一、背景 腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒利用自己建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。
Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。
Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。
当前版本的Sality感染型病毒具有以下特点: 1、破坏系统安全设置; 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件; 3、利用可移动、远程共享驱动器的自动播放功能进行感染; 4、将自身注入到其他进程中,以便能够将下载的DLL加载到目标进程; 5、创建一个对等(P2P)僵尸网络; 6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符格式判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产就会被盗。
根据腾讯安全御见威胁情报中心统计数据,此次Sality病毒攻击影响超过3万台电脑。从地区分布来看,Sality在全国各地均有感染,最严重地区分别为广东、江苏、河南、山东。
从感染行业分布来看,Sality影响最严重的依次为科技、制造业和房地产行业。
二、详细分析
Sality感染型病毒Sality使用外壳程序保护,执行后首先解密出核心代码,然后跳转到入口执行。
创建互斥体"uxJLpe1m"以保证木马进程具有唯一实例。
枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
将恶意代码指令注入到其他进程(排除属于系统,本地服务或网络服务的进程)中,从而允许代码将从远程服务器下载的外部程序加载到目标进程中,病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。
感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能。
在本地、可移动和远程共享驱动器根目录下创建autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续传播感染病毒。
创建驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”,该驱动程序用来阻止对各类安全软件供应商网站的访问。
构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。
获取内置的下载URL列表。
获取计时器转换成字符,并以“?%x=%d”格式拼接在URL的末尾。
目前URL使用的活跃域名如下: tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua
从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。
剪切板大盗感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。
通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋。
根据监测数据,Sality下载的盗取数字加密货币木马每一个月更换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计盗取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合人民币约27万元。
三、安全建议防御重点:使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。
个人用户应避免从危险网站下载高风险软件,如游戏外{过}{滤}挂、破解工具、盗版软件等。关闭U盘的自动播放功能,防止感染型病毒通过U盘传播。
企业用户应加强内网共享文件的管理,可通过配置企业安全策略来降低风险。具体防范措施如下: 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的连接。如果不需要写访问权限,在可用选项下启用只读模式。 2、如果不需要使用文件共享,则用户应关闭文件共享。如果需要文件共享,则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时,需确保要求管理级访问的程序是合法应用程序; 4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 5、及时安装系统补丁,尤其是在承载公共服务且可通过防火墙访问的计算机上,例如HTTP,FTP,邮件和DNS服务;
IOCsSality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158
Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46
Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua
URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif
BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ
ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e
参考链接: https://www.symantec.com/security-center/writeup/2006-011714-3948-99
|