一个“txt文档”,就可以偷光你的秘密

发布时间:2021-04-20      来源:
昨天,盾盾看到一条新闻,据说360安全大脑主防威胁监控平台,监测到一起邮件钓鱼攻击事件。骇客攻击时使用了一款名为Poulight的窃密木马,Poulight木马从去年开始投入使用,功能齐全强大,此次攻击事件,确实证明其已开始在国内传播使用。

为了粉丝们的上网安全,盾盾赶紧请教了网盾学院的詹鸾杰老师。

攻击过程分析
 
詹老师介绍到:攻击者首先会投放一个使用RLO(Right-to-Left Override)技术的钓鱼文件,利用RLO技术,使得原本名为”ReadMe_txt.lnk.lnk”的钓鱼文件,在用户计算机显示为”ReadMe_knl.txt”。同时,攻击者将该lnk文件的图标设置为记事本图标,很容易是用户误以为是一个没什么危害的txt文档,非常具有迷惑性。

这样用户原本以为打开一个txt文档,而实际则执行了攻击者准备的代码。系统会根据攻击者自定义的“目标”内容,执行powershell命令,下载恶意程序https[:]//iwillcreatemedia[.]com/build.exe,将其设置为隐藏属性后运行。

下载的恶意程序经分析,是使用.net编译而成,内部名称为Poullight.exe,开发者并未对代码进行混淆。

代码分析
运行环境检测
被下载到本地的putty3.exe会先检查当前环境是否为虚拟机或病毒分析环境,若是即退出,此举是用来对抗一些样本分析沙箱。

通过环境检查后,木马开始创建线程执行其真正的恶意功能模块。
首先木马会加载自身资源,并对其进行Base64解码,最终得到配置内容:
<prog.params>YWRtaW4=|MQ==|MA==</prog.params><title>UG91bGlnaHQ</title> <cpdata>MHwwfDEyQ051S2tLSzF4TEZvTTlQNTh6V1hrRUxNeDF5NTF6Nll8MTJDTnVLa0tLMXhMRm9NOVA1OHpXWGtFTE14MXk1MXo2WXww</cpdata> <ulfile>aHR0cDovL3J1LXVpZC01MDczNTI5MjAucHAucnUvZXhhbXBsZS5leGU=</ulfile> <mutex>PL2d4vFEgVbQddddkms0ZhQiI0I</mutex>
其中<mutex>项的值转小写后”pl2d4vfegvbqddddkms0zhqii0i”作为文件名被创建于%TEMP%目录下,写入内容为8至32字节的随机值。但分析人员发现这部分代码似乎存在问题,或是我们拿到的木马程序尚处于前期测试阶段,导致其无法正常运行。

数据窃取
除了对运行环境的检测,木马还会记录用户名、机器名、系统名以及包括已安装的反病毒产品、显卡标签、处理器标签在内的其他机器信息。
将上述所有数据写入文件%LocalAppData%\\<8字节随机字符>\\PC-Information.txt。从反编译后的代码中可见,程序中使用了大量俄文描述。