安全路透社
当前位置:安全路透社 > 网络转载 > 正文

异次元窃贼:使用AutoIt脚本进行键盘记录窃取的“新奇玩法”

近日,哈勃分析系统捕获到一类木马,与通常的木马不同的是,新发现的这类木马在payload中大量使用了混淆的AutoIt脚本来实现各种恶意功能,包括混淆、虚拟机检测、傀儡进程内存替换、键盘记录等行为,同时实现了包括Win2000在内的多种操作系统,以及32位和64位在内的高度兼容。

以下是对此木马各阶段的详细分析。

阶段一:Downloader

木马的Downloader的形式最近已经屡见不鲜,依然是发送带宏的文档,引诱受害者启用宏。

图片1.png

使用混淆过的宏脚本,从固定的网址上下载exe并运行。

图片2.png

宏的内容本文中不详述。此外,通过域名信息进行搜索可以得知,此恶意域名伪装的是美国支付汇款网站Ria Money Transfer,并且曾经假冒该网站的名义发送过钓鱼邮件。注册此域名用的电子邮件和电话号码都是无效状态。

下载下来的exe会被命名为puttyx86.exe,同时使用iTunes软件相关的文件信息伪装自己。实际上,该exe文件是一个RAR自解压包。

图片3.png

阶段二:Extractor

查看上一阶段下载的RAR包,可以发现,其自解压部分代码进行了混淆,实际功能是利用解压出来的jps.exe去执行aul-fns。

图片4.png

其中jps.exe是一个AutoIt脚本解释器,并且带AutoIt签名,不会被安全软件报毒。而aul-fns是混淆过的autoit脚本。

图片5.png

可是,当使用jps.exe执行这个aul-nfs以后,系统直接蓝屏了。这又是怎么回事呢?

于是,尝试对压缩包中的AutoIt脚本进行解密和分析。接下来的AutoIt脚本都是经过解密后的结果。经分析,脚本运行的步骤如下:

首先,读取压缩包中的另一个文件ovq.ppt,该文件为一个经过混淆的配置文件,用于配置脚本的各种功能。

图片6.png

图片7.png

接下来,脚本检查当前路径是否在temp目录下,并且检查当前没有qsq目录窗口。因为之前的puttyx86.exe会自解压到qsq目录,木马作者以此逻辑防止分析人员自己去找到这个目录。如果不满足条件,脚本则会结束系统的所有进程,并且强制重启系统。

图片8.png

图片9.png

然后,脚本设置当前目录中的所有文件隐藏和只读,然后通过压缩包的另一个文件ovq.ppt的数据,解密出另一个AutoIt脚本,然后写到随机文件名的au3文件中去,最后拉起这个新的脚本。

图片10.png

阶段三:Keylogger

新的恶意脚本运行后,会将系统目录中\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe复制到\temp\RegSvcs.exe,然后读取原自解压包的另一个文件eck,并且将读取的数据附加到新复制的RegSvcs.exe文件的末尾,为傀儡进程做准备。

图片11.png

有了修改后的RegSvcs.exe文件之后,脚本会创建并挂起新进程,创建以后Unmap原有的内存并用自己的替换,以此完成傀儡进程替换。替换时,脚本使用了DllStructCreate,DllStructGetData、DllStructSetData、DllStructGetPtr等AutoIt自己提供的接口,脚本编写起来并不复杂。

图片12.png

内存替换之后,RegSvcs变成了一个脚本解释器,重新执行au3脚本。新的au3脚本逻辑稍有不同,会使用CallWindowProcW来执行一段shellcode。

图片13.png

这段shellcode的作用是记录键盘与窗口内容,然后发送到服务器。经搜索,此keylogger与知名的商业木马Limitless Keylogger比较类似,该木马目前作者已停止支持。追踪其上传时所用的C&C服务器域名,只能发现使用的是一个动态域名服务,未能继续深入下去。

图片14.png

在拉起keylogger之前,根据配置文件的内容,木马还会先执行一些准备工作。据监测,从恶意网址下载到的木马变种较为频繁,基本上是几个小时就会变化一次。这样频繁的变种,除了改变文件特征躲避安全软件检测之外,还会使用不同的配置文件以启用不同的功能。

例如,一些变种会检测虚拟机进程、判断是否存在D盘、检测Cuckoo Sandbox等,如果不满足则直接退出。

图片15.png

另外一些变种会执行一些常见的恶意操作,比如禁用UAC、禁用任务管理器、添加自启动项等。

图片16.png

图片17.png

脚本还有很多其他功能,比如可以下载执行配置文件中的URL,但目前没有发现变种在配置文件中开启过相关选项。

在分析过程中还发现,脚本支持系统非常全,包括32位、64位系统,甚至兼容Win2000。

图片18.png

图片19.png

总结

此木马在运行过程中,大量使用了经过混淆的AutoIt脚本,配合RAR自解压脚本和宏,以达到躲避安全软件检测的目的。AutoIt脚本比较完整,支持包括Win2000在内的各类操作系统。木马最终会通过傀儡进程的方式,拉起一个比较成熟的keylogger,对受害者的键盘输入进行记录和回传。

*本文作者:腾讯电脑管家(企业账号)

未经允许不得转载:安全路透社 » 异次元窃贼:使用AutoIt脚本进行键盘记录窃取的“新奇玩法”

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册