一、概述
近期,天穹沙箱分析人员发现线上数个样本的流量均检出相似的Lumma Stealer活动,其中两个样本为Powershell脚本,另一个为伪装的EXE安装器,三个样本在运行后都连接了相同的C2地址。经分析,这三个样本实际存在父子关联关系,如图1所示:
Lumma Stealer 是一种高级信息窃取木马,能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 等浏览器中获取 cookie、凭证、密码、信用卡信息和浏览历史记录。此外,它还会窃取加密货币钱包、私钥,以及 Steam、Discord、AnyDesk 等应用的密码、令牌和用户配置文件等敏感信息。近年来,Lumma Stealer的活动愈发猖獗,本次我们将以上图样本为例,深度分析 Lumma Stealer 家族近期的攻击手法。
二、基本信息
样本1:Trigger.ps1
- 样本名:Trigger.ps1
- SHA1:a6a765c0b779678525e17a841341a124f8625bfc
- 文件类型:PS1
- 文件大小:116 B
样本2:BMB1tcTf.txt
- 样本名:BMB1tcTf.txt
- SHA1:afc1d3d5dd2ba1e275a49b3813dd3321b8e831f3
- 文件类型:PS1
- 文件大小:29.00 MB
样本3:hhh.exe
- 样本名:hhh.exe
- SHA1:ee201db9ca8802a08156879f9603f72e4057e385
- 文件类型:EXE
- 文件大小:10.89 MB
三、深度分析
Trigger.ps1
Trigger.ps1脚本内容简短,仅包含一行命令,如图2所示,其功能是从https[:]//asgbucket.oss-ap-southeast-3.aliyuncs.com/class/initiate/BMB1tcTf.txt下载BMB1tcTf.txt并执行。
BMB1tcTf.txt
下载的BMB1tcTf.txt文件大小接近30M,我们让TQGPT来解读一下关键代码逻辑,如图3所示:
由解读结果可知,BMB1tcTf.txt在检测运行环境合法后,最终将释放hhh.exe文件并执行。
hhh.exe
初步分析确认,hhh.exe 属于GHOSTPULSE(也称为 HijackLoader 或 IDAT Loader)家族。该家族是一个恶意软件加载程序,最初于 2023 年被发现,主要用于加载和分发 Amadey、Lumma Stealer、Remcos RAT 等多种恶意软件。
样本运行后,首先获取运行环境信息,包括操作系统信息、硬件信息、加载的模块和正在运行的进程等,如图4所示:
随后,样本创建more.com进程,more.com实际是 MS DOS 中的 more 命令,用于显示文本内容。创建新进程成功后,样本利用Process Doppelgänging技术将自身携带的有效载荷注入到新进程中。在报告的动态行为类目中可以看到注入和执行行为,如图5所示:
这里让TQGPT讲解一下Process Doppelgänging技术,如图6所示:
被注入的more.com进程向%AppData%\Local\Temp目录释放了两个文件,一个名为Hadar.com,另一个以随机小写字母组合作为文件名,如图7所示:
通过查看文件属性信息,释放的Hadar.com实际为AutoIt3.exe,如图8所示,这是AutoIt脚本的解释器。
另一个文件类型实际为PNG,图片内容为雪花状彩色散点,如图9所示,显然有其他用途。
深入分析发现,这张图片被GHOSTPULSE嵌入了 Payload 数据以作他用。这里使用ghostpulse_payload_extractor.py工具提取 Payload 做进一步分析。我们从Payload中提取到配置相关字符串,发现其版本号为4,安全功能处于启用状态,广告相关功能处于关闭状态,检测虚拟机功能处于关闭状态,可窃取与加密货币和密码相关的敏感文件和数据。
| 1 2 3 | {“v”:4,”se”:true,”ad”:false,”vm”:false,”ex”:[{“en”:”ejbalbakoplchlghecdalmeeeajnimhm”,”ez”:”MetaMask”},{“en”:”aeblfdkhhhdcdjpifhhbdiojplfjncoa”,”ez”:”1Password”},{“en”:”jnlgamecbpmbajjfhmmmlhejkemejdma”,”ez”:”Braavos”},{“en”:”dlcobpjiigpikoobohmabehhmhfoodbb”,”ez”:”Agrent X”},{“en”:”jgaaimajipbpdogpdglhaphldakikgef”,”ez”:”Coinhub”},{“en”:”fcfcfllfndlomdhbehjjcoimbgofdncg”,”ez”:”Leap Wallet”},{“en”:”lgmpcpglpngdoalbgeoldeajfclnhafa”,”ez”:”Safepal”},{“en”:”hdokiejnpimakedhajhdlcegeplioahd”,”ez”:”LastPass”},{“en”:”kjmoohlgokccodicjjfebfomlbljgfhk”,”ez”:”Ronin Wallet”},{“en”:”abogmiocnneedmmepnohnhlijcjpcifd”,”ez”:”Blade Wallet”},{“en”:”pioclpoplcdbaefihamjohnefbikjilc”,”ez”:”Evernote”}, …… {“t”:4,”p”:”\\REGISTRY\\CURRENT_USER\\Software\\TigerVNC\\WinVNC4″,”v”:”Password”,”z”:”Applications/TigerVNC/Password.txt”},{“t”:0,”p”:”%programw6432%\\UltraVNC”,”m”:[“ultravnc.ini”],”z”:”Applications/UltraVNC”,”d”:0,”fs”:20971520},{“t”:0,”p”:”%programfiles%\\UltraVNC”,”m”:[“ultravnc.ini”],”z”:”Applications/UltraVNC”,”d”:0,”fs”:20971520},{“t”:0,”p”:”%localappdata%\\Packages\\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\\LocalState”,”m”:[“plum.sqlite-wal”],”z”:”Notes”,”d”:0,”fs”:20971520},{“t”:0,”p”:”%appdata%\\Conceptworld\\Notezilla”,”m”:[“Notes9.db”],”z”:”Notes/Notezilla”,”d”:0,”fs”:20971520},{“t”:0,”p”:”%appdata%\\The Bat!”,”m”:[“*.TBB”,”*.TBN”,”*.MSG”,”*.EML”,”*.MSB”,”*.mbox”,”*.ABD”,”*.FLX”,”*.TBK”,”*.HBI”,”*.txt”],”z”:”Mail Clients/TheBat”,”d”:3,”fs”:20971520},{“t”:0,”p”:”C:\\PMAIL”,”m”:[“*.CNM”,”*.PMF”,”*.PMN”,”*.PML”,”*CACHE.PM”,”*.WPM”,”*.PM”,”*.USR”],”z”:”Mail Clients/Pegasus”,”d”:3,”fs”:20971520},{“t”:0,”p”:”%localappdata%\\Mailbird\\Store”,”m”:[“*.db”],”z”:”Mail Clients/Mailbird”,”d”:3,”fs”:20971520},{“t”:0,”p”:”%appdata%\\eM Client”,”m”:[“*.dat”,”*.dat-shm”,”*.dat-wal”,”*.eml”],”z”:”Mail Clients/EmClient”,”d”:3,”fs”:20971520}]} |
接着,more.com执行hadar.com创建子进程,并利用天堂之门技术执行敏感 API 完成对hadar.com进程的注入,使用该技术可在64位环境中执行32位 API 规避检测,如图10、11所示:
最后,被注入的hadar.com进程收集大量系统敏感信息,包括系统信息、剪贴板、浏览器密码等内容,如图12所示:
完成窃密操作后,样本连接C2地址 https[:]//opinioratty.click/api,其流量被IDS规则检出,被标记为Lumma Stealer,如图13所示:
通过分析样本会话流量发现,样本上线时首先发送act=life消息,用于确认服务器是否存活,如图14所示:
紧接着发送第二次请求,请求体内容为act=recive_message&ver=4.0&lid=5Fwxx--xxx1&j=,参数说明如下:
| 参数 | 值 | 说明 |
|---|---|---|
| act | recive_message | 接收消息 |
| ver | 4.0 | 版本号 |
| lid | 5Fwxx–xxx1 | 推测可能指代lifeid,表示通信会话id |
C2服务器在收到第二次请求后返回了一个HTML文档,如图15所示:
之后,样本继续发送multipart/form-data类型的数据。在此次会话中指定边界字符串为SR3SP0I59JAF4M1,并依次发送hwid(硬件ID)、pid(进程ID号)、lid(liefid,即会话ID)、act和压缩后的窃密数据,如图16所示:
解压发送的窃密数据,发现样本窃取的数据主要是火狐浏览器的密码数据,如图17所示:
综合以上分析结果,Lumma Stealer不仅会伪装为正常的应用程序或文件等诱导用户下载并执行,也会通过钓鱼攻击、恶意广告、软件漏洞或其他社交工程手段传播,读者应提高警惕,避免点击可疑链接和附件等。
四、IOC
恶意文件(SHA1)
| 1 2 3 4 5 | a6a765c0b779678525e17a841341a124f8625bfc Trigger.ps1 afc1d3d5dd2ba1e275a49b3813dd3321b8e831f3 BMB1tcTf.txt ee201db9ca8802a08156879f9603f72e4057e385 hhh.exe e264ba0e9987b0ad0812e5dd4dd3075531cfe269 Hadar.com e9726d1d5d9c7999b2ec0aa491d0ac068df862a3 解密后的payload |
恶意链接
| 1 2 3 4 5 6 7 8 9 10 | https[:]//opinioratty.click/api https[:]//se-blurry.biz/api https[:]//zinc-sneark.biz/api https[:]//dwell-exclaim.biz/api https[:]//formy-spill.biz/api https[:]//covery-mover.biz/api https[:]//dare-curbys.biz/api https[:]//print-vexer.biz/api https[:]//impend-differ.biz/api https[:]//razaseoexpertinbd.com |
报告链接
hhh.exe分析报告:天穹沙箱分析报告
五、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。
天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。