CyberArk最近捕获了一个风趣的歹意软件样本。它与惯例的偷盗凭证歹意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。
该歹意样本没有被混杂,但却能够躲避大多数反病毒软件(AV)的检测,这是因为它所运用的一种不常见的躲避技能。
隐藏在资源里——Dropper剖析
图1.Dropper的VirusTotal评分
在咱们开端之前,让咱们先讨论一下担任程序植入和履行payload来搜集凭证的dropper。当咱们发现这个歹意软件时,VirusTotal (VT)的得分只要11/71(图1),现在它的得分是33/71,依然较低。
事实上,这个dropper真的很根底。它首要在当时途径中创立一个 temp文件夹作为dropper的父文件夹,在此文件夹中再创立一个名为“death.bat”的批处理脚本,意图是后续将 temp删去。之后dropper将其他六个文件放入此文件夹中(图2),这六个文件分别是五个DLL文件和一个二进制文件“virus.exe”。从文件名中咱们能够看出,此二进制文件好像需求运用cURL库(和libcurl)。而运用cURL的歹意软件类型并不多,这点是值得注意的。
图2.文件植入
文件夹的总巨细约为6MB,而且没有发生下载行为,这与dropper的文件巨细是十分类似的。实际上,文件夹中的一切文件都保存在文件资源中(图3)。此歹意软件没有加密,也没有被混杂,显现的文件名都是很直白的。
图3 BrowserHax显现的二进制资源
dropper和潜在payload的履行流程
创立并填充文件夹后,歹意软件运转主二进制文件“virus.exe”(图4),等候五秒钟后履行删去歹意软件一切痕迹的批处理脚本。
图4 BrowserHax的流程
接下来歹意软件弹出带有过错音讯的对话框(图5)。在IDA中能够很明显看出,此对话框的方针仅仅诈骗用户,旨在让用户以为履行中存在过错,单实际上这是程序的正确流程。(图4)。
图5.提示过错
以隐私为方针——payload剖析
该歹意软件现在在VT上的检测率为零(图6)。
图6 .Virus.exe的VT分数
Chrome是当今世界上最常见的浏览器。它不仅能够存储您的一切暗码,还能够存储您的信用卡数据。此外,没有管理员权限的普通用户也能够拜访Chrome凭证文件。这意味着歹意软件不需求任何提权机制即可拜访Chrome凭证。
此歹意软件遵从流程如下:它首要搜集计算机的相关信息;然后查看cURL库是否已成功加载;再获取当时会话的用户名,然后阅览Chrome文件并获取暗码。
Google Chrome的凭证存储在名为Login Data(无扩展名)的SQLite DB文件中,该文件一般坐落以下文件夹中:
C:UsersAppDataLocalGoogleChromeUser DataDefault
当Google Chrome运转时,它会确定DB文件,以便在此进程的运转时间内无人可拜访。为了处理这个问题,歹意软件会首要杀死一切的chrome进程(图7)。
图7.封闭Chrome进程
在杀死Chrome进程之后,翻开DB文件并履行SQL查询来读取其间保存的密钥。经过下图所示的SQLite查询能看出(图8),歹意软件方针是logins表,其间包括origin_url、用户名和暗码等字段;之后它将一切数据保存到堆中分配的结构中。
图8.从Chrome DB获取URL、用户名和暗码
取得后,它只需经过cURL(图9)将数据发送到自己的Google Form。
这儿解说下什么是cURL以及进犯者为什么要运用它。
图9运转中的cURL指令
cURL代表客户端URL。cURL是一个十分简略和强壮的指令行东西,运用URL语法进行数据传输。它支撑许多协议,包括HTTP和HTTPS。cURL也是穿插渠道,运用起来十分简略。cURL的作者还供给了一个C言语库,其间包括将其集成到任何应用程序所需的功用,而不需求在被进犯的一方上取得额定的资源。此外,运用cURL的歹意软件类型的数量十分少,因而对进犯者来说,cURL就成了一个很好的东西,还能防止触发AV检测。
图10. curl_easy_setopt办法中的cURL目标初始化和函数指针界说
Google Form一探终究
Google Forms是一个闻名的根据web的免费应用程序,经常被公司和学生用作查询东西,搜集数据并将其存储在电子表格中。它还供给用户友爱的Web界面。除了Google Forms供给的 *** 界面外,还能够经过cURL提交表单。[1][2][3]黑客接单网