产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文软件破解补丁隐藏窃密木马,毒害全球数百万网民
2020-07-09 10:45:32
一、背景
腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。
根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:
CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。
腾讯安全系列产品应对CracxStealer窃密木马的响应清单:
|
应用 场景 |
安全产品 |
解决方案 |
|
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)CracxStealer黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
|
腾讯T-Sec 高级威胁追溯系统 |
1)CracxStealer黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)CracxStealer团伙关联的IOCs已支持识别检测;
有关云防火墙的更多信息,可参考: |
|
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)已支持查杀CracxStealer相关后门木马程序。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持: 1)通过协议检测CracxStealer相关木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
|
腾讯T-Sec终端安全管理系统(御点) |
1)可查杀CracxStealer团伙入侵释放的后门木马程序;
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
我们选择该站提供的一个大型商业软件破解补丁为例进行分析:
CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,折合人民币约2600元/年。
网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。
该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。
https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)
下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。
使用(P@$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe。
setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。
然后释放窃密木马11.exe、rokger.exe到"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。
窃密木马部分代码添加了VMP壳进行保护。
窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码,支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。
搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。
查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。
拍摄屏幕截图并保存为screenshot.jpg。
将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。
最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php
IOCs
Domain
mdpoter03.top
urep03.top
saytt03.top
URL
https[:]//cracx.com/coreldraw-graphics-suite-2017-full/
https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack License Key {Latest}
https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/
https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/
https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/
https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/
https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/
http[:]//mdpoter03.top/index.php
http[:]//urep03.top/index.php
http[:]//saytt03.top/index.php
https[:]//iplogger.org/1yzUq7
md5
Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38
RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip
7ed9a320c44d119e3d596efa218deab8
ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip
b366c329bcf624214bdfc23d7bedcb78
CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip
0083d7942c28e7a252dea391607917a5
|
installer_setup.exe |
45ec40f05b5df3e21b6aad950da23bb1 |
|
installer_setup.exe |
c5e4d08164364790eca5b3e8cf64ff79 |
|
installer_setup.exe |
ada1ffc753347613cee9bcddac9763a1 |
|
installer_setup.exe |
29bd44a4ed92568ddf67327ece8ace17 |
|
9.exe |
d7997aeb03bfa17ae03e6ee85a5afadd |
|
9.exe |
e4c1146393fe67ccbb4789eba8db6b31 |
|
09.exe |
18f235a24f4a7cfd2d0a5db61aac5921 |
|
caram.exe |
ad8f303e25c56bc0b2c9a36c0ee37a3e |
|
011.exe |
b01ea80301d452d6b1337fce7cae4a40 |
|
11.exe |
59cab6695a858e586be0dc0c3c781f6c |
|
rokger.exe |
a73ba165224417ec58fa88158dad6026 |
|
010.exe |
c3e3127dd3185af88d40aa019c196694 |
|
10.exe |
3bdef68d720360f362cdeec0463c282a |
|
mertol.exe |
8d5135bde449bc826b415043a03ebcce |
|
11.vbs |
2ecc0c2e30c22359b0f3e20df9b3af65 |
|
10.vbs |
6ee3b4ca9f4e22a0d2b5bfbb20b1b322 |
|
9.vbs |
732d3599f7f4aac60f9d08e487e62bf5 |
在线咨询