CryptBot 最早在 2019 年被发现,近期再次爆发。最新版本的 CryptBot 已经显著简化,只包含信息窃取的功能,样本大小相比以前小得多。
CryptBot 针对敏感的用户数据,例如浏览器登录信息、加密货币钱包、存储的信用卡信息、密码等信息。收集到的信息会被发送回 C&C
服务器,出售获取经济利益。
破解软件网站
CryptBot
最近通过破解软件网站进行分发,这些网站提供的是常见游戏和其他软件的破解版。攻击者通过这种方式捆绑传播恶意软件,让受害者不知不觉中下载并执行恶意样本。
技术分析
CryptBot 的攻击链条起始于受害者访问失陷的页面下载 SFX 文件,如伪装成最新版本的 Adobe Photoshop。
网页示例
随后,将名为 7ZSfxMod_x86.exe
的 SFX 文件下载到机器上。
恶意文件
解压后,名为 7ZipSfx.000
的文件夹在 %Temp%
目录中创建。其中,数字会随着文件数量与解压次数变化。例如,第二次解压将会创建名为
7ZipSfx.001
的文件夹。
文件夹
文件夹中包含四个文件,用于下一阶段的攻击:
aeFdOLFszTz.dll,ntdll.dll 的副本文件
Avevano.gif,BAT 脚本
Carne.gif,混淆的 AutoIT 脚本
Raccontero.exe,AutoIT v3 可执行解释器
如上所示,两个伪装成 GIF 图片的文件都是恶意脚本。不同版本的 CryptBot 还会使用 .MP3 与 .WMV 作为扩展名。
BAT 恶意脚本如下所示。脚本对安全产品(BullGuardCore 和 Panda Cloud
Antivirus)进行扫描,如果存在将会延迟执行以逃避检测。
恶意脚本
如下所示,BAT 恶意脚本解密高度混淆的 AutoIT 脚本 Carne.gif
,BAT 还会将 AutoIT 脚本复制到虚拟内存区域运行。
混淆脚本
使用 AutoIT 可执行解释器 Raccontero.exe
运行 Carne.gif
,脚本的文件名作为参数提供。
进程启动
AutoIT 进程 Raccontero.exe.pif
会将恶意 CryptBot 加载至内存中。
功能
CryptBot 首先在机器中检索用户与系统信息,收集的数据会存储在用户的 %Temp%
目录下。发送给 C&C 服务器后,该文件即被删除。
检索的数据包括:
加密货币钱包
登录信息
表单数据
Cookie
浏览器历史记录
信用卡信息
敏感数据文件
操作系统和硬件信息
已安装程序列表
扫描加密货币钱包
受害者的数据存储在压缩的 TXT 文件中,随后会被发送给 rygvpi61.top/index.php
。
CryptBot 也包含备用的 C&C 服务器,可以下载其他恶意软件。
恶意样本
最新变种
最新版本的 CryptBot 于 2022 年初在野被发现,攻击者只保留了数据泄露相关的核心功能,如反沙盒等功能都删除了。
最新版本的 CryptBot 不会窃取受害者的屏幕截图,也不会自行清除恶意文件。
新版本使用的混淆方法也与 CryptBot 旧版本不同,现在的恶意 BAT 脚本使用了更复杂的混淆来阻止研究人员分析。
新版本也更新了对最新版本 Chrome v96 的窃密,覆盖 Chrome 的全部版本。
结论
目前为止,只发现 CryptBot 针对 Windows 设备发起攻击。可能是与投递方式与破解软件有关,这在 MacOS 与 Linux 上并不常见。
攻击者将恶意样本缩小了一半,这样可以简化攻击进行更频繁、更快速的感染。
Yaraimport "pe"rule CryptBot {meta:description = "Detects 2022 CryptBot Through Imphash"author = "BlackBerry Threat Research Team"date = "2022-02-26"license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"strings: s 1 = " 7 z S F X " c o n d i t i o n : ( / / P E F i l e u i n t 16 ( 0 ) = = 0 x 5 a 4 d a n d / / I m p h a s h p e . i m p h a s h ( ) = = " e 55 d b e c d a f 2 c 7 c c 43 f 3 d 577 e 70 c 6 c 583 " o r p e . i m p h a s h ( ) = = " 27 f c 501 d e 77 f 5768 c a c 058 a 2 a 9512 c 3 a " o r p e . i m p h a s h ( ) = = " f d a 990324138 b d c 940 f 9020 c e 3 e 8 d 5 f c " o r p e . i m p h a s h ( ) = = " 997 e d a f a 1 e 226 b a 6317 e c 804803 f 9 a 57 " o r p e . i m p h a s h ( ) = = " 4 b 3 c f c 81 e 94566 b b 0 e 35 b 6156 e 51 f b d 5 " a n d / / A l l S t r i n g s a l l o f ( s1 = "7z SFX"condition:(//PE Fileuint16(0) == 0x5a4d and//Imphashpe.imphash() == "e55dbecdaf2c7cc43f3d577e70c6c583" orpe.imphash() == "27fc501de77f5768cac058a2a9512c3a" orpe.imphash() == "fda990324138bdc940f9020ce3e8d5fc" orpe.imphash() == "997edafa1e226ba6317ec804803f9a57" orpe.imphash() == "4b3cfc81e94566bb0e35b6156e51fbd5" and//All Stringsall of ( s1="7zSFX"condition:(//PEFileuint16(0)==0x5a4dand//Imphashpe.imphash()=="e55dbecdaf2c7cc43f3d577e70c6c583"orpe.imphash()=="27fc501de77f5768cac058a2a9512c3a"orpe.imphash()=="fda990324138bdc940f9020ce3e8d5fc"orpe.imphash()=="997edafa1e226ba6317ec804803f9a57"orpe.imphash()=="4b3cfc81e94566bb0e35b6156e51fbd5"and//AllStringsallof(s*) )}
IOC53d8d466679a01953aab35947655a8c1a2ff3c19ac188e9f40e3135553cf7556rygvpi61.top/index.phpgewuib08.top/download.php?file=scrods.exe
最后
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【点下方卡片】免费领取: