CryptBot 最早在 2019 年被发现,近期再次爆发。最新版本的 CryptBot 已经显著简化,只包含信息窃取的功能,样本大小相比以前小得多。
CryptBot 针对敏感的用户数据,例如浏览器登录信息、加密货币钱包、存储的信用卡信息、密码等信息。收集到的信息会被发送回 C&C
服务器,出售获取经济利益。
破解软件网站
CryptBot
最近通过破解软件网站进行分发,这些网站提供的是常见游戏和其他软件的破解版。攻击者通过这种方式捆绑传播恶意软件,让受害者不知不觉中下载并执行恶意样本。
技术分析
CryptBot 的攻击链条起始于受害者访问失陷的页面下载 SFX 文件,如伪装成最新版本的 Adobe Photoshop。
网页示例
随后,将名为 7ZSfxMod_x86.exe
的 SFX 文件下载到机器上。
恶意文件
解压后,名为 7ZipSfx.000
的文件夹在 %Temp%
目录中创建。其中,数字会随着文件数量与解压次数变化。例如,第二次解压将会创建名为
7ZipSfx.001
的文件夹。
文件夹
文件夹中包含四个文件,用于下一阶段的攻击:
aeFdOLFszTz.dll,ntdll.dll 的副本文件
Avevano.gif,BAT 脚本
Carne.gif,混淆的 AutoIT 脚本
Raccontero.exe,AutoIT v3 可执行解释器
如上所示,两个伪装成 GIF 图片的文件都是恶意脚本。不同版本的 CryptBot 还会使用 .MP3 与 .WMV 作为扩展名。
BAT 恶意脚本如下所示。脚本对安全产品(BullGuardCore 和 Panda Cloud
Antivirus)进行扫描,如果存在将会延迟执行以逃避检测。
恶意脚本
如下所示,BAT 恶意脚本解密高度混淆的 AutoIT 脚本 Carne.gif
,BAT 还会将 AutoIT 脚本复制到虚拟内存区域运行。
混淆脚本
使用 AutoIT 可执行解释器 Raccontero.exe
运行 Carne.gif
,脚本的文件名作为参数提供。
进程启动
AutoIT 进程 Raccontero.exe.pif
会将恶意 CryptBot 加载至内存中。
功能
CryptBot 首先在机器中检索用户与系统信息,收集的数据会存储在用户的 %Temp%
目录下。发送给 C&C 服务器后,该文件即被删除。
检索的数据包括:
加密货币钱包
登录信息
表单数据
Cookie
浏览器历史记录
信用卡信息
敏感数据文件
操作系统和硬件信息
已安装程序列表
扫描加密货币钱包
受害者的数据存储在压缩的 TXT 文件中,随后会被发送给 rygvpi61.top/index.php
。
CryptBot 也包含备用的 C&C 服务器,可以下载其他恶意软件。
恶意样本
最新变种
最新版本的 CryptBot 于 2022 年初在野被发现,攻击者只保留了数据泄露相关的核心功能,如反沙盒等功能都删除了。
最新版本的 CryptBot 不会窃取受害者的屏幕截图,也不会自行清除恶意文件。
新版本使用的混淆方法也与 CryptBot 旧版本不同,现在的恶意 BAT 脚本使用了更复杂的混淆来阻止研究人员分析。
新版本也更新了对最新版本 Chrome v96 的窃密,覆盖 Chrome 的全部版本。
最后
分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取
有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:
还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】