鍵盤記錄器和竊密程序在網絡犯罪活動中的作用
NO.1 【背景概述】
鍵盤記錄器和竊密軟件是眾多網絡攻擊者從目標系統中收集敏感信息的重要工具。這些工具收集目標系統中的憑證,個人身份信息,登錄賬號信息,瀏覽器中的網絡訪問記錄以及Cookie。隨著地下論壇對商業鍵盤記錄器和竊密軟件的開源和破解,這類工具變得很容易被獲取并可以被二次開發利用。暗網空間中大肆販賣的賬號密碼數據庫和其他登錄憑證信息,使鍵盤記錄器不再作為獨立的攻擊工具在竊密攻擊活動中發揮作用。于 是攻擊者將鍵盤記錄功能嵌入到了更為復雜的竊密惡意軟件框架中,使得其功能更為強勁,備受眾多網絡攻擊者的青睞。這種聚合了多功能的惡意軟件帶來了更大的非法收益,特別是部分攻擊者針對特定攻擊目標定制化開發且可以繞過防御措施的竊密軟件更是價值不菲。近年來,通過這些惡意軟件竊取的敏感信息在暗網上大肆銷售,造成了巨大影響和危害。
NO.2 【鍵盤記錄器:變種和近期活動】
鍵盤記錄器是一個通過模式匹配等算法來識別并記錄用戶的鍵盤輸入內容的監控軟件。被監控者輸入的內容會被上傳至攻擊者控制的服務器,用于分析被監控對象的個人身份信息(PII),金融交易賬號信息,電子郵件賬號以及各類私人賬戶登錄信息。蘇聯情報機構早在 20 世紀 70 年代就使用鍵盤記錄器監控其他國家駐莫斯科大使館使用的 IBM 電動打字機。他們將記錄下來的信息通過無線電發送給蘇聯情報機構。而隨著通信技術的進步,鍵盤記錄器的功能也在逐漸增強,包括收集敏感信息,監聽通話內容,記錄GPS 位置,截取屏幕記錄,捕獲麥克風以及攝像頭信息。僅在 2020 年,安全分析機構觀察到的 CRAT,Vizom 木馬,LodaRAT,EventBot,EvilQuest 勒索軟件和 Anubis 木馬等惡意軟件均具備鍵盤記錄功能。
圖 1: 在 COVID-19 疫情期間愈發活躍的 Agent Tesla 和 Hawkeye 攻擊活動(來源:Recorded Future)
與此同時,獨立的鍵盤記錄器也廣泛存在。Record Future 就觀察到了仍被獨立使用的 57 種鍵盤記錄器。在新冠疫情期間,由于居家辦公措施的實施,攻擊者通過疫情主題的釣魚郵件投遞 Agent Tesla 和 Hawkeye 這兩種鍵盤記錄器。
當前一些研究發現,Agent Tesla 鍵盤記錄器近期迭代更新了 C2 通信的基礎設施,而其竊密功能也隨著開源社區的迭代開發在不斷演進。一些 Agent Tesla 的變種還可以針對部分冷門 web 瀏覽器存儲的憑證信息進行竊取,同時可以使用 Tor 網絡繞過安全防御機制。黑客組織 “Vendetta” 就使用了 Agent Tesla 和 Hawkeye ,假借疾控中心的名義,實施以新冠為主題的網絡釣魚攻擊。
表1:三個在暗網論壇公布并銷售的定制化鍵盤記錄器變種
另一些對暗網的研究發現,2020 年暗網中鍵盤記錄器的主要公開來源是 Cracked Forum, Hack Forums, Nulled Forum 以及 Best Hack Forum,被討論最多的鍵盤記錄器變種分別是 Agent Tesla、Atom Logger、Project Neptune 2.0、Rapzo Logger 1.5、Silent keylogger 1.6、Digital keylogger 3.3 和 Hawkeye。這些惡意工具的開發者也在不斷的更新多功能和定制化的鍵盤記錄器。其中一款工具,自2011年便在技術論壇上發布,至今還有開發人員持續在最初發布的論壇維護更新。
圖 2: 軟件編寫者制作的 Atom 簡介和特性廣告
NO.3 【竊密軟件:變種和近期活動】
竊密軟件用于竊取目標主機上的敏感信息,同時也可以在受害者機器上安裝植入第二階段的有效載荷。這些惡意軟件通常會預設一些竊密目標,比如從瀏覽器,電子郵件客戶端或者文件管理軟件中竊取登錄憑證,加密貨幣的錢包私鑰,瀏覽器 Cookie 以及網絡犯罪者感興趣的其他信息。這些軟件的本質比較類似于 RAT 遠控工具,提供了一些允許攻擊者操縱目標主機的交互模塊。這種綜合性功能吸引了很多網絡攻擊者購買或者二次開發這樣的惡意軟件。
圖3:暗網市場 Russian Market 羅列的竊密軟件變種
一些攻擊者販賣其控制主機下的受害者信息,比如賬號密碼,IP 地址,操作系統信息,賬戶信息以及受害主機的訪問權限并獲得了巨額的非法利潤。在暗網市場上, Genesis Store 和 Russian Market 就提供了類似的服務。Genesis Store 在2020年利用 AZORult 獲取目標主機的敏感信息。而 Russian Market 使用 Raccoon, Viderm, Taurus 以及 AZORult 的變種獲取敏感信息,并在其信息販賣網站上列出獲取的受害者訪問憑證。
圖4:暗網市場列出的竊密軟件變體以及受害者地理位置,訪問鏈接以及其他數據信息
類似于鍵盤記錄器,惡意軟件開發者同樣開發了很多商業竊密軟件的破解版,開放源代碼并允許其他開發者創建定制化的變種。網絡攻擊者會在暗網論壇上推廣或者討論竊密軟件或者軟件變種,而在 Exploit 和 XSS Forums 存在大量的定制化工具討論。Cracked Forum, Hack Forums, Best Hack Forum 和 WWH-Club 這些論壇也有大量的竊密軟件廣告和銷售渠道。在這些論壇中銷售最火熱的竊密軟件分別是:WARZONE RAT, Raccoon, RedLine, ToxicEye 和 AZORult。
圖5:2020年1月至12月的竊密工具活動(來源:Recorded Future)
表2:三個竊密工具的變種和它們的更新情況
NO.4 【總結和防御策略建議】
盡管由于技術和安全防御措施的提升,獨立的鍵盤記錄器及其變種已經過時,但很多攻擊者仍舊基于這些工具來開發和改進更為復雜的惡意軟件,并將鍵盤記錄信息獲取作為他們攻擊鏈中的重要一步。隨著鍵盤記錄功能在惡意軟件中變得越來越普遍,攻擊者會利用各種方式逃避安全軟件的檢測來確保能鍵盤記錄功能的正常執行。此外,隨著居家辦公措施的流行,遠程登錄場景變得非常普遍。攻擊者會通過各種方式在這種場景下獲取鍵盤輸入記錄和其他登錄數據以達到敏感信息獲取的目的。
針對鍵盤記錄程序和竊密軟件的防御策略包括:
運行最新的殺毒軟件或其他終端保護工具來監控和掃描鍵盤記錄程序。
對各類軟件和瀏覽器進行更新,因為更新會包括漏洞補丁和替換過時的插件和附加組件,阻止攻擊者利用這些漏洞滲透到設備中。
使用密鑰軟件來免去輸入密碼的步驟,防止被攻擊者監控鍵盤記錄。
購買付費的安全解決方案,掃描系統中存在的漏洞并進行修復。
部署入侵檢測系統(IDS),入侵防御系統(IPS),或任何網絡防御機制以發現惡意活動。
監控系統驅動和注冊表的可疑變化,重點是對鍵盤輸入的捕獲。
本文為CNTIC編譯,不代表本公眾號觀點,轉載請保留出處與鏈接。
聯系信息進入公眾號后點擊“論壇信息”可見。
原文標題:Keyloggers and Stealers Help Harvest Lifeblood Data of Criminal Activities
原文地址:
https://go.recordedfuture.com/hubfs/report...
編譯:CNTIC情報組
