《新華三：2022年度竊密木馬攻擊態勢報告（45頁）.pdf》由會員分享，可在線閱讀，更多相關《新華三：2022年度竊密木馬攻擊態勢報告（45頁）.pdf（45頁珍藏版）》請在三個皮匠報告上搜索。

1、 2022 年度竊密木馬攻擊態勢報告-新華三主動安全系列報告-目 錄 CONTENTS 1 1 概述 3 2 2 全年竊密木馬攻擊態勢 4 2.1 全年攻擊事件 4 2.2 地域分布 6 2.3 家族統計 6 3 3 竊密攻擊技術特點 8 3.1 入侵傳播 8 3.2 防御規避 12 3.3 數據竊取 13 4 4 竊密攻擊發展趨勢 16 4.1 新家族不斷涌現，產品和服務雙向升級 16 4.2 竊密功能更加模塊化和定制化 17 4.3 開發跨平臺化，對抗程度加強 18 4.4 多因素身份認證攻擊日漸加劇 19 4.5 攻擊“多維度”疊加，威脅進一步加深 20 5 5 總結 21 6 6 附錄

2、 1:典型竊密木馬家族 22 6.1 RedLine 22 6.2 FormBook 26 6.3 AgentTesla 31 6.4 Raccoon 35 6.5 Lokibot 39 6.6 Vidar 41 主動安全 3 1 1 概述 自全球進入數字化轉型階段以來，數字驅動經濟增長，機遇與風險并存，數字化轉型帶來的以數據為核心的威脅態勢不斷升級。隨著網絡犯罪即服務（CCaaS，Cypher crime as a Service）模式的興起，網絡攻擊逐漸走向商業化、產業化，直至發展成如今成熟的網絡犯罪生態圈。在這種模式下，攻擊成本和技術門檻雙雙降低，以數據竊取、數據泄密和數據破壞為目的的攻

3、擊面持續擴大，全球網絡空間面臨的以數據為主的網絡威脅不斷泛化，時刻侵蝕網絡安全壁壘。新華三攻防實驗室持續跟蹤數據竊密等網絡攻擊活動，基于對全網竊密木馬攻擊活動的監測、分析與處置，結合國內外有關竊密木馬的研究報告進行綜合研判、梳理匯總為2022 年度竊密木馬攻擊態勢報告。本報告圍繞竊密木馬全年攻擊態勢展開，分析介紹典型竊密木馬家族，總結竊密木馬技術特點，探索當前竊密木馬的發展趨勢，旨在幫助機構組織、企業、個人對竊密木馬的傳播方式、功能、目標以及危害性有更加全面的了解，降低竊密木馬帶來的風險。主動安全 4 2 2 全年竊密木馬攻擊態勢 2022 年全球范圍內，數據竊密類惡意軟件活躍度持續走高，竊密

4、攻擊事件頻頻發生，網絡數據資產安全正面臨著日趨嚴峻的挑戰。據 Group-IB 統計，僅在 2022 年上半年就有超 30 個網絡犯罪團伙通過竊取即服務（SaaS,Stealer as a Service）模式分發竊密木馬，共感染超過 89 萬臺主機，竊取超過 5000 萬個賬戶憑據。由此可見，竊密木馬作為一個“被低估”的網絡威脅，尤其在大型企業等高價值目標中，其危害程度和影響范圍在某種程度上堪比勒索軟件。新華三攻防實驗室從竊密攻擊事件、竊密地域分布、流行竊密木馬等方面進行統計分析，現總結流行竊密木馬全年攻擊態勢如下：2.1 全年攻擊事件 2022 年竊密木馬攻擊事件不斷發生，攻擊方式多種多樣

5、，受害者遍布全球各地，下圖列舉了一些影響較為嚴重的竊密攻擊事件。主動安全 5 圖 1 全年竊密木馬攻擊事件案例 2022 年 2 月初，在 Microsoft 宣布 Windows 11 將完成最后升級的第二天，攻擊者就偽造 Microsoft官網向用戶分發偽造的 Windows 11 升級安裝程序，誘使用戶下載并執行 RedLine 竊密木馬。盡管分發站點在較短時間內被關閉，但仍導致了 RedLine 的大范圍傳播，受害者大量數據遭受竊取。2022 年 5 月，CPR 研究人員披露了一起對德國汽車制造商和經銷商實施的竊密攻擊活動。攻擊者向特定目標發送多封釣魚郵件，誘餌附件為汽車購買合同和轉賬

6、收據，用戶一旦打開附件就會后臺下載運行 Raccoon 和 AZORult 竊密木馬，導致各種登錄憑證及其他重要商業數據遭竊取。2022 年 9 月，“魔盜”竊密木馬偽裝成 CorelDraw、IDA Pro、WinHex 等多款實用工具軟件在國內進行大規模傳播，每日上線的受害者主機數量超過 1.3 萬。該竊密木馬會收集瀏覽器書簽和歷史數據、郵箱賬戶等重要數據，并且可更改后續攻擊載荷，如勒索、挖礦、竊密等類型的惡意載荷，給受害者帶來更為嚴重的危害。2022 年 9 月，科技公司 Uber 遭受了網絡攻擊導致嚴重的數據泄露。據 Group-IB 發布的報告，事件起始于 Uber 在巴西和印度尼西

7、亞的至少兩名員工個人設備感染了 Raccoon 和 Vidar 竊密木馬，登錄憑據被竊取并泄漏到暗網。攻擊者在暗網上購買到這些憑據，對 Uber 員工發起竊密攻擊，最終成功入侵并竊取到了 Uber 公司內部數據。主動安全 6 2022 年 12 月，Python 存儲庫 PyPI 平臺受到一波新的竊密木馬投毒攻擊，以竊取其他開發人員的信息數據。攻擊者上傳了近百個惡意 Python 包，用戶使用后會釋放 W4SP Stealer 竊密木馬，這些惡意包下載次數攻擊過萬次。2.2 地域分布 新華三攻防實驗室統計竊密木馬受害者在全球范圍的地域分布情況，如下圖所示。圖 2 2022 竊密木馬受害者地域分

8、布 經分析，北美洲、歐洲和亞洲是竊密木馬受害者的“重災區”，其他地區也受到不同程度的影響。其中，北美地區受到的竊密木馬攻擊最為嚴重，美國以受害者數量占比 33.47%占據全球首位，加拿大以占比 12.02%排在第二。歐洲區域的受害者主要集中在法國、俄羅斯、捷克、德國和西班牙等地區，亞洲區域以中國和韓國較為嚴重?？傮w而言，全球范圍內互聯網和經濟發達地區的受害程度普遍較高，正是由于這些地區數據資產價值更高，網絡用戶基數更大，竊密木馬更加有利可圖。2.3 家族統計 2022 年度全球范圍內流行的竊密木馬超過 60 種，相比 2021 年增加了十余個新型竊密木馬家族。流行竊密木馬家族 TOP10 統計

9、如下圖。主動安全 7 圖 3 2022 年竊密木馬家族 TOP10 竊密木馬的流行度離不開其背后的運營團伙大肆宣傳，其中，商業竊密木馬曝光率更高。RedLine 作為商業竊密木馬的代表，因其竊取數據類型多、操作便捷、售價低而被廣泛傳播，在野樣本超過 10 萬，躍居為 2022 年度最活躍的竊密家族。排名第二的 AgentTesla 家族是從 2014 年來一直活躍至今的老牌竊密家族，在經過多次版本迭代后，已經具備較強的數據竊取能力，支持定制化、界面友好等一系列特點使其比同類商業竊密木馬更勝一籌。擅長利用釣魚郵件傳播的 FormBook 竊密木馬在本年度持續猖獗，據 CPR報告，截止 10 月份

10、，FormBook 已感染全球 3%的機構。此外，Lokibot、Raccoon 等商業竊密木馬也各具特點，本年度活躍度只增不減。Raccoon3.21%Vidar3.58%AZORult3.69%Snake Keylogger4.42%Lokibot4.54%Qakbot4.65%Pony11.77%FormBook12.57%AgentTesla14.75%RedLine15.42%其他21.38%主動安全 8 3 3 竊密攻擊技術特點 全球數字化轉型背景下網絡資產加速擴張，數據呈多樣性、分散性、復雜性。竊密木馬攻擊者為了成功入侵并盡可能地獲取更多信息數據，在入侵傳播方式、防御規避技術、竊

11、密數據類型上都做了諸多嘗試。在入侵傳播方式上，攻擊者除了積極利用傳統的釣魚郵件、虛假破解/激活軟件、遠程代碼執行漏洞外，還會利用更加高級的手段，如供應鏈攻擊方式投放惡意載荷。在防御規避技術上，竊密木馬漸傾向于將多種技術結合起來，層層嵌套最終形成“套娃式”載荷，不僅能夠躲避防護軟件的檢測，一定程度上也會給專家研究分析增加難度。從竊密數據類型上來看，竊密的內容已發展為無所不竊，普通用戶使用最頻繁的瀏覽器數據仍然是數據竊取的主要目標，同時，為達到快速變現，針對加密數字貨幣的竊取也愈發受到攻擊者“青睞”。3.1 入侵傳播 竊密木馬的入侵方式多種多樣。統計顯示，排名 TOP3 的入侵方式分別為網絡釣魚、

12、破解/激活軟件以及遠程代碼執行漏洞。這些方式由于效果較好而被廣泛使用。圖 4 2022 年竊密木馬入侵方式統計 46.15%25.00%11.54%3.85%13.46%網絡釣魚破解/激活軟件遠程代碼執行漏洞供應鏈攻擊其它 主動安全 9 網絡釣魚 竊密木馬使用最多的入侵方式是發送釣魚郵件或短信，攻擊者會精心構造郵件或短信內容以引誘目標上鉤，載荷可能是惡意文檔、包含可執行程序的壓縮包或者是用于下載惡意載荷的鏈接，被攻擊者一旦打開文檔或執行相關程序，竊密木馬就會被植入。2K 是眾多流行游戲的發行商，旗下包括 NBA 2K、無主之地、WWE 2K、生化奇兵、文明系列等游戲。2022 年 9 月，黑客

13、冒充 2K 官方郵箱向游戲玩家發送領取票據的釣魚郵件，郵件內容包含一個指向“2K Launcher.zip”的網絡鏈接，但實際下載的文件是經過偽裝的 RedLine 竊密木馬，如下圖。圖 5 與 RedLine 相關的釣魚郵件（圖源 Reddit）破解/激活軟件 通過虛假或捆綁破解/激活軟件來傳播竊密木馬的方式也倍受攻擊者歡迎。攻擊者將竊密木馬偽裝成破解/激活工具或者將其進行捆綁，安全意識薄弱的受害者在需求急切的情況下很容易中招。2022 年 9 月，CNCERT 監測到一批偽裝成 CorelDraw、IDA Pro、WinHex 等多款實用工具進行傳播的“魔盜”竊密木馬。該木馬被安裝后會收集

14、瀏覽器歷史記錄、書簽數據、郵箱賬戶等數據，并加密回傳至攻擊者服務器。由于破解/激活軟件自身的特殊性，攻擊者通過安裝教程來誘導用戶關閉安全軟件，以此躲避檢測。經跟蹤發現，境內受感染主機每日上線數量破萬，影響頗為嚴重。主動安全 10 遠程代碼執行漏洞 由于開發者的疏忽或架構本身的缺陷，攻擊者可以構建特定的程序或數據，使軟硬件以非預期方式運行，嚴重情況下可以達到任意代碼執行的效果，最終控制受害者的機器。隨著數字化進程的推進，信息系統日漸復雜化，安全漏洞不可避免。同時，由于漏洞具有低交互性、持久性等特點，攻擊者始終熱衷于利用漏洞進行入侵傳播。除了對影響廣泛的老漏洞持續利用，當新的漏洞被披露，攻擊者也會

15、第一時間對其進行分析研究并迅速武器化。表 1 竊密木馬常用漏洞 CVE 漏洞名稱 相關家族 CVE-2017-0199 Microsoft Office RTF文檔遠程代碼執行漏洞 AgentTesla CVE-2017-8570 Microsoft Office遠程代碼執行漏洞 AgentTesla FormBook CVE-2017-8759 Microsoft.NET Framework遠程代碼執行漏洞 java KeyLogger CVE-2017-11882 Microsoft Office內存損壞漏洞 AgentTesla Raccoon CVE-2021-26411 Micros

16、oft Internet Explorer內存損壞漏洞 RedLine CVE-2021-40444 Microsoft MSHTML代碼執行漏洞 FormBook CVE-2022-1096 Chrome V8 JavaScript引擎遠程代碼執行漏洞 RedLine CVE-2022-30190 ms-msdt遠程命令執行漏洞 Qakbot XFiles CVE-2022-1096 是由匿名安全研究人員報告的 Chrome V8 JavaScript 引擎中的高嚴重性類型混淆漏洞，攻擊者利用該漏洞可以執行任意代碼，所有使用 Chromium 的瀏覽器如 Chrome、Edge 都受該漏洞影

17、響。2022 年 5 月，RedLine 竊密木馬利用 CVE-2022-1096 漏洞進行入侵，最終竊取了數百萬用戶的信息。供應鏈攻擊 供應鏈攻擊又稱為第三方攻擊，在供應關系中，攻擊者主要針對上游提供服務或軟件的供應商發起攻擊，從而影響到下游用戶。作為一種新型威脅，供應鏈攻擊具有突破口多、破壞力強、波及面廣、隱蔽性高等特點，已成為最難以防御的攻擊手段之一。主動安全 11 2022 年 12 月，攻擊者將 W4SP Stealer 開源竊密程序打包成各種模塊和工具，上傳到 Python 軟件存儲庫 PyPI 上。Python 開發者安裝并加載相應的惡意庫后，W4SP Stealer 竊密木馬就

18、會竊取 PayPal、加密貨幣以及 MFA 令牌等數據。經統計，在 PyPI 網站中，2022 年攻擊者已上傳 100 個以上惡意庫，累計下載量破萬。圖 6 PyPI 惡意庫下載量（部分示例，圖源 BleepingComputer）其他入侵方式 除了傳統的入侵方式，一些新的方式也被攻擊者采用。例如，ZingoStealer 竊密木馬攻擊者會在知名視頻網站 YouTube 上傳游戲外掛演示視頻，并在視頻簡介處添加偽裝成外掛的木馬載荷下載鏈接，誘使用戶下載安裝。類似地，Google 搜索引擎提供了“按點擊付費”（PPC，Pay Per Click）服務，Mars Stealer 利用該服務使其仿冒

19、的 OpenOffice 網站在搜索結果中排名第一，導致想要安裝 OpenOffice 的人很可能根據該排名進入網站下載安裝程序，成為竊密木馬受害者。主動安全 12 圖 7 Mars Stealer 仿冒的 OpenOffice 網站占據 Google 搜索頭條 3.2 防御規避 為了提高攻擊成功率，竊密木馬會采用各種防御規避手段，隱藏自身的可疑特征，躲避安全軟件的檢測。經統計，2022 年流行竊密木馬常用的防御規避手段占比如下圖。圖 8 2022 年流行竊密木馬防御規避手段占比 加殼/混淆28.30%虛擬化/沙箱規避22.64%禁用/修改防護軟件18.87%進程注入18.87%隱寫術3.77

20、%rundll32/regsvr32執行3.77%DLL側加載1.89%二進制填充1.89%主動安全 13 加殼/混淆仍是最常用規避手段 加殼/混淆技術通過對惡意程序進行加密、編碼和混淆，旨在掩藏惡意程序的靜態特征，不僅增加人工分析難度，也能夠一定程度上規避安全軟件的檢測。隨著市面上通用的加殼/混淆技術越來越成熟，使用成本極低，攻擊者往往傾向于使用這類技術，并將其廣泛應用于各種惡意軟件中。據統計，在 2022 年流行的竊密木馬家族中，超過七成的家族使用了加殼/混淆技術，可見，該技術仍然是最常用的防御規避手段之一。多重規避手段持續疊加 單一的規避手段起到的防御作用是有限的，竊密木馬往往會將多種手

21、段結合以達到更強的防御效果。統計顯示，近五成的竊密木馬家族均使用 3 種及以上的規避手段。如老牌竊密家族 AgentTesla 封裝了 4 層載荷，使用的規避手段包括加殼/混淆、圖片隱寫、進程注入、虛擬機/沙箱規避等，執行流程如下圖所示。圖 9 AgentTesla 防御規避技術 3.3 數據竊取 隨著竊密木馬快速發展，數據竊取量也在不斷增加。CTU 研究人員發現，通過竊密木馬竊取的賬戶憑證 在某個地下市場中出售 220 萬份，相比去年的 87 萬，同比增長超過 150%。同時，在不斷演化升級中，竊密木馬也衍生出眾多竊取特定目標數據類型的木馬種類，如專門針對 web 瀏覽器，收集瀏覽器中的敏感

22、用戶數據、cookie 和網絡數據等，或針對登錄憑據，從受害者機器上掃描與憑據相關的文件。無論是哪種，這些竊密木馬旨在獲取更多更充分的數據達到以牟利為主的最終目的?？紤]到敏感數據的變現價值和影響范圍，攻擊者在對竊取數據目標的選擇上具有一定程度的傾向性，下圖統計了 2022 年流行竊密木馬主要竊取的數據類型。主動安全 14 圖 10 2022 年流行竊密木馬竊取的數據類型統計 結合全球范圍內竊密攻擊事件來看，2022 年竊密數據主要呈現以下三個特點：網絡瀏覽器數據是竊密攻擊主要目標 網絡瀏覽器作為主要的互聯網入口始終存在海量使用需求，其中隱含的數據價值一直倍受竊密木馬攻擊者覬覦。同時，伴隨著用戶

23、定制化需求的激增，瀏覽器擴展程序應勢而起，一定程度上也助長了竊密木馬的傳播。網絡瀏覽器竊密內容包括竊取瀏覽器自動填充、用戶登錄、cookie 以及金融賬戶相關等數據。從攻擊成本上看，竊密木馬獲取瀏覽器數據較于其他數據更為容易，由于此類數據存儲在本地緩存文件中，竊密木馬入侵后實施本地搜索即可輕松獲取到。另外，瀏覽器數據的變現價值更大，尤其與金融、加密貨幣相關的門戶網站，一旦竊密木馬竊取相關口令，意味著攻擊者隨時可以攻破用戶賬戶或錢包地址，從而造成用戶財產的直接損失。變現更快的加密貨幣錢包更受“青睞”據 Chainalysis 統計，2022 年加密貨幣被盜 38 億美元，高出 2021 年 58

24、%，創下歷史紀錄。本年度，全球范圍內針對加密貨幣錢包的竊密事件激增，歸咎于新興竊密木馬如 Luca Stealer、ViperSoftX 等的紛紛涌現，也不乏老牌竊密家族如 Vidar 以及在意外中失去主力后又帶著新版本回歸的 Raccoon v2 也加入到這一暴利行業當中。網絡瀏覽器相關17.05%本地數據、截屏15.50%客戶端軟件相關13.18%加密貨幣錢包地址12.40%用戶憑據10.85%系統信息10.47%遠程訪問相關7.75%電子郵件相關5.43%鍵盤記錄4.65%剪切板2.71%主動安全 15 對加密貨幣錢包的竊密攻擊的特點在于，攻擊者會根據加密貨幣錢包的“冷存儲”（將貨幣離線

25、存儲，通常存儲在物理設備上）和“熱存儲”（將數字貨幣存儲在應用程序或在線平臺中）分別制定竊取策略。更有甚者將目光瞄準開源的去中心化金融（DeFi，Decentralized Finance）協議，尋找其中安全問題，利用區塊鏈交易的不可逆性，直接劫持與加密貨幣轉賬有關的 API，將資金重定向到“混幣服務”中，巨額數字資產瞬間無從追蹤。從攻擊手法上看，竊取加密貨幣與竊取普通數據相比并無二致，但在變現價值上，加密貨幣因其交易便利、不受管制、匿名化等特點，使攻擊者能夠直接獲得巨額利益的歸屬權，是本年度竊密攻擊的首選目標。多重數據竊密已成為主旋律 按照上圖對網絡瀏覽器、本地數據、客戶端軟件等十種流行的被

26、竊數據類型，我們統計了 2022 年流行的竊密木馬家族竊取數據類型種數占比，如下圖所示。圖 11 2022 年流行竊密木馬竊取數據種數 統計發現，每個流行的竊密木馬至少竊取 2 種以上的數據類型，竊取 4-6 種數據類型的竊密木馬最多，占總量的 64.81%，竊取多種數據類型已成為當前竊密攻擊的主旋律。例如，竊密木馬 HawkEye Keylogger不僅專門竊取鍵盤擊鍵記錄，還會收集 Chrome 瀏覽器數據、桌面截圖等數據。值得一提的是，其針對特定數據類型的竊取能力更強，在獲取目標數據上做的努力更多，HawkEye Keylogger 在感染當前受害主機后，還會將鍵盤擊鍵記錄模塊通過 US

27、B 傳播感染到其它系統主機，以擴大攻擊范圍。類似竊密家族還包括以竊取郵件憑據為主的 StrelaStealer。事實上，由于入侵攻擊成本較大，單一竊取某種特定類型的數據對于攻擊者來說無疑是一種低效率的行為。就受害者而言，更多種類的數據被竊取意味著其面臨的風險和威脅更大。20.37%64.81%12.96%1.85%23種46種69種9種以上 主動安全 16 4 4 竊密攻擊發展趨勢 4.1 新家族不斷涌現，產品和服務雙向升級 受世界范圍內地緣因素影響以及利益驅使，竊密木馬運營商推出眾多新型竊密木馬以及更精細的竊密服務來滿足更高的竊密需求。經研究，新興竊密木馬能在龐大的地下竊密市場占據一席之地，

28、與其使用非傳統的編程語言如 Go、Rust、DLang 有很大的關系。從攻擊者角度，他們急于立品牌、漲名氣，新語言版本的惡意工具問世不僅例行擴充武器庫，更是大大提升團伙“知名度”；從防御者角度，攻克新語言版本的惡意軟件所花費的人力、時間開銷比普通周期更大。這種攻守對抗過程中產生的時間差是導致該類惡意軟件在一段時間內流行度飆升的主要原因。例如，專注于加密貨幣錢包的新興竊密家族 Luca Stealer 正是基于 Rust 語言開發，攻擊者聲稱只用了六個小時就完成開發，在 VirusTotal 的檢測率僅為 22%。同樣，在 11 月，安全人員披露了一種基于 Go 語言的竊密家族 Aurora S

29、tealer，而該惡意軟件早在 7 月份就已經問世，在很長一段時間內都未被發現。一些流行的商業竊密木馬，為了凸顯自己比同類競品更具有優勢，在地下論壇高調宣傳自己的產品與服務，如 RedLine，在升級后針對不同客戶群體分別推出精簡版和專業版兩種服務，其中，專業版支持對超 100種加密貨幣錢包的竊取。此外，RedLine 提供英文和俄文兩種語言的安裝使用手冊，這一做法使 RedLine面向了更廣泛的客戶群體。圖 12 RedLine 安裝手冊 主動安全 17 4.2 竊密功能更加模塊化和定制化 隨著安全防御壁壘逐層加固，惡意軟件高度模塊化是必然趨勢，無論在避免被“一鍋端”還是在新技能擴展上，模塊

30、分離式攻擊已成為當前流行惡意軟件慣用出牌方式，竊密木馬也不例外。研究發現，針對特定數據的高度模塊化竊密木馬不僅會分階段發起不同的攻擊，還會分析目標環境和防御措施來調整竊密策略。例如，老牌竊密家族 TrickBot 被披露在一次攻擊活動中投放九個功能不同的模塊，有負責進行自我復制和橫向傳播的，有負責搜集瀏覽器中有價值的 cookie 信息的，有負責竊取用戶憑據的等等，這些模塊被應用到攻擊的不同階段中，以竊取受害者敏感數據為最終目的。圖 13 TrickBot 各功能模塊 另外，竊密木馬攻擊往往具有較強的目標針對性，尤其是高價值的大型目標。7 月份，一種基于 php 語言的竊密家族 Ducktai

31、l 瞄準 Facebook 財務人員和管理員的商業賬戶，一方面，竊取個人賬戶和財務相關數據；另一方面，利用 Facebook 商業賬戶在平臺上投放廣告，最終由 Facebook 支付。據統計，投放的廣告費用高達 600,000 美元，嚴重損害該企業的數據隱私和財產安全。類似攻擊事件如 YTStealer 竊密家族，專門竊取全球最大的視頻網站 YouTube 用戶賬號并在地下市場出售，粉絲量越多，發布視頻越多的賬號售價越高。不難發現，隨著竊密木馬加速演化，竊密功能更加模塊化、定制化，目標針對性也更明顯，如針對特定行業使用定制工具、精心構造釣魚郵件針對特殊目標等。在未來，竊密木馬始終將是以持續性牟

32、利為目的，以高價值、變現快為目標的更危險的網絡威脅衍生品。主動安全 18 4.3 開發跨平臺化，對抗程度加強 為擴大攻擊范圍，新興竊密木馬逐漸轉向使用可跨平臺的編程語言如 Go、Rust 等進行開發，以便適配到多種不同的操作系統如 Windows、Linux 和 macOS 中。一方面，跨平臺的編程語言因其高開發效率和可移植性特點而受到惡意軟件開發人員的廣泛推崇，另一方面，這些編程語言編寫的惡意軟件可以在一定程度上躲避安全工具的檢測，并可以給研究人員增加逆向分析的難度，無形中為攻擊者實施下一步攻擊留足了時間。本年度，使用跨平臺編程語言的竊密木馬頻頻出現，2022 年 4 月，Aurora 首次

33、在地下論壇發布，使用 Go語言開發，背后的運營團伙宣稱 Aurora 具有最先進的數據竊取能力并附帶遠程訪問功能。同時，由于Aurora 的防御規避能力較強，能夠躲避大部分安全檢測軟件，因此在短時間內受到大量用戶的追捧。6 月，同樣基于 Go 語言的新型竊密木馬 LOLI Stealer 首次“亮相”，專門竊取用戶密碼、cookie、屏幕截圖等敏感數據。更有甚者，7 月，一個由 Rust 編寫的新型竊密木馬 Luca Stealer 的源碼被其開發者發布到開源平臺 GitHub 上，隨著竊密木馬源碼被泄露，無疑會引起其他攻擊者的關注并對此進行利用，不難預見，后續將會有更多的、更復雜的跨平臺竊密

34、木馬出現。圖 14 開源和免費版的 Luca Stealer 宣傳頁面 主動安全 19 4.4 多因素身份認證攻擊日漸加劇 近年來，由弱口令暴破、釣魚郵件、撞庫攻擊等引發的入侵威脅日趨嚴重，各組織機構、大型企業為筑牢安全屏障，從傳統的單一密碼認證轉向多因素身份認證（MFA，Multi-Factor Authentication）布局，將多種認證方式如靜態口令、動態口令、生物特征等組合成一套完整的防御機制。通過對訪問權限增加多重保護，能夠有效避免單一認證的薄弱不足，但也需要個人通過層層較為繁瑣的認證步驟。這種情況下，攻擊者開始針對 MFA 認證發起針對用戶的疲勞性攻擊。以登錄系統舉例，在啟用MF

35、A 機制的情況下，登錄時需要用戶輸入靜態密碼以及收到由系統下發的登錄請求確認消息后才允許用戶正常訪問。攻擊者通過其它方式突破第一重認證后，隨即頻繁發起登錄確認請求消息流，然后通過電子郵件、消息平臺或偽裝成 IT 相關人員說服用戶確認 MFA 請求，或利用用戶對大量請求消息產生疲勞感而放松警惕點擊確認后，成功入侵目標，這種攻擊方式被稱為 MFA 疲勞攻擊。圖 15 MFA 身份認證確認案例（圖源 Secret Double Octopus）9 月份，網約車巨頭 Uber 大量數據遭竊密泄露，事件起因是攻擊者利用 MFA 疲勞攻擊，向一名 Uber 員工發送了一個多小時的請求確認消息，并偽裝成 I

36、T 技術人員說服該員工點擊確認請求消息，在成功獲取VPN 賬戶憑證后下發 Raccoon 竊密木馬竊取內網數據。無獨有偶，Microsoft 也遭受了類似手法的攻擊，導致 37GB 源代碼被泄露。另外，竊密木馬針對 MFA 的繞過攻擊也正浮出水面，新興竊密家族 Rhadamanthys 和 Erbium 中會竊取專門針對 MFA 的會話令牌，在日志中獲取有效令牌，竊密攻擊者可以在令牌有效期內繞過 MFA 機制，隨意登錄系統。主動安全 20 4.5 攻擊“多維度”疊加，威脅進一步加深 竊密木馬在持續性的演變升級中，除了竊取數據功能，還會捆綁夾帶具備其它惡意功能的程序，甚至還會為攻擊者留下后門，用

37、于發起進一步攻擊。早在 2020 年，就有安全研究人員發現 AZORult 竊密木馬被用于下載 Hermes 勒索病毒，充當勒索病毒的下載器，攻擊者則利用勒索病毒加密受害者主機數據文件以實施勒索攻擊。這種從竊密到勒索的雙重疊加攻擊行為，是集竊密間接獲利與勒索直接獲利為一體的威脅行為代表，給受害者帶來的也是成倍的打擊。此外，2022 年 3 月，一個名為“Haskers Gang”的惡意團伙大肆傳播新型竊密木馬 ZingoStealer，該木馬不僅數據竊取功能強大，在新版本中還附加 XMRig 加密貨幣的挖礦功能?？傮w而言，這種將竊密、挖礦、勒索等威脅行為交織在一起的疊加攻擊事件越來越多，威脅程

38、度不斷加深，給受害者帶來的損失也更為嚴重。主動安全 21 5 5 總結 隨著全球范圍內數字化轉型進程加速，網絡數據資產日漸擴張，暴露的攻擊面也更多，從而給了惡意軟件更多的可趁之機。竊密木馬作為惡意軟件的一個分支，以其極高的隱蔽性、成熟的商業化模式以及巨大的數據價值等特點，不斷尋求更復雜的技術手段、更具針對性的定制攻擊，加速擴大攻擊勢力范圍，已發展為危害網絡數據資產的主要威脅之一。面對日益嚴峻的網絡空間安全威脅，以及網絡攻擊產業化、生態化的趨勢，各組織機構、企業乃至個體，應需了解自身網絡安全脆弱點，充分把握當前網絡威脅格局，專注構建主動安全防御體系，在網絡空間各方威脅勢力并起的大潮中防患于未然。

39、主動安全 22 6 6 附錄 1:典型竊密木馬家族 6.1 RedLine 家族簡介 作為 2022 年最知名、最為活躍的竊密木馬之一，RedLine 最早于 2020 年 2 月出現，并在兩年內迅速超越同類競品成為地下市場最受歡迎的商業竊密木馬。RedLine 竊密木馬屬于典型的 SaaS 模式，負責木馬開發的人員時刻在最前沿關注最新的網絡變化和目標動向，增強完善竊密木馬功能，擴充武器庫，負責銷售運營的人員以相對低廉的價格公開兜售精簡版和專業版兩種版本，并在多個論壇、群組等渠道大肆宣傳，以吸引更多的市場用戶。下圖展示了 RedLine 首次在黑客論壇亮相時發布的營銷內容，詳細介紹了該木馬的竊

40、密功能和服務范圍。圖 16 RedLine 竊密木馬功能介紹頁面 RedLine 之所以在全球范圍內廣泛傳播，主要歸因于背后的運營團伙擅長通過多渠道，利用熱點事件大肆分發惡意載荷。2022 年 2 月，Microsoft 宣告 Windows 11 即將完成最后升級，隔天，一個偽裝成 Windows 主動安全 23 11 系統版本下載站點的惡意域名“windows-”即被注冊，誘騙用戶在下載 Windows11 系統安裝程序的同時附帶了一個名為“Windows11InstallationAssistant.zip”的 1.5MB 壓縮包，經分析該壓縮包中壓縮率高達 99.8%，解壓后的文件即為

41、 RedLine 竊密木馬的惡意載荷。10 月份，一個模仿在線文件格式轉換工具 Convertio 的高級釣魚網站被披露用來傳播 RedLine，當用戶選擇文件類型并單擊頁面上的“轉換”按鈕后，該釣魚站點會將用戶重定向到下載頁面下載附帶 RedLine 惡意載荷的 zip 壓縮文件。諸如此類散播分發事件頻頻出現，致使 RedLine 在短時間內不斷傳播并發起竊密攻擊。家族畫像 Redline 首次出現時間 2020-02 傳播方式 釣魚郵件、釣魚網站、偽裝成安裝包等 針對平臺 Windows 編寫語言 C#(.NET)竊取信息類型 系統信息 桌面截圖 瀏覽器信息例如密碼、自動填充等 加密貨幣錢

42、包地址 FTP、IM等遠程客戶端數據 Telegram、Discord、Steam和VPN等應用程序數據 回傳方式 http 關鍵行為分析 1.數據竊密 RedLine 竊密數據范圍十分廣泛，從惡意行為上來看，所有竊取對象都被封裝在名為 ResultFactory 的函數中。主動安全 24 2.瀏覽器數據 RedLine 首先獲取已安裝的瀏覽器信息，再從每個瀏覽器中收集詳細數據。以 Chrome 為例，RedLine 會掃描用戶登錄密碼、cookie 記錄、自動填充數據以及瀏覽器緩存數據。3.加密貨幣錢包 與其他流行竊密木馬家族一致，RedLine 同樣會竊取加密貨幣錢包，通過搜索加密貨幣錢包

43、的擴展名來獲取錢包地址，如 Armory 離線錢包、Atomic 分布式錢包等。主動安全 25 4.VPN RedLine 還會關注 NordVPN、OpenVPN 和 ProtonVPN 程序，對于 NordVPN，RedLine 搜索目錄中的名為 user.config 的 xml 文件，查找包含“/setting/value”的用戶憑據。對于 OpenVPN 和 ProtonVPN，RedLine分別從對應目錄中搜索 config 和 ovpn 文件獲取憑據信息。主動安全 26 6.2 FormBook 家族簡介 FormBook 竊密木馬最早出現于 2016 年 2 月，由一個名為 n

44、g-Coder 的用戶在地下市場宣傳兜售，FormBook 最初版本只是一個簡單的表單抓取工具，訂閱價格每年僅需 120 美元。圖 17 FormBook 首次公開及介紹 FormBook 的締造者 ng-Coder 提供許多加殼工具如 Net-Protector 來加密核心代碼，避免被反病毒引擎查殺。ng-Coder 宣稱如果產品在購買的 30 天內被任何防病毒引擎檢測到，他會再次提供免費服務。時隔一年，FormBook 因其價格低廉已成為網絡犯罪分子的熱門選擇，并開始發起一系列竊密攻擊。2017 年 10月 6 日，ng-Coder 突然宣布停止對外售出 FormBook，原因是 Form

45、Book 被用在釣魚郵件中的行為已經違反作者本意。主動安全 27 圖 18 ng-Coder 宣布 FormBook 停止對外銷售 即使原作者關閉了 FormBook 銷售渠道，但 FormBook 已經在全球范圍內流行蔓延起來。2017 年底，攻擊者們使用 FormBook 來瞄準目標價值更大的實體行業如國防、航空航天和制造業。FormBook 從發展至今，一直保持著較高的流行度，目前已經成為最具有代表性的流行竊密木馬之一。與其他竊密軟件相比，FormBook 的界面操作簡單、防御規避能力更強，對技術掌握較少、經驗不足的新手較為友好，因此備受歡迎。FormBook 主要針對 Windows

46、用戶發起攻擊，通常利用廣撒網式的釣魚郵件傳播，在郵件中附帶具有FormBook 惡意載荷的附件，附件的格式多為 Office 文檔如 RTF、DOC 或 XLS 等，再配上描述性說明，使電子郵件看起來像是由某些可信賴的機構組織發送的，如航運機構、銀行機構等，從而誘騙受害者保存惡意附件并執行。此外，FormBook 竊取數據能力更強，除了常規意義上竊取存儲數據和用戶輸入數據之外，FormBook 還能夠搜索特定文件內容以及清除瀏覽器 cookie 等。家族畫像 FormBook 首次出現時間 2016-02 傳播方式 釣魚郵件附件 針對平臺 Windows 編寫語言 C、C#竊取信息類型 系統信

47、息、文件信息 擊鍵記錄 剪切板數據 屏幕截圖 瀏覽器數據如自動填充、歷史記錄、信用卡數據等 回傳方式 http 主動安全 28 關鍵行為分析 最初的 FormBook 惡意軟件的主要特點以防御規避為主，竊取模塊的核心是抓取文件表單，如下圖所示。1.FormBook 加載過程 FormBook 的防御規避手法復雜多變，在執行惡意載荷之前，其加載過程主要分為四個模塊進行：模塊 A：加載器，負責加載并解碼模塊 B；模塊 B：加載器，負責獲取模塊 A 的代碼資源，并解密出模塊 C；模塊 C：加載器，負責解密和執行最后的 payload；模塊 D：FormBook 有效載荷，它將自身注入正常進程中；主動

48、安全 29 圖 19 FormBook 加載流程示意圖 在不斷改進和升級中，當前流行的 FormBook 已經具備竊密木馬的普適性特點，與同類競品相比，在竊取受害者的數據上，有過之而無不及。2.注冊表數據 以脫殼后的 FormBook 有效載荷為例，竊取數據的行為都集成在 OnStealer 函數中，包括注冊表內容、進程信息、網絡連接信息、USB 驅動信息等，其中，竊取注冊表中已安裝的軟件信息，寫到“Installed Program.txt”文件中。3.USB 驅動 與其他竊密木馬不同的是，FormBook 收集 USB 驅動器等外圍設備列表數據，輸出到“USB Devices.txt”。主

49、動安全 30 4.網絡連接 此外，FormBook 還會收集受害者機器上的網絡連接數據輸出到“Local Network Connetions.txt”。主動安全 31 6.3 AgentTesla 家族簡介 AgentTesla 最早出現于 2014 年，早期有正式的官網，使用土耳其語言，是一款免費軟件，旨在記錄個人、家庭成員、企業員工使用電腦的行為，包含了鍵盤記錄和獲取剪貼板內容的功能。2016 年初推出付費版本，網站增加英文版本。2017 年完全轉為付費軟件，費用在 12 到 35 美元不等。2019 年官網已不可訪問，轉為在黑客論壇出售，逐漸發展為受黑客歡迎的功能完備的竊密木馬。圖 2

50、0 AgentTesla 構建端 AgentTesla 構建端的可定制性極強，回傳信息方式、竊取信息類型、安裝方式、偽裝程序圖標、虛假彈窗消息等功能均可做細致化定制。除了通用的鍵盤記錄功能，還可以針對 Facebook、Twitter 等應用進行特殊處理，獲取更好的記錄信息。在竊取憑據方面，AgentTesla 覆蓋了主流瀏覽器、郵箱、FTP 客戶端、即時通訊工具、WiFi 信息等。在安裝配置方面，用戶可選擇是否設置自啟動、繞過 UAC、屏蔽安全軟件、殺死禁用任務管理器等程序。家族畫像 AgentTesla 首次出現時間 2014-12 傳播方式 釣魚郵件 主動安全 32 針對平臺 Windo

51、ws 編寫語言.NET 竊取信息類型 鍵盤記錄 屏幕截圖 剪貼板記錄 攝像頭捕獲 WiFi信息 郵箱信息 文件傳輸工具信息 即時通訊軟件信息 瀏覽器保存的用戶名密碼 回傳方式 php(網站面板)、SMTP(郵件)、FTP 關鍵行為分析 1.防御規避 AgentTesla 會對原始執行程序做多層包裝，干擾安全研究人員分析，比如將二進制程序轉為圖片，使用時再解密執行。解密后的程序仍然有嚴重的代碼混淆，有效代碼被分散在大量的無效計算邏輯之間，影響安全人員進行分析，所有字符串都被加密，使用時再臨時解密。主動安全 33 2.鍵盤記錄 AgentTesla 在安裝鉤子后，就可以監控用戶按鍵，除了監控常規的

52、字符按鍵，木馬還會監控一些組合按鍵，并根據按鍵組合狀態進行相應的響應處理，如監控關閉窗口組合鍵、切換窗口組合鍵等。3.剪貼板記錄 經過反混淆處理后可查看樣本中被加密的字符串。木馬一旦監控到剪貼板相關活動，就會獲取剪貼板數據，并且替換轉義字符，在數據首部和尾部拼接特定字符“clipboard”，以 html 格式保存數據內容。主動安全 34 4.網絡瀏覽器相關 網絡瀏覽器保存了大量的敏感數據，幾乎所有竊密木馬都會重點關注瀏覽器相關數據，AgentTesla 也不例外。木馬會遍歷受害者機器上各個瀏覽器路徑，獲取 cookie、瀏覽器保存的用戶名密碼等信息。5.數據回傳 木馬收集到瀏覽器相關、郵箱、

53、FTP 工具、即時通訊工具等數據后，可以通過不同方式回傳數據：直接上傳到 Web 服務器 發送到指定郵箱 通過 FTP 回傳 該木馬會設置 SMTP 參數，將發送收集的數據到指定郵箱，如下圖。主動安全 35 6.4 Raccoon 家族簡介 Raccoon 竊密木馬于 2019 年 4 月開始在地下論壇宣傳并售賣，宣傳時使用了該名稱，別名有 Mohazo、Racealer。攻擊者主要通過瀏覽器漏洞、釣魚郵件、虛假破解軟件進行初始入侵，入侵后會使用 Raccoon收集各種瀏覽器 cookie、自動填充、加密貨幣錢包密碼等大量數據。Raccoon 將數據發送到控制端后，也會根據配置內容下載執行其它

54、程序。圖 21 Raccoon 宣傳頁面 2022 年 3 月，一名在地下論壇活躍的 Raccoon 運營人員聲稱團隊的一名核心開發人員意外死亡，但由于同類競品競爭激烈，6 月份 Raccoon 就推出了 v2 版本，別名 RecordBreaker，新版本相比舊版功能沒有太多變化，部分細節有所調整。Raccoon 為了使初始載荷盡可能小，所有版本都采用了運行時從 C2 獲取依賴庫下載地址的方法，該方法使得初始載荷的傳輸變得更容易。家族畫像 AgentTesla 首次出現時間 2019-04 傳播方式 瀏覽器漏洞、釣魚郵件、虛假破解軟件 針對平臺 Windows 編寫語言 C+竊取信息類型 本

55、地文件 瀏覽器保存的密碼、cookie等 主動安全 36 郵箱憑據相關 加密貨幣錢包地址 回傳方式 http 關鍵行為分析 1.防御規避 樣本自身無反分析調試、反沙箱機制，運營人員建議使用第三方工具 GreenCrypt 來檢查反病毒產品、防止檢測和分析，經過處理的樣本會多次調用沒有實際意義的 API 以干擾分析。字符串和 C2 經過 RC4、異或加密，避免檢測和過早暴露，早期樣本會通過谷歌網盤獲取真正 C2，后期C2 被加密硬編碼在樣本中。主動安全 37 為縮減初始載荷的體積，木馬在運行后向 C2 發送請求，可以獲取配置信息，其中包含依賴 DLL 的下載鏈接和需要竊取的數據類型，木馬會根據這

56、些信息進行后續操作，v1 版本的配置信息為 json 格式，v2 版本則將信息簡單整理在一起。2.區域檢查 在竊密前，Raccoon 的 2 個版本都會檢測區域信息。在 v1 版本中，若區域在 Russian，Ukrainian，Belarusian，Kazakh，Kyrgyz，Armenian，Tajik，Uzbek 中則退出，而 v2 版本僅判斷了區域信息是否包含“ru”，實際并不影響運行。主動安全 38 3.收集加密貨幣錢包 除了對常規的大量瀏覽器、郵箱相關數據的收集，Raccoon 會特別搜索加密貨幣錢包相關的文件，攻擊者利用此類數據更容易產生直接收益。4.數據回傳 Raccoon 的

57、 2 個版本將竊取數據外發的邏輯略有不同。v1 版本會將所有信息打包為 zip 壓縮包一次性發送，而 v2 版本在收集完一類數據后，就會即時將數據外發，不會保存到文件。主動安全 39 6.5 Lokibot 家族簡介 Lokibot 也稱為 Loki、LokiPWS 和 Loki-bot，是一款被廣泛使用的商業竊密木馬，由 C/C+語言編寫。Lokibot 于 2015 年首次出現在地下論壇上，是由一個名為“lokistov”（又名“Carter”）的用戶宣傳出售，起初售價為 400 美金。2018 年后，由于源碼遭到泄露，網上逐漸出現很多變體版本，平均售價在 80 美金左右。價格大跌也助推了

58、 Lokibot 竊密木馬的流行上升，至今依然是最流行的竊密木馬之一。Lokibot 主要通過釣魚郵件附件、偽裝成其他實用軟件的方式傳播，惡意載荷多以 zip 文件、iso 文件及包含惡意宏的Office 文檔形式出現。發展至今，Lokibot 也增加了許多新功能和特性，如加密貨幣的錢包憑證信息獲取，以及更復雜的混淆和 shellcode 加載執行技術等。除了核心的信息竊取功能外，Lokibot 還包含可用于其他目的的模塊。例如，Lokibot 內置的后門功能可允許攻擊者使用它來下載運行其他惡意插件程序。家族畫像 Lokibot 首次出現時間 2015-05 傳播方式 釣魚郵件、偽裝其他實用軟

59、件 針對平臺 Windows 編寫語言 C/C+竊取信息類型 瀏覽器登錄憑證及其他數據 電子郵件賬戶密碼 FTP服務器登錄憑證 密碼管理軟件 其他軟件登錄憑證 回傳方式 http 關鍵行為分析 1.數據竊密 Lokibot 為每個目標軟件創建了一個函數來實現數據竊取，構成了一個函數數組，依次執行。主動安全 40 2.C2 通信 Lokibot 的 C2 信息加密保存在程序中，運行時解密使用。3.下載執行其他載荷 Lokibot 根據 C2 指令可允許攻擊者使用它來下載運行其他惡意載荷。主動安全 41 6.6 Vidar 家族簡介 Vidar 是一款典型的商業竊密木馬，于 2018 年 11 月

60、首次在某黑客論壇上推出，用戶可根據訂閱期限來支付 130750 美元不等的費用。Vidar 使用 C/C+語言編寫，最初由 Arkei Stealer 竊密木馬家族派生而來，通常被認為是多個竊密木馬家族的“模板”，如 Lumma、Mars Stealer 和 Oski 均是由其派生而來。Vidar 的載荷投遞方法多種多樣，主要包括釣魚郵件、虛假破解軟件、冒充官方網站如 AnyDesk、SEO 投毒以及通過 YouTube 視頻，至今仍是最受歡迎和使用最多的竊密木馬之一。圖 22 Vidar 竊密木馬宣傳頁面 家族畫像 Vidar 首次出現時間 2018-11 傳播方式 釣魚郵件/網站、偽裝其他

61、合法軟件、SEO投毒 主動安全 42 針對平臺 Windows 編寫語言 C/C+竊取信息類型 加密貨幣錢包 瀏覽器數據 2FA軟件憑據 Telegram數據 屏幕截圖 特定文件 回傳方式 http 關鍵行為分析 1.C2 通信 早期，Vidar 竊密木馬通過樣本中硬編碼的 C2 與遠程服務器進行通信。但從 2021 年起，Vidar 竊密木馬新增了一項功能從某些常規站點中動態獲取 C2 服務器信息進行通信，以此增加持久性。一個典型的例子是，Vidar 濫用名為 Faceit 的游戲平臺來存放 C2 服務器的 URL，這種做法不僅巧妙地隱蔽自身更能躲避流量檢測。此外，包括 Mastodon、T

62、elegram、Steam 和 TikTok 在內的各大平臺也曾被 Vidar 以各種方式利用。圖 23 Vidar 濫用 Faceit 的行為流程 主動安全 43 2.數據竊密 作為商業竊密木馬，Vidar 具備一定的定制化服務能力，竊密攻擊者可以通過修改配置來調整想要竊取的數據類型。從 C2 服務器獲取到配置信息后，根據配置信息中不同字段執行不同操作，如激活特定功能，竊取特定類型數據，如下圖。3.數據回傳 Vidar 將竊取到的數據內容打包成 zip 格式，通過 http 協議以 POST 方式發送到 C2 服務器。成功竊取數據后，Vidar 會刪除創建的臨時目錄并在本地進行自刪除。 Copyright 2022 新華三集團 保留一切權利 免責聲明:雖然新華三集團試圖在本資料中提供準確的信息，但不保證本資料的內容不含有技術性誤差或印刷性錯誤，為此新華三集團對本資料中信息的準確性不承擔任何責任，新華三集團保留在沒有任何通知或提示的情況下 對本資料的內容進行修改的權利。CN-170X30-20220422-BR-HZ-V1.0 主動安全 新華三以主動安全理念為核心 致力于成為客戶業務數字化轉型的助力者 融繪數字未來 共享美好生活