1.概述
近日,安天CERT捕获到一个同时释放Jester Stealer窃密木马和Merlynn Cliper剪贴板劫持器的恶意样本。其中,Jester Stealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式;Merlynn Cliper剪贴板劫持器会将剪贴板中的数字钱包地址替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作,造成受害者虚拟财产的损失。
对本次样本进行关联分析发现,该样本释放的窃密木马及剪贴板劫持器均由Jester Stealer黑客团伙开发售卖。该黑客团伙自2021年7月20日起售卖窃密木马,同年10月2日后也开始通过售卖剪贴板劫持器、挖矿木马和僵尸网络等多种不同类型的恶意软件获利,是典型的商业化运营的黑客团伙。
2.样本对应的ATT&CK映射图谱
样本对应的技术特点分布图:
图2‑1技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表2‑1ATT&CK技术行为描述表
ATT&CK阶段/类别 | 具体行为 | 注释 |
资源开发 | 获取基础设施 | 搭建回传服务器 |
能力开发 | 开发攻击程序 | |
环境整备 | 利用Github托管文件 | |
初始访问 | 网络钓鱼 | 投放钓鱼邮件 |
执行 | 诱导用户执行 | 诱导用户执行 |
持久化 | 利用自动启动执行引导或登录 | 将自身复制到启动目录下 |
防御规避 | 反混淆/解码文件或信息 | 解密攻击载荷 |
隐藏行为 | 隐藏行为 | |
修改注册表 | 修改注册表 | |
混淆文件或信息 | 加密攻击载荷 | |
虚拟化/沙箱逃逸 | 根据虚拟化/沙箱环境改变执行流程 | |
凭证访问 | 从存储密码的位置获取凭证 | 从存储密码的位置获取凭证 |
操作系统凭证转储 | 获取操作系统凭证 | |
窃取Web会话Cookie | 窃取Web会话Cookie | |
发现 | 发现文件和目录 | 发现文件和目录 |
查询注册表 | 查询注册表 | |
发现软件 | 发现软件 | |
发现系统信息 | 发现系统信息 | |
发现系统地理位置 | 发现系统地理位置 | |
发现系统网络配置 | 发现系统网络配置 | |
发现系统网络连接 | 发现系统网络连接 | |
发现系统时间 | 发现系统时间 | |
虚拟化/沙箱逃逸 | 检测虚拟化/沙箱环境 | |
收集 | 压缩/加密收集的数据 | 将收集的数据压缩为zip格式 |
自动收集 | 自动收集数据 | |
收集剪贴板数据 | 收集剪贴板中的电子钱包地址 | |
收集本地系统数据 | 收集本地系统数据 | |
收集电子邮件 | 收集电子邮件 | |
获取屏幕截图 | 获取屏幕截图 | |
数据渗出 | 自动渗出数据 | 自动回传收集的数据 |
限制传输数据大小 | 限制文件收集的大小 | |
使用Web服务回传 | 使用Web服务回传 | |
影响 | 操纵数据 | 操纵剪贴板数据 |
3.防护建议
为有效防御此类恶意代码,提升安全防护水平,安天建议企业采取如下防护措施:
3.1 提升主机安全防护能力
- 安装终端防护系统:安装反病毒软件;
- 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
- 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。
3.2 使用沙箱分析可疑邮件
- 接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件;
- 建议使用沙箱环境执行可疑的文件,在确保安全的情况下再使用主机执行。
3.3 遭受攻击及时发起应急响应
- 联系应急响应团队:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查。
4.样本分析
本次捕获的恶意样本通过加载器解密并释放两个攻击载荷,分别为:名为Jester Stealer的窃密木马、名为Merlynn Clipper的剪贴板劫持器。
4.1 加载器分析
加载器从自身资源数据中读取加密载荷和密钥,通过异或解密两个攻击载荷,释放到%Temp%目录下并执行。
4.1.1 样本标签
表 4‑1样本标签
病毒名称 | Trojan/Win32.Dropper |
原始文件名 | JoinerStub.exe |
MD5 | 9760B3E37006E0F3EDDE69F9A92C535A |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 335.50 KB (343,552字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2043-01-04 16:42:13(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-19 13:30:06 |
VT检测结果 | 45/68 |
4.1.2 样本分析
加载器中嵌有攻击载荷资源数据,其中以“<文件名>”及“k<文件名>”命名的一组资源分别为经过加密处理的载荷及其对应的密钥。加载器读取资源数据并通过异或解密两个攻击载荷。
图 4‑1 解密攻击载荷
将两个攻击载荷释放到%Temp%目录下并执行。
图 4‑2释放攻击载荷并执行
4.2 Jester Stealer窃密木马分析
Jester Stealer窃密木马能够窃取受害者系统凭据、Wi-Fi密码、屏幕截图、浏览器保存的密码、Cookies、软件数据等重要数据,将其打包为zip格式压缩包后通过HTTP或Tor匿名网络回传,也支持上传到AnonFiles匿名网盘的备用回传方式。
4.2.1 样本标签
表 4‑2样本标签
病毒名称 | Trojan[Spy]/Win32.JesterStealer |
原始文件名 | chrome.exe |
MD5 | A09C37144CA538B0BC4499BF59C691F1 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 226.50 KB (231,936字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2060-08-07 20:14:13(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-20 23:46:15 |
VT检测结果 | 27/68 |
4.2.2 样本分析
创建互斥量“c6b4a73b-035e-4027-8c9d-f30fcd7f128e”,确保只有一个实例在运行。
图 4‑3创建互斥量
检查自身是否处于虚拟机、沙箱环境。
图 4‑4检查虚拟机、沙箱环境
通过设置及检查注册表“HKEY_CURRENT_USER\SOFTWARE\1f66786f-2f7a-e85c-9153-f9809a7bbf87\state”,避免窃密程序在同一设备重复执行。
图 4‑5设置注册表避免重复执行
获取系统基础信息。
图 4‑6获取系统基础信息
窃取系统Vault、Credman中的密钥信息,获取Wi-Fi网络密码。
图 4‑7获取系统密钥、网络密码
获取屏幕截图。
图 4‑8获取屏幕截图
窃取软件的数据,受影响的软件如下表。
表 4‑3受影响软件范围
FTP | FileZilla | WinSCP | CoreFTP | Snowflake | |
VPN | NordVPN | EarthVPN | WindscribeVPN | ||
浏览器 | 360Browser | 7Star | Amigo | Atom | BlackHaw |
Brave | CentBrowser | Chedot | Chrome | ChromePlus | |
Chromium | Chromodo | Citrio | CocCoc | Comodo | |
Coowon | Cyberfox | Dragon | Elements | EpicPrivacy | |
Firefox | IceDragon | Iridium | K-Meleon | K-Melon | |
Kometa | liebao | Maxthon3 | MS Edge | Nichrome | |
Opera GX | Opera Stable | Orbitum | Pale Moon | QIP Surf | |
Sleipnir5 | Sputnik | Thunderbird | Torch | Uran | |
Vivaldi | Waterfox | Yandex | |||
通信软件 | Telegram | Discord | Pidgin | Outlook | FoxMail |
Signal | RamBox | ||||
电子钱包 | MoneroCore | BitcoinCore | DashcoinCore | DogecoinCore | LitecoinCore |
Electrum | Exodus | Atomic | Jaxx | Coinomi | |
Zcash | Guarda | Wasabi | |||
密码管理器 | BitWarden | KeePass | NordPass | 1Password | RoboForm |
娱乐 | Steam | Twitch | OBS | ||
重要文件 | DropBox | OneDrive |
在内存中将窃取到的数据打包为zip格式,其中还标注了该木马的版本号v1.7.0.1。
图 4‑9打包为zip格式的回传数据
使用HTTP协议回传数据:若C2地址中含有“.onion”域名,则从Github某公开仓库中下载Tor客户端并将其设置为代理服务器后回传,若C2地址为其他域名则直接回传。
图 4‑10回传数据
若HTTP方式回传失败,则将文件上传至AnonFiles网站。该网站为公开的匿名文件存储网站,攻击者将其作为接收回传数据的匿名途径,增加了溯源反制难度。
图 4‑11上传至AnonFiles
4.3 Merlynn Cliper剪贴板劫持器分析
Merlynn Cliper剪贴板劫持器运行后会持续监听系统剪贴板,若剪贴板内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的数字货币转账等操作,造成受害者虚拟财产的损失。
4.3.1 样本标签
表 4‑4样本标签
病毒名称 | Trojan/Win32.MerlynnCliper |
原始文件名 | svchost.exe |
MD5 | EEC41C39511EE00773A1E8114AC34E70 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 91.98 KB (94,192字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2055-08-18 21:54:28(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | .NET |
VT首次上传时间 | 2021-12-18 13:46:52 |
VT检测结果 | 22/68 |
4.3.2 样本分析
检查是否为调试、沙箱、虚拟化环境,若为上述环境则退出进程。
图 4‑12检查运行环境
将自身复制到启动目录下实现自启动,然后删除原文件。
图 4‑13设置自启动
设置剪贴板侦听器,捕获系统中剪贴板修改事件。
图 4‑14设置剪贴板侦听器
使用正则表达式匹配剪贴板内容,若匹配到剪贴板中内容为数字钱包地址,则将其替换为攻击者预设的钱包地址,以此劫持受害者的挖矿地址配置和数字货币转账等操作。
图 4‑15劫持剪贴板内容
攻击者预设的数字钱包地址如下。
图 4‑16攻击者预设的钱包地址
通过Telegram API将被替换的剪贴板内容发送给攻击者。
图 4‑17回传剪贴板劫持结果
5 .Jester Stealer黑客团伙关联分析
通过对样本的关联分析发现,该样本释放的窃密木马及剪贴板劫持器均由Jester Stealer黑客团伙开发售卖。该黑客团伙从2021年7月20日起售卖窃密木马,同年10月2日后也开始通过售卖剪贴板劫持器、挖矿木马、僵尸网络等多种不同类型的恶意软件获利,是典型的商业化运营的黑客团伙。
Jester Stealer窃密木马为该黑客团伙主要销售的恶意软件,于2021年7月20日首次在黑客论坛售卖。该窃密木马频繁更新,更新内容主要为增加新的窃密功能、适配攻击目标环境的变化、修复bug等,本次分析的样本为v1.7.0.1版本。
表 5‑1 Jester Stealer窃密木马版本更新
日期 | 版本 | 说明 |
2021年7月20日 | Jester Stealer v1.0 | Jester Stealer 首次在黑客论坛出现,主要宣传内容为:支持大量软件窃密,支持通过Tor网络及AES-CBC-256加密回传,支持Telegram通知,支持反虚拟机、反沙箱、防止重复运行等功能。采用买断制付费。 |
2021年8月8日 | Jester Stealer v1.1 | 增加窃取电子货币钱包功能。 |
2021年8月10日 | Jester Stealer v1.2 | 增加社交网站账号粉丝数等信息自动提取、浏览器Cookies保存为Json格式等功能。 |
2021年8月12日 | Jester Stealer v1.3 | 增加Github账号信息提取等功能,优化接收到信息的展示。 |
2021年8月20日 | Jester Stealer v1.4 | 增加针对Chrome浏览器及个别网站的新窃密能力。 |
2021年8月25日 | Jester Stealer v1.5 | 增加备用回传C2地址,增加更多针对金融域名的窃密能力。 |
2021年9月17日 | Jester Stealer v1.5.0.1 Jester Stealer v1.5.0.2 | 修复多个bug。 |
2021年9月28日 | Jester Stealer v1.6.0.1 | 支持Windows 11系统。 |
2021年9月30日 | Jester Stealer v1.7 | 自动解析文件中可能存在的电子钱包种子、私钥等。 |
2021年10月6日 | Jester Stealer v1.7.0.1 | 修复多个bug。 |
2021年12月14日 | Jester Stealer v1.7.0.3 | 适配Chrome v96版本的Cookie窃取。 |
2022年1月4日 | Jester Stealer v1.8 | 增加多种数据窃密功能。 |
2022年1月21日 | Jester Stealer v1.7.1.0 | 提高回传速度。 |
除窃密木马外,Jester Stealer黑客团伙销售的恶意软件还包括剪贴板劫持器Merlynn Clipper、挖矿木马Trinity Miner和僵尸网络Lilith BotNet等。这些恶意软件通常有几十到几百美元不等的多个价格档位,以此可看出该团伙正在尝试增加获利来源,获取更多非法收益。
表 5‑2 Jester Stealer黑客团伙出售的恶意软件
恶意软件 | 最早销售日期 | 售价(美元) | 说明 |
Jester Stealer | 2021年7月20日 | 99~249 | Jester Stealer窃密木马。 |
Jester Stealer Builder | 2021年9月2日 | 459~999 | Jester窃密木马构建器,用于生成自定义功能、伪装、混淆等的木马程序,包含C2服务器代码用于自行搭建。 |
Lilith BotNet | 2021年10月2日 | 150~700 | Lilith僵尸网络程序,主要功能模块:广告插件、竞品清除、剪贴板劫持器、DDos、下发载荷、挖矿、窃密木马。 |
Lilith BotNet Builder | 300~1400 | Lilith僵尸网络程序构建器。 | |
Merlynn Clipper | 2021年10月9日预售, 2021年10月21日发布 | 29~99 | Merlynn剪贴板劫持器,主要功能为将剪贴板中的10种电子货币的钱包地址替换为攻击者预设的地址。 |
Merlynn Clipper Builder | 59~199 | Merlynn剪贴板劫持器构建器。 | |
Trinity Miner | 2021年11月2日 | 29~99 | Trinity挖矿木马,可用其挖取门罗币。 |
Trinity Miner Builder | 59~199 | Trinity挖矿木马构建器。 |
6.总结
目前,此类在利益驱使下形成的市场化的商业窃密木马已经形成了一条完整的窃密产业链。在市场竞争环境下,Jester Stealer窃密木马快速更新迭代,不断增加新的窃密功能,在短时间内具备了较为成熟的窃密回传能力,给用户带来隐私泄露、经济损失等严重后果。
Jester Stealer黑客团伙作为商业窃密木马产业链的上游,即窃密木马编写者,负责完成窃密木马程序的设计、开发和测试,并对窃密木马程序进行维护更新。但从该团伙开发剪贴板劫持器、挖矿木马、僵尸网络等多种不同类型的恶意软件可以看出,专职窃密攻击者的选择已经从单纯的窃取数据获利转变为复合型的获利方式,包括但不限于挖矿、劫持钱包等方式。
7 .IoCs
9760B3E37006E0F3EDDE69F9A92C535A |
A09C37144CA538B0BC4499BF59C691F1 |
EEC41C39511EE00773A1E8114AC34E70 |