歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

新型惡意軟件Phoenix鍵盤記錄器

來源:本站整理 作者:佚名 時間:2019-12-06 TAG: 我要投稿

Phoenix鍵盤記錄器于2019年7月首次出現,短時間內便在網絡犯罪分子中快速流傳開來,它具有許多信息竊取的功能,這些功能甚至已經超出了按鍵記錄的范疇,所以有人傾向于將其歸類為間諜軟件。
要點
· 多來源數據竊。篜hoenix采用的是“惡意軟件即服務”(MaaS)的模式,能從近20個瀏覽器、4個的郵件客戶端,以及FTP客戶端和通訊客戶端中竊取個人數據。
· 試圖繞過80多種安全產品:Phoenix擁有多個防御和規避機制來避免分析和檢測,其中一個反av模塊會試圖殺死超過80種安全產品和分析工具的進程。
· 目標遍及各大洲:雖然Phoenix發布還不到半年時間,但擴散速度很快,北美、英國、法國、德國以及歐洲其他地區和中東等地都有相應受害者,預計未來將有更多地區將受到影響。
· 通過Telegram過濾隱私數據:Phoenix有常見的SMTP和FTP協議,也支持通過Telegram濾出數據。Telegram是全球流行的聊天應用程序,其合法性和端到端加密功能常被網絡犯罪分子利用。
· 與Alpha鍵盤記錄器師出同門:Phoenix由Alpha鍵盤記錄器背后的同一個團隊創作。
· 簡單易上手:當前MaaS模式在網絡犯罪生態系統中的日益流行,易操作性和性價比成了惡意軟件快速傳播的兩個重要要素,預計等到明年的時候會有更多的犯罪新手利用這類MaaS危害社會。
背景
2019年7月底,Cybereason平臺檢測到一個惡意軟件樣本,該樣本被一些安全產品廠商歸類為Agent Tesla,但經過進一步審查后發現并不是,能夠確定這類惡意軟件是一種全新的未被記錄的惡意軟件,Cybereason決定將它稱為Phoenix鍵盤記錄器。
Phoenix在地下社區中由一位叫“Illusion”的會員售賣,Phoenix推出后不久便在地下社區收獲了廣泛好評,不少用戶稱贊其方便好用、售后服務周到。

圖1.Phoenix初始服務售價
惡意軟件分析
功能
· Phoenix鍵盤記錄器是用VB.NET編寫的。它具有許多功能,遠遠超出了鍵盤記錄本身,包括:
· 鍵盤記錄+剪貼板竊取
· 屏幕截圖
· 密碼竊。g覽器,郵件客戶端,FTP客戶端,聊天客戶端)
· 通過SMTP、FTP或Telegram進行數據過濾
· 下載器(用于下載其他惡意軟件)
· AV-Killer模塊
· 防調試和防VM功能
交付方式
默認情況下,Illusion將Phoenix鍵盤記錄器作為存根提供給買家,買方必須使用自己的方法把存根轉移到目標機器上。我們觀察到的大多數Phoenix感染都是利用武器化富文本文件(RTF)或Microsoft Office文檔進行的釣魚嘗試,使用的都是已知的漏洞,并沒有用到更流行的惡意宏技術,其中最常見的是利用了Equation Editor公式編輯器的漏洞(CVE-2017-11882)。

圖2.使用武器化文檔的Phoenix感染過程樹
受感染的系統配置文件
Phoenix成功感染目標計算機后將對計算機進行配置,收集有關操作系統、硬件、運行進程、用戶及其外部IP的信息,并將信息存儲在內存中直接發送回攻擊者,這種做法會更加隱蔽,因為如果不將泄露內容寫入磁盤就很難知道泄露的內容。

圖3.發送給攻擊者的系統分析數據示例
防分析檢測功能
很明顯,Illussion在Phoenix上花費了很多時間精力,使用幾種不同的方法來保護逃過檢查:
· 字符串加密:惡意軟件使用的大多數關鍵字符串都經過加密,并且僅在內存中解密。
· 混淆:混淆似乎是由開源ConfuserEx .NET混淆器實現的,用以阻止正確的反編譯和代碼檢查。
Illusion還建議使用額外第三方加密器使其更“混”,雖然大多數在野外捕獲的Phoenix樣本都裝有加密器,但還是會被大多安全產品檢測到。
獲得基本系統信息后,Phoenix會檢查它是否在“敵對”環境中運行,比如虛擬機、調試器,或是裝有分析工具和安全產品的計算機。Phoenix具有一組功能,可在管理面板中禁用不同的Windows工具,例如禁用CMD,注冊表,任務管理器,系統還原等。
Phoenix說是支持持久性,但分析的大多數樣本在感染后并未留存。對此的可能解釋可能是攻擊者希望將過度暴露的風險降到最低,一旦Phoenix獲得了必要的數據,就不需要超時來增加風險。

圖4.Phoenix鍵盤記錄器管理面板,具有禁用其他工具的功能
讓我們深入研究Phoenix用于檢測“敵對”環境的一些技術。
反虛擬機模塊
Phoenix的大多數反虛擬機檢查均基于已知技術,我們認為它們很可能是從Cyberbit博客中復制粘貼的。Phoenix在目標計算機中發現以下任何進程或文件時,將執行檢查并自行終止:
Phoenix檢查的運行進程:
SandboxieRpcSs
Vmtoolsd
Vmwaretrat
Vmwareuser
Vmacthlp
Vboxservice
Vboxtray
檢查是否存在以下文件:
c:\windows\System32\Drivers\VBoxMouse.sys
c:\windows\System32\Drivers\vm3dgl.dll
c:\windows\System32\Drivers\vmtray.dll
c:\windows\System32\Drivers\VMToolshook.dll
c:\windows\System32\Drivers\vmmousever.dll
c:\windows\System32\Drivers\VBoxGuest.sys
c:\windows\System32\Drivers\VBoxSF.sys

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 上海11选5走势图开奖 闲来贵州捉鸡麻将下 … 山东十一选五一定牛 今天湖北30选5开奖结果 直播吧录像足球页面 开元棋牌网站 云南星悦麻将 宁夏十一选五开奖结果手机版 36走势图福建体彩 在线观看A片不用下载小说 心悦辽宁麻将官网 乐乐安徽麻将 重庆快乐十分走势图开奖 彩票深圳风采开奖 股票配资余额 麻将游戏下载手机版