Loading
0

文档化身商业木马,对“盗神”的分析与溯源

在木马中用到的LaZagne是目前的最新版本1.7版。

最终写入PWD.txt中的内容示例为:

2.键盘记录
木马会创建低级键盘钩子记录键盘信息:

3.屏幕截图
屏幕截图相关代码如下:

可以看到其截取的是受害者的全部桌面屏幕:

五、回传
收集到足够的隐私信息后,木马会将这些信息回传到服务器上,回传使用的方式是连接邮件服务器并发送邮件。
当邮件的发件人和收件人并非同一地址时,邮件发送之后本来是无法继续跟踪邮件内容的。有趣的是,在使用捕获到的其中一个木马使用的用户名密码登录邮件服务器之后,可以看到有一些邮件因为被识别为垃圾邮件等原因,被收件人的邮件服务器给退了回来,退回的邮件中包含有发送的邮件原文。
在退回的邮件中,可以发现木马回传的隐私信息。比如如下这个邮件中,就包含了木马在受害者电脑上的屏幕截图和相关日志:

此外,在另一个样本的邮箱中,可以在收件箱中发现更多寄给自己的邮件。这批邮件涉及的企业和隐私内容更加广泛,包括大量的邮箱密码、浏览器保存密码、聊天记录、屏幕截图等内容均遭到泄漏,其中还包括了银行、政府网站登录密码这样的敏感数据。

同时还可以发现,这些邮箱也被用于发送钓鱼邮件,传播带宏的样本:

团体
在最初分析的带宏文档的属性中可以看到,生成该文档的原始语言为波兰语。

Zip包的下载域名所对应的托管公司也位于波兰。同时,在邮箱中也可以发现一些波兰语的邮件。可以猜测,该木马的传播者也位于波兰。
但是,传播者并不等同于制造者。通过进一步分析可以发现,不同的样本使用的具体手法上有所差别,可以认为是由不同的恶意攻击团体在进行操作。可以想象这些木马是由某一个团体开发,然后交到不同的攻击团体手中,经过个性化修改后再进行传播。
顺着这个思路,我们在网上找到了此木马的最初源头。令人惊讶的是,此木马的制作团体已经开发了一整套完整的商业项目,将此木马在网络上进行兜售,售价从15美元/月到75美元/永久不等。从网站上给出的截图可以看出,木马除了通过邮箱回传信息之外,还支持通过FTP或PHP网页回传隐私信息。

通过网站上的自我介绍以及域名相关查询结果,基本可以确定此木马的制作者是位于希腊的团体。

分页阅读: 1 2
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。