皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

filecoin招商(www.ipfs8.vip):窃取终端数据成本低,谨防Formbook恶意软件入侵窃密

admin2021-05-3123技术

靠山概述

科学手艺的高速生长,带来了大量的商业生长时机,同时也为终端平安带来伟大的挑战。克日,笃信服终端平安团队捕捉了Formbook样本病毒。这是一款著名的商业恶意软件,自2016以来在黑客论坛出售,因其隐藏且易用的特点著名。其主要行使钓鱼邮件举行流传,一旦用户不小心下载打开邮件附件,该恶意软件将会安装到终端上窃取隐秘数据和敏感信息。

Formbook窃密软件在黑客论坛上的售价并不是异常高昂,使得窃密的犯罪成本降低,很容易对用户的终端数据造成威胁。

(图片来自于外洋媒体)

FormBook主要会从受害者的装备(如键盘纪录器)中窃取受害者的键盘输入以及某些软件的数据,例如浏览器,Email客户端和FTP客户端等小我私人信息,并使用C2的控制下令来操作他们的装备或者服务器。

手艺剖析

该病毒上使用”傀儡“历程举行释放以防止剖析职员的调试:通过GetProcAddress获取函数名并释放动态库文件ek0j.dll,并挪用其恶意导出函数Rcxlxosdkhvclf:

在temp文件下写入加密文件:

加密文件经解密后为一段shellcode,将其加载到内存并执行:

确立子历程:

对子历程的dump举行剖析病毒真正的操作,通过使用ida Lumina举行 f12匹配剖析

初始化内存,该buffer区域在整个FormBook中举行读写,包罗设置选项

该buffer内存区域:

具有符号组用来检测该病毒是否在被调试状态下举行,在buffer+0x29的位置上,以是flag准确的check为:00 01 01 00 00 01 00 01 00 01 00

Base+0x34位置上检查ASM执行时间差来判断是否在调试状态:

存在该病毒的base,以及后面所运用到的检索API的hash值,当前的os的位数,以及许多的dll的模块

全程使用盘算以及对照hash,来获取api的名字以及地址: 


重载两份ntdll,构建部门ntdll从而防止杀软在3环对原始ntdll做检测

反调试检查: r3与r0层的调试,查询SystemKernelDebuggerInformation,以及ProcessDebugPort

(SYSTEM_INFORMATION_CLASS)SystemKernelDebuggerInformation

当为0x23时为获取系统是否在被调试信息存放到第2个参数指向的结构中,该结构是2个1字节的结构,当处于调试时这2字节都市被写入1从而判断是否在r0层举行调试

检查黑名单历程:

,

免费足球推荐

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

历程也是通过hash的比对举行,历程列表为:

VBoxService.exe, VBoxTray.exe, VBoxService.exe,vmwareuser.exe, vmwareservice.exe, vmtoolsd.exe, vmusrvc.exe, vmsrvc.exe, sandboxiedcomlaunch.exe, procmon.exe, filemon.exe, wireshark.exe, NetMon.exe, python.exe, perl.exe

通过checkfilename ModulePath Username来判断是否存在沙箱行为,沙箱一样平常会将用户名酿成特定用户名从而该病毒举行检查

检查用户名列表: Cuckoo sandbox nmsdbox wilbert xpamast

0x19996921为explorer历程hash,获取线程举行挟制

Windows 历程名称列表在初始化的buffer中被加密,通过索引选择,Explorer中读取到某32位历程信息,explorer.exe

纪录下的历程列表为:

explorer.exe,wininit.exe,cmmon32.exe, svchost.exe,lsass.exe,raserver.exe,netsh.exe,rundll32.exe,control.exe, services.exe,ipconfig.exe等等

FormBook 随机获取 explorer.exe 返回的悬挂如上历程列表的历程信息,将 FormBook 有用负载文件复制到这些历程当中中,并将其主线程的入口点代码修改为注入的 FormBook 的OEP,执行 FormBook 的恶意代码,挪用exitprocess来终止注入的formbook

该病毒使用explorer主线程来挟制以及举行APC注入且确立一个挂起的历程,在该挂起历程中实现迁徙从而实现explorer历程中没有确立新的历程,而确立挂起的历程父历程为explorer

在C:\Program File(x86)下确立了随机的文件夹内里有病毒程序formbook的重载

并通过注册表举行注册

并使用这两个文件举行纪录获取键盘等的数据,并举行通讯 

与c2服务器举行通讯,随机选择十六台主机作为它自己的 c 2服务器,并将窃取的数据发送到这台服务器

C2列表:

34.102.136.180:80, 45.56.79.23:80, 52.200.25.77:80, 75.126.163.75:80, 167.114.6.31:80, 52.79.124.173:80, 163.44.239.71:80, 176.104.107.18:80, 162.0.239.203:80 ........

组织的新的控制块

获取样本的路径,设置当前的互斥,将病毒文件重载内存 

经由上述的恶意操作后,该病毒会删除自身的文件: C del “C:\Users\Simp1er\Desktop\virus”

加固建议

1.一样平常生涯事情中的主要的数据文件资料设置响应的接见权限,关闭不需要的文件共享功效而且定期举行非内陆备份;

2.使用高强度的主隐秘码,并阻止多台装备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.阻止打开来源不明的邮件、链接和网址附件等,只管不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用平安软件对文件举行查杀;

4.定期检测系统破绽而且实时举行补丁修复。

Filecoin矿机

Filecoin矿机官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论

1条评论
  • 2021-05-31 00:04:26

    欧博手机版下载欢迎进入欧博手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。别具一格