恶意家族名称:
RootFinder
威胁类型:
信息窃取
简单描述:
RootFinder 是一款基于 .NET 的窃密工具,该程序使用了 .NET Reactor进行多次混淆,运行时可以窃取主机信息和数十款浏览器的敏感信息、FTP账号密码等数据。
恶意文件分析
恶意事件描述
近日,深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒,该病毒由 .NET 语言编写,套用了开源软件 StormKitty 的部分代码。经过分析发现该病毒功能尚不完善且手法相对简单,该窃密程序已在黑客论坛售卖,后续可能还会持续更新。
大多数计算机感染源于用户打开恶意电子邮件附件、点击有害链接或从不可信的来源下载文件。攻击者还使用特洛伊木马、虚假安装程序、虚假软件更新和类似方法来诱导用户并感染他们的计算机。
恶意事件分析
MITRE ATT&CK
解混淆
首先查看文件的信息,发现是.NET写的32位程序,拖进dnspy发现存在混淆,使用de4dot经过多次解混淆之后查看该文件:
收集ARP信息
首先通过cmd执行arp -a命令收集主机arp信息
收集FileZilla信息
通过读取 recentservers.xml 和 sitemanager.xml 两个文件的内容获取ftp服务器账号密码。
之后将收集到的信息写入到C:WondowsHosts.txt中。
收集主机信息
使用通过WMI接口获取计算机CPU和显卡信息,之后与主机名,用户名进行拼接计算MD5:
收集主机反病毒软件信息
此外还包括:系统语言、公网IP、系统时间、操作系统和系统版本、内存大小、磁盘系列号、BIOS信息、MAC地址、子网扫描、内网IP。
收集浏览器信息
包括Opera、Google Chrome、MapleStudio ChromePlus、Iridium、7Start、CentBrower、Chedot、Vivaldi、Kometa、Element Browser、Epic Privacy Brower、uCozMedia、Chromium、Sleipnir、Citrio、Coowon、liebao、QIP Surf、Orbitum、Comodo、Amigo、Torch、Yandex、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、Brave-Browser、Edge,FireFox、WaterFox、Thunderbird、IceGragon、Cyberfox、BlackHaw、Pale Moon等众多浏览器保存的账号密码、cookie、搜索历史、***等信息,此时收集到的信息将被保存到C:Windows目录下的众多txt中。
发送数据
收集到的信息将以明文的形式发送到 Telegram 机器人中:
文件同样会被使用POST的方式发向Telegram,随后删除保存的txt文件
病毒运营者自述可以获取游戏客户端(Steam,Minecraft)账号,但在分析调试的时候暂未发现相关代码调用。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/197814.html