网络安全公司Cybereason于近日发文称,该公司旗下Nocturnus团队正在追踪一种新型键盘记录病毒,这是因为这种病毒正越来越频繁地出现,在网络犯罪中越来越受欢迎。
被命名为“Phoenix(凤凰)”的键盘记录病毒于2019年7月首次出现,能够从近20款浏览器、4种电子邮箱客户端以及FTP客户端和即时通讯客户端中窃取个人数据,数据窃取能力远远超出了单纯键盘记录的范畴,以至于Cybereason公司更倾向于把它归类为“间谍软件(infostealer)”。
恶意软件概述
Phoenix最初被一些杀毒软件厂商识别为Agent Tesla(一种间谍软件),但Cybereason公司在分析后发现,这是一种全新的恶意软件。
通过在暗网的一番搜索,Cybereason公司发现Phoenix最早出现的时间是在7月份,且是通过“恶意软件即服务(MaaS)”出售的,初始售价从14.99到78.99美元不等。
图1. Phoenix MaaS上架的时间(2019年7月24日)
图2.Phoenix MaaS的定价模式
图3. Phoenix MaaS的最新定价
Phoenix上架后不久便引来了大量的关注,并赢得了许多用户的好评——功能齐全、稳定性好、简洁易用的用户界面、良好的售后服务。
图4. 一位Phoenix用户写下的评论,详细描述了Phoenix的简洁易用
图5.另一位Phoenix用户写下的评论,详细描述了卖家是如何帮他解决问题的
恶意软件功能
如上所述,采用VB.NET编写的Phoenix具有许多功能,远远超出了键盘记录的范畴,这其中包括:
- 键盘记录+剪贴板窃取
- 屏幕截图
- 密码窃取(浏览器、电子邮箱客户端、FTP客户端、即时通讯客户端)
- 通过SMTP、FTP或Telegram进行数据过滤
- 下载(用于下载其他恶意软件)
- 所谓的“AV-Killer”模块,即“反杀毒软件”模块
- 反调试和反虚拟机功能
感染链
大多数Phoenix样本都是通过钓鱼电子邮件附件中的恶意富文本文件(RTF)或Microsoft Office文档进行传播的,但使用的并不如如今更为流行的宏技术,而是漏洞利用(被利用最多的漏洞是微软公式编辑器漏洞CVE-2017-11882)。
图6. Phoenix的感染链
受感染系统分析
Phoenix在成功感染目标计算机后,将对计算机进行配置,以收集有关操作系统、硬件、运行中的进程、用户及其外部IP的信息,并将这些信息存储到内存中,然后将发送给攻击者。
由于被盗信息不会被写入硬盘,这就导致不会有痕迹留下,信息窃取行为也就很难被发现。
图7.发送给攻击者的数据示例
反分析检测功能
Phoenix的开发者在反分析检测花费了大量的经历,因为他使用了多种方法来确保Phoenix能够逃过检测:
- 加密:Phoenix使用的大多数关键字符串都经过了加密处理,并且仅在内存中解密。
- 混淆:混淆似乎是通过开源的Con混淆器实现的,用以阻止反编译和代码检查。
此外,Phoenix还具有一组功能,可在管理面板中禁用多种Windows工具,如CMD、注册表、任务管理器和系统还原等。
图8. Phoenix键盘记录病毒管理面板上禁用其他工具的选项
反虚拟机模块
Phoenix的大多数反虚拟机检查都基于已知的技术,Cybereason公司我们认为它们很可能是从Cyberbit博客直接复制过来的。
一旦Phoenix在目标计算机中发现以下任何进程或文件,它都将执行检查并自行终止:
图9.Phoenix内置的目标进程列表
禁用Windows Defender
Phoenix会尝试通过更改以下注册表项来禁用Windows Defender AntiSpyware模块。
图10.Phoenix试图禁用Windows Defender
反杀毒软件模块
Phoenix的反杀毒模块会尝试杀死多种安全产品的进程。
图11.用于杀死安全产品进程的代码
分析表明,目标进程包括:
zlclient、egui、bdagent、npfmsg、olydbg、anubis、wireshark、avastui、_Avp32、vsmon、mbam、keyscrambler、_Avpcc、_Avpm、Ackwin32、Outpost、Anti-Trojan、ANTIVIR、Apvxdwin、ATRACK、Autodown、Avconsol、Ave32、Avgctrl、Avkserv、Avnt、Avp、Avp32、Avpcc、Avpdos32、Avpm、Avptc32、Avpupd、Avsched32、AVSYNMGR、Avwin95、Avwupd32、Blackd、Blackice、Cfiadmin、Cfiaudit、Cfinet、Cfinet32、Claw95、Claw95cf、Cleaner、Cleaner3、Defwatch、Dvp95、Dvp95_0、Ecengine、Esafe、Espwatch、F-Agnt95、Findviru、Fprot、F-Prot、F-Prot95、Fp-Win、Frw、F-Stopw、Iamapp、Iamserv、Ibmasn、Ibmavsp、Icload95、Icloadnt、Icmon、Icsupp95、Icsuppnt、Iface、Iomon98、Jedi、Lockdown2000、Lookout、Luall、MCAFEE、Moolive、Mpftray、N32scanw、NAVAPSVC、NAVAPW32、NAVLU32、Navnt、NAVRUNR、Navw32、Navwnt、NeoWatch、NISSERV、Nisum、Nmain、Normist、NORTON、Nupgrade、Nvc95、Outpost、Padmin、Pavcl、Pavsched、Pavw、PCCIOMON、PCCMAIN、Pccwin98、Pcfwallicon、Persfw、POP3TRAP、PVIEW95、Rav7、Rav7win、Rescue、Safeweb、Scan32、Scan95、Scanpm、Scrscan、Serv95、Smc、SMCSERVICE、Snort、Sphinx、Sweep95、SYMPROXYSVC、Tbscan、Tca、Tds2-98、Tds2-Nt、TermiNET、Vet95、Vettray、Vscan40、Vsecomr、Vshwin32、Vsstat、Webscanx、WEBTRAP、Wfindv32、Zonealarm、LOCKDOWN2000、RESCUE32、LUCOMSERVER、avgcc、avgcc、avgamsvr、avgupsvc、avgw、avgcc32、avgserv、avgserv9、avgserv9schedapp、avgemc、ashwebsv、ashdisp、ashmaisv、ashserv、aswUpdSv、symwsc、norton、Norton Auto-Protect、norton_av、nortonav、ccsetmgr、ccevtmgr、avadmin、avcenter、avgnt、avguard、avnotify、avscan、guardgui、nod32krn、nod32kui、clamscan、clamTray、clamWin、freshclam、oladdin、sigtool、w9xpopen、Wclose、cmgrdian、alogserv、mcshield、vshwin32、avconsol、vsstat、avsynmgr、avcmd、avconfig、licmgr、sched、preupd、MsMpEng、MSASCui、Avira.Systray
凭证窃取
Phoenix试图通过搜索包含敏感信息的特定文件或注册表项来窃取目标计算机本地存储的凭证和其他敏感信息,目标包括浏览器、电子邮箱客户端、FTP客户端和即时通讯客户端。
- 浏览器:Chrome、Firefox、Opera、Vivaldi、Brave、Blisk、Epic、Avast、SRware Iron、Comodo、Torch、Slimjet、UC、Orbitum、Coc Coc、QQ、360和猎豹;
- 电子邮箱客户端:Outlook、Thunderbird、Seamonkey和Foxmail;
- FTP客户端:Filezilla;
- 即时通讯客户端:Pidgin。
图12.Phoenix的Outlook模块
图13.Phoenix的Pidgin模块
键盘记录器模块
Phoenix使用了一种常见的挂钩键盘事件的方法来记录键盘录入——使用Windows API函数SetWindowsHookExA映射按下的键,然后将它们与相应的进程进行匹配。
图14. Phoenix的键盘记录钩子函数
图15. Phoenix将键盘录入与相关进程进行匹配
结论
Phoenix是一种作为恶意软件即服务出售的键盘记录病毒,自2019年7月下旬上架以来,因其低廉的价格、简洁易用和良好的售后服务在暗网交易市场越来越受欢迎。
严格意义上讲,Phoenix应该被归类为间谍软件,因为它拥有比单纯键盘记录病毒多得多的功能。相信,在“恶意软件即服务”销售模式下,Phoenix必将在即将到来的2020年掀起一场腥风血雨。