159期报告汇总
安天发布《基于驱动的 MITM 恶意软件分析报告》
近期,安天捕风团队捕获到了一个名为 “itranslator_02.exe”的恶意样本,该恶意样 本文件带有一个无效的证书签名。一旦受害 者打开 exe 文件,恶意软件就会安装两个驱 动,控制受害者的 Windows 系统,同时监控 受害者使用浏览器的互联网活动轨迹,窃取 用户账户密码信息。
当 itranslator_02.exe 运 行 时, 会 在 program-data 目 录 中 新 建 目 录 并 释 放 名 为 wintrans.exe 的新文件,并使用参数 P002 启 动 wintrans.exe。此处恶意样本将 P002 作为 受害者计算机的 GUID 来使用,并在恶意攻 击活动中利用该值与 C&C 服务器通信。
Wintrans.exe 启动成功后,会尝试下载 一个 DLL 模块(iTranslator.dll),并将其保 存到同目录下;然后在受害者系统上创建一 个线程,用以创建名为 iTranslatorSvc 的驱动 服务,该驱动启动类型被修改为 SYSTEM_ START,这样每当系统启动时都会启用 该 驱 动。 接 下 来,wintrans.exe 会 将 名 为 iTranslator(Windows 驱动文件)的一个文件 释 放 到 Windows 目 录 中, 最 后 wintrans.exe会将受害者的系统等信息发送到攻击者的服 务器。
下 载 的 iTranslator.dll 可 以 在 首 次 安 装 时 由 wintrans.exe 加 载 运 行, 也 可 以 在 Windows 系统启动时由 winlogon.exe 负责加 载及运行,而后者由 iTranslatorSvc 驱动负责 加载。经过分析发现,iTranslator.dll 并不仅 仅是一个 DLL 文件,而是一个文件容器,其 资源区中包含许多其他文件,这些文件随后 会释放到受害者的本地目录中。
经进一步分析,安天捕风团队发现 iTranslator.dll 释 放 出 来 的 13 个 文 件 都 用 于 在受害者系统上执行 MITM 攻击(中间人 攻 击), 其 中 12 个 用 于 控 制 Firefox 浏 览 器, 其 中 1 个 是 iNetfilterSvc 模 块, 这 是 一 个驱动程序(NetfilterSvc),用来透明过滤 Windows 系统中通过网络传输的数据包, 以及安装 Sample CA 2.cer,然后 iTranslator. dll 会 与 iTranslatorSvc 及 NetfilterSvc 驱 动 进 行通信,交换数据。Sample CA 2.cer 是一个 根证书,会以可信根证书颁发机构形式安装 到 Firefox 以及 Windows 系统中(针对 IE 和Chrome)。通过这种方法,使浏览器不会向 用户发出任何的不安全警告,而恶意软件可 以监控受害者在所有主流浏览器上的活动。 如果想删除该恶意软件,可以重启主机 并进入安全模式,然后执行如下操作:
1、 删 除 %WINDIR%\iTranslator 和 %WINDIR%\system32\iTranslator.dll 文 件;
2 、 删 除 % W I N D I R % \ n s s 和 %WINDIR%\SSL 以 及 %ProgramData%\ itranslator 目录;
3 、 删 除 H K L M \ S Y S T E M \ CurrentControlSet\services\iTranslatorSvc 注 册表键值;
4 、 删 除 H K L M \ S Y S T E M \ CurrentControlSet\services\NetfilterSvc 注 册 表键值;
5、删除所有浏览器中的 Sample CA 2 证 书。
安天建议广大用户及时更新设备系统, 修补相关漏洞,修改设备登陆的默认密码, 避免弱口令的使用,并安装杀毒、防毒软件。
目前,安天追影产品已经实现了对该 类恶意代码的检出。