cn/research/notice&report/research_report/ObserverStealer_Analysis.html

[2]:https://twitter.com/TLP_R3D/status/1662508869665402880

[3]:https://twitter.com/GroupIB_TI/status/1658805021880795136

[4]:https://medium.com/@cyberhust1er/observerstealer-unmasking-the-new-contender-in-cybercrime-6e54a40d801d

▌End

欢迎各位白帽师傅们加入我们的社区大家庭，一起交流技术、生活趣事、奇闻八卦，结交无数白帽好友。

也欢迎投稿到 FOFA，审核通过后可获得F点奖励，快来加入微信群体验吧~~~

微信群：扫描下方二维码，加入 FOFA 社群！获取更多一手信息！

原文始发于微信公众号（FOFA）：ObserverStealer 窃密木马分析及拓线