产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
软件破解补丁隐藏窃密木马,毒害全球数百万网民
2020-07-09 10:45:32
一、背景
腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。
根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:
CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。
腾讯安全系列产品应对CracxStealer窃密木马的响应清单:
应用 场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)CracxStealer黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)CracxStealer黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)CracxStealer团伙关联的IOCs已支持识别检测;
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)已支持查杀CracxStealer相关后门木马程序。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持: 1)通过协议检测CracxStealer相关木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
腾讯T-Sec终端安全管理系统(御点) |
1)可查杀CracxStealer团伙入侵释放的后门木马程序;
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
我们选择该站提供的一个大型商业软件破解补丁为例进行分析:
CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,折合人民币约2600元/年。
网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。
该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。
https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)
下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。
使用(P@$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe。
setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。
然后释放窃密木马11.exe、rokger.exe到"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。
窃密木马部分代码添加了VMP壳进行保护。
窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码,支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。
搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。
查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。
拍摄屏幕截图并保存为screenshot.jpg。
将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。
最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php
IOCs
Domain
mdpoter03.top
urep03.top
saytt03.top
URL
https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/
https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/
https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/
http[:]//mdpoter03.top/index.php
http[:]//urep03.top/index.php
http[:]//saytt03.top/index.php
https[:]//iplogger.org/1yzUq7
md5
Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38
RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip
7ed9a320c44d119e3d596efa218deab8
ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip
b366c329bcf624214bdfc23d7bedcb78
CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip
0083d7942c28e7a252dea391607917a5
installer_setup.exe |
45ec40f05b5df3e21b6aad950da23bb1 |
installer_setup.exe |
c5e4d08164364790eca5b3e8cf64ff79 |
installer_setup.exe |
ada1ffc753347613cee9bcddac9763a1 |
installer_setup.exe |
29bd44a4ed92568ddf67327ece8ace17 |
9.exe |
d7997aeb03bfa17ae03e6ee85a5afadd |
9.exe |
e4c1146393fe67ccbb4789eba8db6b31 |
09.exe |
18f235a24f4a7cfd2d0a5db61aac5921 |
caram.exe |
ad8f303e25c56bc0b2c9a36c0ee37a3e |
011.exe |
b01ea80301d452d6b1337fce7cae4a40 |
11.exe |
59cab6695a858e586be0dc0c3c781f6c |
rokger.exe |
a73ba165224417ec58fa88158dad6026 |
010.exe |
c3e3127dd3185af88d40aa019c196694 |
10.exe |
3bdef68d720360f362cdeec0463c282a |
mertol.exe |
8d5135bde449bc826b415043a03ebcce |
11.vbs |
2ecc0c2e30c22359b0f3e20df9b3af65 |
10.vbs |
6ee3b4ca9f4e22a0d2b5bfbb20b1b322 |
9.vbs |
732d3599f7f4aac60f9d08e487e62bf5 |
在线咨询
方案定制