概括

近年来，恶意软件攻击变得越来越复杂，攻击者总是在寻找新的方法来利用漏洞和窃取敏感数据。为了领先于这些威胁，安全研究人员必须不断监控形势并在新威胁出现时识别它们。在本文中，我们将仔细研究 Zscaler 的 ThreatLabz 团队最近进行的一项研究的结果，该研究发现了一个使用 Free Pascal 构建的新后门，该后门能够从受感染的系统中窃取数据。我们将探讨此恶意软件使用的技术，以及网络犯罪分子用来诱使用户下载恶意负载的策略。通过了解这些威胁，我们可以采取措施保护我们自己和我们的系统免受恶意软件攻击的危险。

介绍

Zscaler ThreatLabz 最近发现了一个名为“Devopt”的新后门。它利用硬编码名称进行持久化，并提供多种功能，包括键盘记录、窃取浏览器凭据、剪辑器等。就在最近几天，多个版本的后门浮出水面，表明它仍在开发中。在这篇博文中，我们将深入研究这个新后门及其工作原理的细节。此外，我们将提供有关如何保护自己免受此类攻击的提示。

要点

• Zscaler ThreatLabz 发现了一个新的后门，并根据持久性恶意软件的名称将其命名为 DevOpt

• 在一个承诺金钱奖励的俄罗斯网站上发现，受害者被引诱下载包含 DevOpt 恶意软件的恶意负载

• 该恶意软件目前仍在开发中，并正在接受持续的改进更新，旨在使其成为攻击者的更强大和有效的工具，以及防御者的威胁

• DevOpt 具有高级功能，可以用作键盘记录器、窃取器、抓取器和剪裁器以及持久性机制。

活动

在寻找新的恶意软件时，Zscaler 的 ThreatLabz 研究团队发现了一个新发现的后门，该后门是使用 Free Pascal 创建的。这个后门特别危险，因为它能够从受感染的系统中窃取数据。

Zscaler 的 ThreatLabz 研究团队在跟踪新的恶意软件威胁方面保持警惕。在最近的调查中，我们发现了一个使用 Free Pascal 的后门，它能够从受感染的系统中窃取数据。此外，我们还遇到了一个俄罗斯网站，用户在该网站上完成一项无意中涉及下载恶意软件的任务后会获得经济奖励。进一步分析显示，下载的恶意软件有一个存档图标，给人一种压缩文件的印象，并引诱用户双击它，然后执行恶意软件。这一发现突显了网络犯罪分子会使用提供经济激励等策略来引诱用户下载恶意有效负载的长度。值得注意的是，恶意软件的下载 URL 模式通常遵循以下结构：wdfiles-download[.]siteme[.]org/arxiv[digit].exe。

图 1. - 俄语网站（翻译成英文）诱使用户下载恶意负载。

技术分析

在开发阶段发现了两个版本的后门。第一个版本没有混淆以隐藏其字符串，大小大约为 20 MB，并包含一个图形用户界面，这在新变体中找不到，后者的大小约为 2 MB。第二个版本使用编码的基于整数的字符串来实现其功能。

旧版本使用纯文本 HTTP 协议，而新变种在受感染系统中搜索 OpenSSH DLL，以建立与其命令和控制的加密 HTTPS 连接。要建立网络连接，后门需要几个 DLL：libcrypto-1_1.dll、libeay32.dll、libssl-1_1.dll、libssl32.dll和ssleay32.dll。如果恶意软件无法找到这些 DLL，它将变为非活动状态并且不会进一步感染系统。

后门的早期版本需要用户通过单击“提取”按钮进行交互，而较新的版本则在后台静默运行，无需用户交互。

图 2. - 需要用户交互的早期版本的恶意软件

基于上述观察，可以得出结论，威胁演员正在向后门添加更多功能并使其更加隐蔽。

附加分析

在分析恶意软件后，我们的观察表明它包含许多功能。观察到以下功能：

持久性是指恶意软件即使在重新启动或关闭后仍能在系统上保持活动状态的能力。这可以通过向 Windows 注册表添加条目或通过创建计划任务来实现。一旦恶意软件建立持久性，它就可以继续在后台运行并执行用户未察觉的恶意活动。

经过仔细观察，研究人员注意到该恶意软件会在“启动”文件夹中进行自我复制，使其能够在计算机开机时自动启动。对不同版本的进一步观察表明，它在以下路径下使用名称devopt[random 2 digits].exe复制了自己：C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup。 

图 3. - 持久化机制

Clipper 恶意软件的创建是为了从受害者那里窃取机密数据。一旦安装在受害者的设备上，它就可以记录剪贴板数据，这些数据可能会被用来窃取其他敏感信息，如登录凭证、信用卡号码或其他财务数据。

研究人员注意到，该恶意软件在C:\User\[User]目录中生成了一个名为“ clippa.dan ”的文件，其中记录了复制到

图 4. - 来自系统的 Clipper 记录数据

创建窃取器恶意软件是为了窃取敏感信息，例如登录凭据、信用卡详细信息和其他个人数据。一旦安装在受害者的设备上，它就可以监控用户的活动并窃取敏感信息。

该恶意软件在C:\User\[User]目录中生成两个文件，即“ cdck.bin ”和“ bdck.bin ” ，分别窃取两个特定浏览器的凭据、cookie、历史记录和版本信息.

1. 从受感染系统收集的 Chrome 浏览器数据： 

• [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies]

• [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\History]

• [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Login Data]

• [C:\Users\User\AppData\Local\Google\Chrome\User Data\Last Version]

      2. 从受感染系统收集的 Yandex 数据： 

• [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Network\Cookies]

• [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Network\History]

• [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Ya Passman Data]

• [C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Ya 自动填充数据]

键盘记录器恶意软件专门设计用于捕获用户在其设备上进行的每一次击键。这可用于窃取敏感信息，如登录凭据、信用卡详细信息和其他个人数据。

在这种情况下，恶意软件会在C:\User\[User]目录中创建一个名为“ Kebba.dan ”的文件来记录用户的击键。

图 5.- 键盘记录器记录击键

图 6. - Grabber 枚举用于窃取文件内容的目录

创建 Grabber 恶意软件是为了从受感染的设备非法获取文件和其他数据。它以存储在 Document、Download 或 Desktop 目录中的文本、Word、Excel 和 RTF 文件为目标，并将窃取的数据保存在位于C:\User\[User]目录的名为“ grb.bin ”的文件中。

图 7. - Grabber 文件内容窃取数据 

在这个后门的早期版本中，研究人员观察到它会在当前目录的“ data ”文件夹中放置一个名为“ unpacked.dt ”的文件。该文件可能旨在混淆恶意软件分析人员，因为它看起来是经过编码的恶意负载，但实际上，它包含随机生成的字母数字字符串。在较新版本的后门中，一个名为“ 0.txt ”的类似文件被放置在当前目录中，其中包含硬编码到恶意软件本身的随机字符串。

图 8.- 为 unpacked.dt 文件生成随机字母数字字符串

研究人员注意到在用户目录中存在一个名为“ Winkeyjet.ini ”的配置文件。该文件包含有关受感染系统的信息，例如操作系统的名称、唯一的Device_ID以及表示受感染系统主要版本信息的版本号 ( Version )。此外，该文件还包含恶意软件的硬编码版本 ( OwnVer )。配置文件还指定了命令和控制 (CnC) 服务器，该服务器负责在恶意软件成功安装后向其提供指令。

图 9. - 生成的配置文件记录了设备和版本信息 

进一步的调查发现，某些仍处于早期开发阶段的恶意软件正在显示一个消息框，其中包含文本“ putin Xyilo ”，这是一个嘲笑俄罗斯总统弗拉基米尔普京的口号。

图 10.- 未开发版本的恶意软件中显示的 Msgbox

网络通讯

与命令和控制 (CnC) 建立连接始于恶意软件发送“创建”请求。在识别请求后，CnC 以“200 OK”消息响应。

建立连接后，恶意软件向 CnC 发送命令请求，CnC 反过来以 SYNC 命令响应。在收到 SYNC 命令后，恶意软件会执行给定的命令并将“SYNCRONIZED”响应发送回 CnC 以指示成功完成。

图 11.- 网络通信步骤 

命令

以下是观察到的恶意软件使用的编码字符串命令：

前版本的恶意软件不包括分别用于收集驱动器和进程信息的 DRLS 和 PRLS 命令。

结论

根据恶意软件分析期间的观察结果，很明显，所讨论的恶意软件是一种复杂的多功能威胁。该恶意软件能够执行各种恶意活动，例如窃取机密信息、记录击键、窃取文件以及建立对受害者系统的持久访问。

同样明显的是，恶意软件背后的威胁行为者正在通过添加新功能、使其更加隐蔽以及使用各种技术来逃避检测来不断改进恶意软件。该恶意软件对其命令使用编码字符串，并使用具有误导性名称的文件来欺骗恶意软件分析师。

此外，恶意软件与命令和控制服务器通信以接收指令并发送窃取的数据。服务器的 IP 地址和其他详细信息被硬编码到恶意软件中。

总的来说，调查结果强调需要强大的安全措施来抵御高级和不断发展的恶意软件威胁。它还强调了定期更新和安全补丁的重要性，以减轻与这些威胁相关的风险。

随着网络威胁不断发展并变得越来越复杂，保持警惕并采取积极措施来防范它们至关重要。这个新后门的发现证明了攻击者不断变化的策略，并强调了持续监控和研究的重要性。Zscaler 的 ThreatLabz 团队致力于掌握这些威胁并与更广泛的社区分享他们的发现。必须随时了解情况并采取必要的预防措施来防范恶意软件攻击。请记住让您的软件保持最新状态，使用强密码，并警惕可疑的电子邮件或消。