• :
  • Sality感染蠕虫复活来袭,传播“剪切板幽灵”病毒窃取比特币-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] Sality感染蠕虫复活来袭,传播“剪切板幽灵”病毒窃取比特币

    [复制链接]
  • TA的每日心情
    奋斗
    2019-4-27 09:58
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2019-3-19 11:21:12 只看该作者
    提交问题
    QQ: 隐藏内容
    毒霸版本: all
    操作系统: windows 10 64位

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    一、事件背景
            近期,金山毒霸安全实验室“捕风”系统捕获到一批异常活跃的样本,该样本会监控剪切板,将比特币和以太坊的钱包地址,替换成自己的钱包地址。这样,用户复制粘贴钱包地址进行转账时,虚拟货币最终会转帐到攻击者的钱包中。通过对该病毒进行溯源分析,最终发现是由Sality感染型病毒进行传播感染。此类“剪切板幽灵”病毒在2018年初就曾被监控到大量传播行为,时隔一年再次卷土重来。
           Sality病毒家族最早于2003年被发现,该病毒融入多态加密引擎,运行后会尝试感染用户系统中大部分可执行程序,并通过感染U盘、网络共享进一步扩展传播,受感染系统将被进一步用于传播垃圾邮件、代理跳板、隐私窃取、分布式攻击等。随着十几年的发展,该病毒家族不断加入Rootkit对抗、P2P网络控制等新特性,成为当下最流行、最复杂、最顽固的感染型蠕虫之一,预计全球范围内累计感染用户超过千万级别。

    二、流程分析
             QQ图片20190319113627.png

             对于Sality病毒的感染过程本文不再赘述,以下主要分析感染以后,病毒通过P2P网络获取恶意插件URL数据,下载安装比特币剪切板劫持木马。以下为抓包发现的剪切板劫持木马下载行为:
              抓包1.png
              抓包2.png

            通过分析被Sality病毒感染进程中注入的恶意模块dump , 也可以发现挂马地址和抓包地址一致。
             域名.png

            以上数据解密落地后的PE文件(MD5:68b6a3a936b256510a1af099082355a5),就是钱包地址劫持木马,采用UPX压缩,病毒行为非常简单,执行以后循环读取系统剪贴板的内存数据,进行比特币地址格式校验,替换为自身硬编的比特币地址,用户转账过程中一旦疏于检查就会被盗取比特币和以太坊等虚拟货币:
             监控剪切板.png

             捕获的在野样本中,我们发现攻击者有多个BTC钱包地址和ETH钱包地址,部分钱包地址收益情况如下:
             钱包收益.png

    三、IOCS
             挂马域名.png
            
            MD5:
            55bfee3915ae84f38fda750587868ae7
            68b6a3a936b256510a1af099082355a5
            47b6cf018dabd9002b1024422061c137
    使用道具 举报 回复
    666666    网络和计算机中  需要你们这群 安全卫士
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则