Bitget下载

注册下载Bitget下载，邀请好友，即有机会赢取 3,000 USDT

APP下载   官网注册

1.概述

商业窃密木马是一类在利益驱使下形成的商品化、市场化的窃密木马。商业窃密木马会收集目标系统的重要数据（包括但不限于密码凭据、隐私信息、重要文件、数字资产等），并将收集到的数据回传至攻击者服务器，给用户造成隐私泄露、经济损失等严重后果。因此，安天CERT全面剖析了典型商业窃密木马家族，归纳了商业窃密木马攻击活动中的攻击流程和常用技术手段，阐述了商业窃密木马的活动现状，总结了有效的防护建议，帮助用户免受商业窃密木马的侵害。

目前，商业窃密木马已形成了一条完整的窃密产业链，主要包含制作、混淆、销售、传播、获利等环节。产业链分工协作明确：窃密木马编写者负责程序设计、开发和测试；混淆服务提供商负责混淆程序以规避检测；销售者进行推广销售以获取更多利益；传播者负责投放窃密木马感染用户设备。窃密攻击者可通过在窃密产业链中购买各个攻击阶段的服务来实现“一条龙”式的完整攻击，最终将窃取到的数据出售给信息购买者从而获利。

商业窃密木马采用模块化的载荷，内部组件相对独立，可扩展性强，可根据攻击目标的变化进行调整，增加新的窃密功能，对数据安全产生更多威胁。商业窃密木马通常具备下发恶意代码的功能，攻击者可借此传播后门程序、勒索软件、挖矿木马等，给受害者造成更大的损失。以近年来出现的双重勒索攻击方式为例：攻击者在加密数据之前会先窃取数据，后从数据泄露风险和数据损毁风险两方面对受害者进行勒索，试图获取更多收益。

2.防护建议

针对商业窃密木马安天建议企业和个人采取如下防护措施：

• 安装终端防护：安装反病毒软件，建议安装安天智甲终端防御系统。加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。接收邮件时要确认发送来源是否可靠，避免打开可疑邮件中的网址和附件。建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。安天追影威胁分析系统（PTA）采用深度静态分析与沙箱动态加载执行的组合机理，可有效检出分析鉴定各类已知与未知威胁。部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

3.典型商业窃密木马攻击流程

攻击者利用用户感兴趣的话题作为诱饵，通过钓鱼邮件、钓鱼网站、公共网站等途径投放攻击载荷，诱导用户下载。攻击载荷多采用宏文档、Office漏洞利用文档或恶意程序压缩包形式，在受害者打开文档并启用宏时、Office软件存在对应漏洞时或不慎解压运行时，恶意程序就会执行。恶意程序一般由外层加载器和内部窃密木马载荷组成，外层加载器下载、解密窃密木马载荷，为其提供防御规避、持久化等能力，最终由内部的窃密木马窃取受害者的密码凭据、隐私信息、重要文件、数字资产等数据回传给攻击者。

4.商业窃密木马运营现状分析

近年来，随着商业窃密木马数量的不断增加，逐渐形成了一条完整的窃密产业链，主要包含制作商业窃密木马、销售、混淆、传播、获利等环节。即使攻击者没有足够的技术能力，也可以通过在窃密产业链中购买各个攻击阶段的攻击服务来实现“一条龙”式的完整攻击。攻击者通过多种传播方式大规模投放商业窃密木马，窃取用户主机中的数据。商业窃密木马采用模块化的载荷，内部组件相对独立，可扩展性强，可根据攻击目标的变化进行调整，增加新的窃密功能，对数据安全产生更多威胁。商业窃密木马通常具备下发恶意代码的功能，攻击者可借此传播后门程序、勒索软件、挖矿木马等，给受害者造成更大的损失。

4.1产业链条分工明确，攻击门槛持续降低

商业窃密木马产业链中的分工角色主要包括专职窃密者、窃密木马编写者、窃密木马销售者、混淆服务提供者、传播服务商等。产业链中一人可担任多个角色，一个角色也可以由多人承担。在此基础上，即使窃密攻击者没有相关的技术能力，也可以通过在产业链中购买各个攻击阶段的攻击服务来实现“一条龙”式的完整攻击。窃密攻击者视角下的商业窃密木马产业链示意图如下。

• 窃密木马编写者、窃密木马销售者

窃密木马编写者持续关注攻击目标，完成窃密木马程序的设计、开发和测试，并对窃密木马程序进行更新，是产业链的商品生产者。开发完毕的窃密木马传递给窃密木马销售者进行推广销售。窃密木马销售者通过黑客论坛、群组等渠道宣传窃密木马，并通过匿名渠道完成木马售前沟通、交易、售后支持。

如下为RedLine窃密木马在某黑客论坛出售的页面。

攻击者购买窃密木马后，可使用控制面板实现设置窃密范围、生成自定义窃密木马、查看回传数据等功能。

• 购买混淆服务

生成的窃密木马程序通常需要进行混淆/加密处理，增强其免杀效果。许多商业窃密木马编写者会顺带提供混淆/加密服务，但购买者也可自行选择其他解决方案。

• 投放木马、窃取数据

攻击者投放窃密木马，等待回传的信息。以下为Agent Tesla窃密木马的控制面板，面板中展示了受害者的统计信息，并提供了导出信息的功能。

虽然窃密木马使用的技术变得更加复杂，但由于其功能的封装，攻击者发起攻击的难度反而下降。恶意程序的功能更具有通用性，加载器通常支持多种载荷部署方式，允许攻击者通过配置文件、网页面板等方式配置注入方式、自启动、下载插件、回传方式等功能，自助生成定制的攻击载荷。

4.2传播方式多样化

商业窃密木马除通过发送钓鱼邮件、搭建钓鱼网站等传统方式传播外，也增加了新的传播渠道：利用用户生成内容（UGC，User-Generated Content）的公共网站伪装正常软件进行传播。

4.2.1利用钓鱼邮件传播

攻击者以用户感兴趣的内容作诱饵，大量发送携带有宏文档、Office漏洞利用文档、恶意程序压缩包等附件的钓鱼邮件，诱导用户执行恶意代码，钓鱼邮件示例如下。

4.2.2 搭建钓鱼网站传播

攻击者搭建盗版软件、外挂软件等主题的钓鱼网站，降低用户的警惕性，诱导其主动关闭安全软件，并通过捆绑下载或伪装下载的方式投递攻击载荷。安天曾在《伪造盗版软件传播的窃密样本分析》[1]报告中揭露Vidar等多种窃密木马通过钓鱼网站传播的攻击事件。

4.2.3利用公共网站传播

攻击者还会利用UGC的公共网站来伪装成正常软件进行传播，安天曾分析过一起通过视频网站传播RedLine窃密木马的攻击事件[2]。这类网站允许用户上传自己的原创内容（如视频、帖子等）展示给其他用户。攻击者上传大量包含盗版软件、操作教程、虚拟货币、游戏作弊等各类热点话题的内容作为诱饵，诱导用户下载并运行恶意代码。

4.3 窃密家族快速更新，组件功能灵活迭代

商业窃密木马家族快速更新，增加新的窃密功能，并根据攻击目标的变化进行调整。例如，在Chrome浏览器80版本更新后，修改了保存密码的加密方式，导致旧的窃密器尽数失效，而多个流行的商业窃密木马会在短期内更新以适配该变化。如下为RedLine窃密木马版本更新的信息。

商业窃密木马尝试采用高度模块化的载荷，即内部组件相对独立，易于更新迭代，可扩展性强。窃密木马作者可根据购买者的意图进行功能定制，升级组件功能时不需要对窃密木马本身进行大幅修改。加载器通常只具备收集基础信息及持久化等非核心功能，着重于加强防御规避能力，或演化为网络结构复杂的僵尸网络，确保后续组件的持续下发及成功执行。常用的组件功能包括窃取数据、内网扫描、漏洞攻击、发送垃圾邮件、内网穿透等。

4.4 捆绑下发更多恶意代码，相互勾结扩大利益链

商业窃密木马通常具备下发恶意代码的功能，攻击者可通过这些渠道传播后门程序、勒索软件、挖矿木马等，给受害者造成更大的损失。以近年来出现的双重勒索攻击方式为例：攻击者在加密数据之前会先窃取数据，后从数据泄露风险和数据损毁风险两方面对受害者进行勒索，试图获取更多收益。

5.商业窃密木马典型对抗技术手段

窃密木马为了避免核心功能代码、字符串等被安全软件检测，会采用各类对抗技术手段，隐藏自身特征，提高攻击成功的几率。常用的技术包括无文件技术、隐写术、修改异常处理机制等。

5.1使用无文件技术规避检测

窃密木马会对代码进行混淆，并使用加载器间接执行，各层载荷不落地，只在内存中加载，其中常用的技术如下。

5.1.1对内存载荷进行加密

窃密木马通常使用被混淆的较为复杂的自定义加解密算法，将攻击载荷加密存放于自身文件的资源段或远程服务器中，只在运行时获取并解密，避免了载荷落地，规避安全软件检测。例如，Vidar窃密木马使用的加载器在内存中对载荷进行解密，解密算法使用多次移位及异或运算。

5.1.2使用多层载荷

窃密木马使用多层攻击载荷嵌套加载，每层载荷使用不同的混淆手段在内存中加载，规避安全软件检测。例如，Agent Tesla窃密木马使用4层载荷[3]，各层的混淆手段包括载荷分割、Base64编码、异或加密、图片隐写、内存中加载、注入执行等，执行流程如下图所示：

5.1.3使用进程镂空技术

窃密木马采用进程镂空技术，使用跨进程内存操作的API函数将其他正常进程的内存空间替换为恶意代码，将自身伪装为正常进程执行，躲避安全软件检测。

5.2 使用隐写术规避检测

窃密木马会采用隐写术（信息隐藏的技术）将载荷和配置信息隐藏在其他信息中，或以不常见的载体来存储信息。例如Agent Tesla窃密木马采用的ReZer0加载器将PE格式的攻击载荷隐藏在图片像素中，运行时通过解析图片的像素点数据来还原载荷，以躲避检测。

5.3利用异常处理机制对抗分析

窃密木马通过注册自定义的异常处理函数，打乱正常的执行流程，破坏调试器功能，以此对抗分析。例如，Dridex窃密木马注册VEH异常处理函数，捕获int 3指令触发的异常，实现间接调用API及反调试的效果。

6.流行商业窃密木马分析及展示

6.1 Agent Tesla

Agent Tesla窃密木马最初于2014年在其官方网站进行销售，价格根据用户选择的功能上下浮动，从几美元到几十美元不等。该网站声称自己销售的是“合法”的按键记录工具，但该程序中却含有各类窃密功能，且采用了较多的反分析手段，网站技术人员还会对有关该软件的非法使用提供支持，之后该窃密木马转为在黑客论坛出售。

Agent Tesla的控制面板使用PHP编写，并采用了代码保护措施，避免被“盗版”。

• 窃取数据

进行数据窃取，受影响的包括系统数据、浏览器、电子邮件、FTP、远程连接工具、VPN账号、即时通讯软件、服务器运维工具等，如下表：

表 6‑1窃密范围

• 数据回传

支持的回传方式包括电子邮件、FTP、HTTP及Tor匿名网络，攻击者可以选择其中任意一种方式，并将相关参数硬编码到样本中实现回传。

1.通过Tor匿名网络回传

窃密木马会自动下载Tor客户端并通过匿名网络进行HTTP通信，该种方式使得回传服务器更难以被溯源及破坏，增加了窃密木马的持久性。

2.通过电子邮件回传

支持通过SMTP协议进行电子邮件回传。

3.通过FTP回传

使用硬编码的回传地址、用户名及密码上传文件。

4.通过HTTP回传

将数据组合为表单并发送至服务器。

6.2 RedLine

RedLine是一种在黑客论坛出售的窃密木马。窃密木马作者在多个论坛发帖宣传，并提供买断制或订阅制购买方式，通过Telegram的自助机器人交易。该窃密木马于2020年3月被发现，尽管该窃密木马仅出现近两年，但已经具有强大完善的信息窃取功能，是十分流行的窃密木马家族之一。详细分析可参见安天曾发布的《通过视频网站传播的RedLine窃密木马分析》[2]。

• 窃取数据

连接至C2获取配置信息，包括国家和地区黑名单、IP黑名单、窃密功能开关、指定文件收集规则等。

• 数据回传

使用C#语言中的ChannelFactory类与C2进行网络通信。

6.3 LokiBot

LokiBot窃密木马也被称为Loki、LokiPWS，主要通过钓鱼邮件传播。LokiBot最早可追溯到2015年，由名为“lokistov”和“Carter”的用户在黑客论坛出售，售价为400美元。LokiBot服务端源码曾被泄露，后续还出现了售价仅80美元的“盗版”，还有较多配置信息被修改的版本，这也间接导致了LokiBot窃密木马的流行。

• 窃取数据

构建函数数组，每个函数均包含针对某种软件的窃密功能，然后依次执行这些函数。

详细的窃密范围如下表所示：

表 6‑2窃密数据范围

• 接收C2指令，执行后续功能

根据C2指令进行进一步操作。支持的功能包括再次窃取数据、下载并执行插件、升级自身、自删除等。

6.4 FormBook

FormBook是一种非常流行的商业窃密木马，自2016年开始在黑客论坛上以MaaS（恶意软件即服务）的形式出售，版本不断迭代更新。FormBook主要被用于窃取目标个人信息，能够自动收集目标系统中的敏感信息，具备键盘记录和屏幕获取功能。同时它具有远程控制能力，能够对目标系统进行长期驻留控制。

安天曾对某单位遭受投递FormBook窃密木马事件进行分析报告[4]。

• 窃取数据

循环查找并劫持如下列表中的进程，窃取进程数据，窃取内容包括键盘记录、账号密码等。

表 6‑3目标进程列表

• 数据回传

构建数据包，通过HTTP协议进行数据回传。

• 接收C2指令，执行后续功能

FormBook支持接受C2指令，以实施进一步攻击。指令功能包括下发模块、升级、卸载、执行命令、搜索信息等。

详细的指令功能如下表所示：

表 6‑4 指令功能表

6.5 Vidar

Vidar于2018年12月首次被发现，主要通过黑客论坛及匿名通信软件出售，不同时长档位的售价在130美元到750美元不等。Arkei与其存在很强的同源性，两者整体结构及通信协议等核心代码基本相同，推测Vidar为Arkei的更新版本或分支版本。

• 窃取数据

根据C2指令进行窃密，指令的主要功能如图所示：

• 数据回传

将窃密数据打包为zip格式，通过HTTP协议发送到C2。

6.6 Raccoon

Raccoon窃密木马最早于2019年被发现。相比其他窃密木马，Raccoon只包含窃密功能，缺乏反沙箱、反虚拟机等防御规避能力，因此Raccoon开发团队曾在论坛中建议使用者借助第三方加载器或混淆器对恶意代码进行保护。

• 窃取数据

获取计算机硬件等系统基础信息。

检测系统安装的浏览器，下载用于窃取浏览器Cookies、保存的密码等信息的sqlite3.dll。

获取邮件客户端中的邮件地址、账户凭据等。

• 数据回传

将收集到的数据压缩为zip文件回传至C2服务器，最后使用cmd指令进行自删除。

6.7 Azorult

Azorult窃密木马最早于2016年7月被发现，至今已进行了多次升级。该窃密木马窃取账户凭据、浏览器保存的密码、数字货币等并自动发送至C2服务器，同时还具备加载其他恶意代码的功能。

• 窃取数据

部分窃密范围如下。

表 6‑5窃密目标

• 加载其他载荷

下载后续载荷至%Temp%或%ProgramFiles%下，检查文件扩展名是否为exe，如果是则使用CreateProcessW运行，否则使用ShellExcuteW运行。

6.8 Pony

Pony窃密木马于2011年首次被发现，也被称为Fareit、Siplog，能够从受害者主机上窃取信息并加载其他恶意代码。该窃密木马支持多种定制功能，以满足不同的购买者的需求。

• 窃取数据

窃密范围包括系统信息、FTP工具、浏览器、邮箱客户端、加密货币客户端及其他常用软件。

表 6‑6窃密目标

• 其他功能定制

该窃密木马在生成器中可以进行高级设置和参数设置。

表 6‑7高级设置

窃密木马支持的参数列表如下。

表 6‑8参数列表

7.流行窃密木马横向对比

对上述窃密木马家族，根据“编写→售卖→传播→窃密→回传”的窃密木马活动周期总结特点并进行对比统计，如下表所示：

表 7‑1流行商业窃密木马横向对比（★表示具备对应功能）

8.ATT&CK技术特点映射图谱

商业窃密木马攻击中涉及到的主要技术特点对应ATT&CK映射图谱如下。

具体ATT&CK技术行为描述表如下。

表 8‑1 ATT&CK技术行为描述表

9. 总结

通过追踪商业窃密木马的攻击流程，发现目前攻击者采用钓鱼邮件、钓鱼网站、公共网站等多个传播方式入侵受害者主机，入侵成功后收集目标系统的重要数据（包括但不限于密码凭据、隐私信息、重要文件、数字资产等）并将其回传给攻击者，给用户带来隐私泄露、经济损失等严重后果。同时，捆绑下发后门程序、勒索软件、挖矿木马等更多恶意代码，试图获取更多收益。

通过探索商业窃密木马的运营模式，发现商业窃密木马已形成了一条完整的窃密产业链，窃密攻击者可通过在产业链中购买各个攻击阶段的服务来实现“一条龙”式的完整攻击，降低了攻击门槛。并且商业窃密木马采用模块化的载荷，可根据攻击目标的变化进行调整，使用新的对抗技术并增加新的窃密功能。在市场竞争环境下，窃密木马势必会加速更新迭代，给用户端安全防护带来更多挑战。

在此背景下，安全产品需要不断更新迭代，增强产品安全能力，方能帮助用户免受商业窃密木马的侵害。安天CERT始终关注商业窃密木马的相关技术变化和特点，并提出对应的解决方案。安天智甲不仅提供了病毒查杀、主动防御等基础功能，还提供了终端管控、网络管控等加强能力，能够有效防御此类威胁攻击，保障用户数据安全。

参考资料

1. 伪造盗版软件传播的窃密样本分析

https://www.antiy.cn/research/notice&report/research_report/20210628.html

1. 通过视频网站传播的RedLine窃密木马分析

https://www.antiy.cn/research/notice&report/research_report/20211125.html

1. 商业窃密木马Agent Tesla新型变种分析

https://www.antiy.cn/research/notice&report/research_report/20210812.html

1. 对某单位遭受投递FormBook窃密木马的分析报告

https://www.antiy.cn/research/notice&report/research_report/20211021.html

特别感谢：哈尔滨工业大学网络安全响应组

相关内容

标签： 窃密木马使用 窃密木马分析 收集收集