freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

信息窃密木马入局新玩家:ExelaStealer
2023-10-21 19:10:17

2023 年,信息窃密木马纷纷涌现,既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家,也有 SaphireStealer 等刚入局的新玩家。近日,研究人员发现了新的信息窃密木马:ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。

ExelaStealer 是开源的信息窃密木马,攻击者也提供付费定制化改造服务。该恶意软件使用 Python 编写,可以从 Windows 失陷主机窃取敏感信息(如密码、信用卡、Cookie 与 Session 等)。

宣传广告

ExelaStealer 在暗网宣传的广告中表示,攻击者提供开源版本与付费版本,广告也对功能进行了深入介绍:

1697886190_6533afeebfdd5cf85649e.png!small?1697886182202

广告宣传

广告由 ExelaStealer 的运营方发布,账号是 quicaxd:

1697886205_6533affdcc257908dc354.png!small?1697886197299

发布广告

如上所示,该恶意软件一个月的使用费为 20 美元,三个月的使用费为 45 美元,终身订阅费为 120 美元。此外,攻击者还提供了 Telegram 频道,分析时仍处于活动状态。Telegram 主页介绍了购买的付费版本,与开源版本的 GitHub 仓库地址。

1697886226_6533b0120aebdf781bdc9.png!small?1697886217966

Telegram 广告

恶意软件构建

任何人都可以使用免费提供的源代码创建 ExelaStealer 恶意文件:

1697886244_6533b024cd27afdb5087e.png!small?1697886236208

构建选项

恶意软件只能在 Windows 机器上编译与打包,恶意软件主要代码在名为 Exela.py的文件中:

1697886262_6533b036f26ed3976e848.png!small?1697886254377

源代码

构建过程会使用批处理文件启动程序,再调用 Python 与 builder.py脚本文件:

1697886274_6533b0429f1b77af5b5f6.png!small?1697886266003

构建文件

构建工具使用名为 obf.py的文件来进行必要的处理混淆 ExelaStealer 代码,阻碍分析。

1697886292_6533b05431ffa5787ca94.png!small?1697886283812

代码混淆

混淆后的代码会写入名为 Obfuscated.py 的文件中,可供攻击者使用。

初始感染向量

研究人员发现的二进制文件似乎是特定攻击行动的一部分,被发现的诱饵文档也证明了这一点。不幸的是,研究人员并未发现最初的感染向量。当然,初始感染可以通过多种方式实现。

Sirket-ruhsat-pdf.exe

该二进制文件是最初阶段使用的,旨在生成 sirket-ruhsat-pdf.exe 并启动 PDF 查看软件并向用户显示诱饵文档 BNG 824 ruhsat.pdf。后续,会将这两个文件写入 C 盘的根目录中:

1697886317_6533b06db20bdd2db19ce.png!small?1697886309129

释放的文件

BNG 824 ruhsat.pdf

sirket-ruhsat-pdf.exe 会自动尝试打开 BNG 824 ruhsat.pdf 文件,该 PDF 文件是 Dacia Duster 的土耳其车辆登记证书,文档本身完全无害,只是对受害者的诱饵。

1697886331_6533b07b57dd30d859408.png!small?1697886323027

诱饵文档

Sirket-ruhsat-pdf.exe

sirket-ruhsat-pdf.exe 是一个 PyInstaller 可执行文件,可以通过 pyinstxtractor 等分析工具来对内容进行检查:

1697886351_6533b08f38d6acc8fbd51.png!small?1697886342941

文件内容

该可执行文件可能使用无效的证书进行签名,并使用微软合法的进程名称 Runtime Broker。下图为 Obfuscated.py 编译后的版本,使用 pycdc 等分析工具也可以对代码进行反编译:

1697886369_6533b0a156d85d31a7df0.png!small?1697886360893

反编译代码

不幸的是,所有的函数名称与变量仍然是被混淆的,增加了分析人员所需的分析时间。然而这并不意味着无法分析,其中包含大量数据:

1697886384_6533b0b06a0b04b809ed1.png!small?1697886376276

反编译脚本的数据

文件末尾的函数是用于解码与执行的:

1697886401_6533b0c170c9c8372add6.png!small?1697886392824

解码函数

分析人员将代码与数据进行处理,获取了完整的代码,如下所示。可以发现,这就是 Exela.py 的代码:

1697886415_6533b0cfe5dc26e840704.png!small?1697886407293

解码后的代码

Sirket-ruhsat-pdf.exe 会在新进程中生成自身,如下所示:

1697886430_6533b0de8a96cb9d0850a.png!small?1697886421856

进程信息

ExelaStealer 随后会运行以下两个命令:

  • C:\Windows\system32\cmd.exe /c "ver"
  • wmic csproduct get uuid

命令会收集 Windows 系统的版本与主机的 UUID,后续执行 base64 编码的 PowerShell 命令:

1697886444_6533b0ec122a637400f76.png!small?1697886435890

PowerShell 命令

解码后,该命令会获取屏幕截图:

1697886457_6533b0f9330a2b4d49c1d.png!small?1697886448862

解码后的 PowerShell 命令

接下来会执行一系列 PowerShell 命令:

powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
netsh wlan export profile
C:\Windows\system32\cmd.exe /c "netsh wlan show profile

这些命令会从剪贴板复制截图并收集系统相关信息,如系统信息、硬盘信息、用户信息、防火墙信息以及 WiFi 信息。在将信息回传给攻击者前要将其存储在本地,在 C:\Users<user>\AppData\Local\Temp\ 中创建一个以 UUID 命名的文件夹。

1697886475_6533b10b72fe5081c98d7.png!small?1697886466957

收集的数据

每个文本文件都包含 Telegram 频道的 URL,如下所示:

1697886490_6533b11a9865c230be6e0.png!small?1697886481969

Telegram 信息

文件使用与文件夹同名的 UUID 压缩成 ZIP 文件,然后通过 Discord webhook 发送到 Discord 频道。

结论

数据的价值越发凸显,攻击者想要窃取数据的尝试永远不会停歇。被窃数据可能被用于勒索、间谍活动,世界上也不断涌现出新的玩家。

IOC

f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048 95d860570b2777d7af213f9b48747d528251facada54842d7a07a5798fcbfe51 5aff2c5e65d8e4e7fa0b0c310fbaef1e1da351de34fa5f1b83bfe17eeabac7ef 34dca3c80cd5125091e6e4de02e86dcc6a2a6f9900e058111e457c9bce6117c0 c56b23602949597352d99aff03411d620b7a5996da2cab91368de275dcfbaa44 hXXps://discord[.]com/api/webhooks/1139506512302194789/X_VYZdAHscWQNKWvya9KWqqqTK6UjVvS86_kUy8P8OyCcPhKykCQpEqf93S_qDFVuzp8

参考来源

Fortinet

# stealer # 窃密木马 # 信息窃密
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录