前言
恶意软件开发人员的操作失误,使得Check Point Research的研究人员能够获取到恶意软件的开发人员的信息,包括位置信息、账号信息、电话号码信息、电脑截图等个人信息,发现了两个团伙成员,一个在土耳其、一个在尼日利亚。
我们来看一看研究人员是怎么发现的。
S
Styx Stealer恶意软件的开发人员,下文简称S。
Styx Stealer
Styx Stealer恶意软件,中招后,会盗取受害者电脑上的敏感信息,包括浏览器保存的各种密码,一些特定后缀的文件等。会盗取T平台的登录信息。
这个软件的开发人员就是在土耳其的成员。
C
安全公司Check Point Research的安全研究人员,下文简称C。
F
Agent Tesla恶意软件的利用者之一,下文简称F。这个就是在尼日利亚的成员。使用到的是另一款恶意软件。
T
两款恶意软件使用到的Bot软件。
01
起因
C的公司客户收到一些钓鱼邮件,里面包含了恶意软件附件。
钓鱼邮件
02
Token
C通过对恶意文件的分析,发现是一款偷取信息的恶意软件。
点评
邮件中的未知附件不要随便点击,有可能就是钓鱼邮件、恶意软件。
C发现这款恶意软件使用的是T平台来接收文件,同时C在恶意软件的配置中找到了T平台的Bot Token。
通过这个Bot Token,C可以获取到Bot收到的信息和发送的信息。
就是说,一旦有新的消息发送给这个Bot,C是可以接收到对应消息的。C就可以获取到文件进行分析,这也是后面分析的基础。
03
监控
C开始监控并分析Bot收到的文件信息。
C分析发现,有一个文件跟常规的文件格式不一样,分析发现是Styx Stealer,就是恶意软件作者开发的恶意软件。
同时发现,里面包含一张桌面截图,分析发现是恶意软件的作者在调试恶意软件,截图中包含了另一个T平台的Bot Token。
点评
由于是在恶意软件的作者电脑上运行的,因此保护了恶意软件作者的电脑上的各种信息,也为后面的分析提供了基础。
截图
04
分析
截图中的语言(截图右下角,同时里面的comment也不是英文)是显示的土耳其语言。
C从文件中提取出加密的T平台账号信息,这个文件是从S的电脑上上传的,其中一个账号的电话号码是+90开头的,是土耳其的号码。
手机
同时这两个账号的状态地址也是土耳其的城市。
地址
同时还发现S和F两人之间使用T平台聊天的信息,S将软件卖给F使用。
由于软件检测到虚拟机,F在虚拟机上没有运行成功,F在自己的电脑上运行了。这样就暴露了F的位置信息。
S收到F电脑上传到文件信息,在T平台,同样C也可以获取到。
下图是F的ip地址信息,和Mac地址,ip信息是尼日利亚。
下图是S的ip地址信息,和Mac地址,ip信息显示是土耳其
综合各个信息,以及获取到的其他账号信息,进一步调查,交叉验证,可以判断出,S是在土耳其,F是在尼日利亚。
05
总结
S开发了恶意软件,在自己的电脑上进行调试,所以自己电脑上的信息被窃取上传到T平台。
同时S将恶意软件卖给F,让F也运行,由于F在虚拟机运行失败,在自己的电脑上运行了,导致F的信息也上传到T平台。
同时,S让F把T平台的Bot Token发给他,他更新恶意软件之后,再次在自己的电脑上运行,导致自己的电脑信息再次被获取。
研究人员拿到这些信息,完成了对他们身份的分析。
关系图
一次“失误”,导致两个恶意软件背后的人员信息被分析。
传播恶意软件是违法行为,未知附件不要点击,日常提高安全意识。
文章详细信息可以进一步查看https://tcp.im/YbPubJ。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
2279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
