疑似针对安全研究人员的窃密与勒索

前言

笔者在某国外开源样本沙箱平台闲逛的时候,发现了一个有趣的样本,该样本伪装成安全研究人员经常使用的某个渗透测试工具的破解版压缩包,对安全研究人员进行窃密与勒索双重攻击,这种双重攻击的方式也是勒索病毒黑客组织常用的勒索攻击模式之一。

Lazarus APT组织就曾发起过多次针对安全研究人员的定向攻击活动,通过捆绑IDA、dnSpy等安全研究人员常用的工具安装木马后门,窃取安全研究人员电脑上的重要数据,所以安全研究人员平时在各种各样的网站、论坛、或者公私有的聊天群里下载陌生人分享的各种安全工具、学习资料、源代码工程等,都需要提高安全意识,多留一个心眼,有可能下载的这些东西就被捆绑了病毒木马,一不小心就会被窃密勒索,大家的研究成果可能就会受到损失,如果有发现什么可疑的样本,可以打包发给笔者。

分析

1.攻击者利用伪装成SQL注入工具破解版压缩包文件进行传播,样本解压之后,如下所示:

2.CRACKER EXECUTE FIRST.exe程序其实是StormKitty窃密程序,如下所示:

StormKitty窃密程序,是一款使用C#语言编写的窃密程序,可以获取操作系统剪切版相关数据,进行键盘记录,窃密系统中的各种敏感数据信息等,该恶意软件具有反虚拟机、反沙箱、反分析、反调试等功能,如下所示:

窃密程序会判断Telegram通信Token信息,如果获取到Token有效则安装窃密程序到系统,如果获取Token失败,则进行自删除操作,如下所示:

自删除操作,如下所示:

请求的URL链接:

https://api.telegram.org/bot5164472041:AAHwEusPzWifxsmadoFOsQ-P1iPCki9rGus/getMe,返回值如下所示:

返回成功之后,安装窃密木马,安装成功之后进行各种数据窃取操作,如下所示:

窃取的数据包含:系统版本、进程、CPU、GPU、RAM等系统信息、COOKIE数据、历史记录信息、Chromium、Firefox、IE、Edge等浏览器密码数据信息、ProtonVPN、OpenVPN、NordVPN等VPN客户端数据、加密货币虚拟钱包数据、USB设备数据、键盘记录数据、剪切版数据、屏幕截图以及摄像头访问权限等,将窃密的系统信息以及获取到的数据压缩加密保存在指定目录下,然后通过Telegram发送到黑客服务器上,窃密的数据信息显示为Prynt Stealer窃密信息,如下所示:

Prynt Stealer窃密软件是一款新型的信息窃取恶意软件家族,此前在地下黑客论坛公开出售,每个月仅售100美元,可以针对 30 多种基于 Chromium 的浏览器、5 多种基于 Firefox 的浏览器以及一系列 VPN、FTP、消息传递和游戏应用程序进行信息窃取,功能非常强大。

3.SQL Injector Cracked By @mustleak.exe程序其实是Magnus勒索病毒,如下所示:

判断操作系统版本,如果是以下两个国家的操作系统语言版本,则不进行加密操作,如下所示:

判断进程是否为管理者权限,如果为管理者权限,则删除系统磁盘卷影、备份、禁用系统任务管理器,关闭相关系统服务等,如下所示:

遍历系统文件目录,进行文件加密操作,如下所示:

对包含如下字符串的系统目录文件不进行加密,字符串列表:

"Program Files",

"Program Files (x86)",

"Windows",

"$Recycle.Bin",

"MSOCache",

"Documents and Settings",

"Intel",

"PerfLogs",

"Windows.old",

"AMD",

"NVIDIA",

"ProgramData"

对包含如下字符串的文件名的文件,不进行加密,字符串列表:

"appdata\\local",

"appdata\\locallow",

"users\\all users",

"\\ProgramData",

"boot.ini",

"bootfont.bin",

"boot.ini",

"iconcache.db",

"ntuser.dat",

"ntuser.dat.log",

"ntuser.ini",

"thumbs.db",

"autorun.inf",

"bootsect.bak",

"bootmgfw.efi",

"desktop.ini"

加密文件算法采用AES加密算法,加密密钥为硬编码RSA密钥信息,如下所示:

加密后的文件后缀名为随机文件名,如下所示:

生成的勒索提示信息文件名READMEEEEEE!!!!.txt,内容如下所示:

黑客的BTC钱包地址:bc1qrx0frdqdur0lllc6ezmv45hchdrg72ns7m6jmy,同时桌面背景被修改成如下所示:

黑客组织伪装成SQL注入工具破解版压缩包程序,传播StormKitty窃密程序和Magnus勒索病毒进行窃密和勒索双重攻击,从网站下载各种破解版的软件的时候,一定要多留意一下。

总结

安全意识很重要,现在各种钓鱼攻击层出不穷、花样百出,恶意软件也是无处不在,一些黑客组织每天都在寻找着新的目标进行定向窃密攻击,拿到这些目标的重要数据之后,再进行后续其他恶意攻击活动,所以大家下载软件的时候,一定要到正规的官方指定网站进行下载,同时需要检测官方的数据签名是否完整有效,现在各种新型的恶意软件不断涌现,黑客组织也在不断更新开发自己武器库的攻击程序,大家在接受别人发的程序,文档数据的时候,一定要多加一层防范意识,可能这些程序、文档数据就被捆绑了恶意软件,当你打开这些程序或文档之后,可能你的电脑就会被黑客勒索、数据被黑客窃取,更有可能造成后面更大的损失。

笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/678314.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Scrum敏捷开发管理全流程-敏捷管理工具

Leangoo领歌是款永久免费的专业的敏捷开发管理工具,提供端到端敏捷研发管理解决方案,涵盖敏捷需求管理、任务协同、进展跟踪、统计度量等。 Leangoo领歌上手快、实施成本低,可帮助企业快速落地敏捷,提质增效、缩短周期、加速创新。…

娱乐直播APP开发:引领潮流,创新无界

随着互联网技术的飞速发展,娱乐直播APP已经成为现代人生活的重要组成部分。它以其独特的互动性、即时性和个性化,吸引了大量用户。本文将深入探讨娱乐直播APP开发的关键要素,以及如何在这个竞争激烈的市场中脱颖而出。 一、娱乐直播APP的核心…

第4章 表单与类视图

学习目标 熟悉Flask处理表单的方式,能够归纳在Flask程序中如何处理表单 掌握Flask-WTF扩展包的安装,能够借助pip工具安装Flask-WTF扩展包 掌握使用Flask-WTF创建表单的方式,能够独立使用Flask-WTF创建表单 掌握在模板中渲染表单的方式&…

基于vue+node.js的校园跳蚤市场系统多商家

校园跳蚤市场系统可以在短时间内完成大量的数据处理、帮助用户快速的查找校园跳蚤市场相关信息,实现的效益更加直观。校园跳蚤市场系统中采用nodejs技术和mysql数据库。主要包括管理员、发布者和用户三大部分,主要功能是实现对个人中心、用户管理、发布者…

CSS3弹性布局

传统的布局,基于盒状模型,依赖 display 属性 position属性 float属性。它对于那些特殊布局实现起来比较麻烦,就比如垂直居中,伸缩等。实现起来就不是很容易。 弹性布局是CSS3一种新的布局模式,是一种当页面需要适应不同的屏幕大…

uv机器电机方向极性

爱普生主板设置X、Y 电机方向极性:请根据实际情况设置,开机初始化时如果电机运动方向反了则修改此极性。 理光主板设置X、Y 电机方向极性

网课:[NOIP2017]奶酪——牛客(疑问)

链接:登录—专业IT笔试面试备考平台_牛客网 来源:牛客网 题目描述 现有一块大奶酪,它的高度为 h,它的长度和宽度我们可以认为是无限大的,奶酪中间有许多半径相同的球形空洞。我们可以在这块奶酪中建立空间坐标系&a…

Leecode之反转链表

一.题目及剖析 https://leetcode.cn/problems/reverse-linked-list/description/ 二.思路引入 设定三个指针,n1指向空, n2指向head,n3指向下一个元素,将n2->next指向n1,然后三个指针向后遍历重复即可 三.代码引入 /*** Definition for singly-linked list.* struct List…

[论文总结] 深度学习在农业领域应用论文笔记12

文章目录 1. 3D-ZeF: A 3D Zebrafish Tracking Benchmark Dataset (CVPR, 2020)摘要背景相关研究所提出的数据集方法和结果个人总结 2. Automated flower classification over a large number of classes (Computer Vision, Graphics & Image Processing, 2008)摘要背景分割…

开源版发卡小程序源码,云盘发卡微信小程序源码带PC端

一款发卡小程序。带PC端 系统微信小程序前端采用nuiapp 后端采用think PHP6 PC前端采用vue开发 使用HBuilderX工具打开,运行到微信小程序工具,系统会自动打包微信小程序代码 修改文件common/request/request.js 改成你的后端网址 微信小程序端完全…

python coding with ChatGPT 打卡第19天| 二叉树:合并二叉树

相关推荐 python coding with ChatGPT 打卡第12天| 二叉树:理论基础 python coding with ChatGPT 打卡第13天| 二叉树的深度优先遍历 python coding with ChatGPT 打卡第14天| 二叉树的广度优先遍历 python coding with ChatGPT 打卡第15天| 二叉树:翻转…

ChatGPT高效提问—prompt常见用法(续篇十)

ChatGPT高效提问—prompt常见用法(续篇十) 1.1 使用引导词 ​ 除了利用prompt引导ChatGPT回答问题,另一种重要的应用场景是让ChatGPT根据需求生成各种内容,比如诗词创作、故事续写、招聘信息编写,甚至是舞台剧剧本创作等。在这些场景中,我们可以采取一个巧妙的策略,那…

SpringCloud-Nacos服务分级存储模型

Nacos 服务分级存储模型是 Nacos 存储服务注册信息和配置信息的核心模型之一。它通过将服务和配置信息按照不同级别进行存储,实现了信息的灵活管理和快速检索,为微服务架构下的服务发现和配置管理提供了高效、可靠的支持。本文将对 Nacos 服务分级存储模…

CVE-2021-44915 漏洞复现

CVE-2021-44915 路由/admin/admin.php是后台,登录账号和密码默认是admin、tao,选择管理栏目菜单。 点击编辑,然后随便改点内容,提交时候抓包。 id是注入点。直接拿sqlmap跑就行了。

FPGA_工程_基于rom的vga显示

一 框图 二 代码修改 module Display #(parameter H_DISP 1280,parameter V_DISP 1024,parameter H_lcd 12d150,parameter V_lcd 12d150,parameter LCD_SIZE 15d10_000 ) ( input wire clk, input wire rst_n, input wire [11:0] lcd_xpos, //lcd horizontal coo…

Redis核心技术与实战【学习笔记】 - 26.Redis数分布优化(应对数据倾斜问题)

简述 在切片集群中,数据会按照一定的规则分散到不同的实例上保存。比如,Redis Cluster 或 Codis 会先按照 CRC 算法的计算值对 Slot(逻辑槽)取模,同时 Slot 又有运维管理员分配到不同的实例上。这样,数据就…

【芯片设计- RTL 数字逻辑设计入门 番外篇 9 -- SOC 中PL端与PS端详细介绍】

文章目录 Programmable Logic and Processing SystemPL(Programmable Logic)特点PS和PL之间的协同设计和开发工具 Programmable Logic and Processing System 在系统级芯片(SoC)的上下文中,“PL” 通常指的是可编程逻…

test fuzz-04-模糊测试 jazzer Coverage-guided, in-process fuzzing for the JVM

拓展阅读 开源 Auto generate mock data for java test.(便于 Java 测试自动生成对象信息) 开源 Junit performance rely on junit5 and jdk8.(java 性能测试框架。性能测试。压测。测试报告生成。) test fuzz-01-模糊测试(Fuzz Testing) test fuzz-…

自动化AD域枚举和漏洞检测脚本

linWinPwn 是一个 bash 脚本,可自动执行许多 Active Directory 枚举和漏洞检查。该脚本基于很多现有工具实现其功能,其中包括:impacket、bloodhound、netexec、enum4linux-ng、ldapdomaindump、lsassy、smbmap、kerbrute、adidnsdump、certip…

YOLO系列详解(YOLOV1-YOLOV3)

YOLO算法 简介 本文主要介绍YOLO算法,包括YOLOv1、YOLOv2/YOLO9000和YOLOv3。YOLO算法作为one-stage目标检测算法最典型的代表,其基于深度神经网络进行对象的识别和定位,运行速度很快,可以用于实时系统。了解YOLO是对目标检测算…