关键点
Mystic Stealer是一种新的信息窃取程序,于 2023 年 4 月首次发布
Mystic 从近 40 个 Web 浏览器和 70 多个浏览器扩展中窃取凭据
该恶意软件还针对加密货币钱包、Steam 和 Telegram
利用多态字符串混淆、基于散列的导入解析和常量的运行时计算,代码被严重混淆
Mystic 实现了一个使用 RC4 加密的自定义二进制协议
你怎么知道什么时候地下经济中有什么东西很抢手?就像你在现实世界中所做的一样——市场变得泛滥。这就是当今信息窃取者的故事。“窃取程序”是一种恶意软件,设计用于在妥协后的端点上运行,而它们的主要功能集中在窃取用户数据上。通常这是凭证数据,但也可以是任何对对手具有经济价值的数据;这包括付费在线服务帐户、加密货币钱包、即时通讯工具或电子邮件联系人列表等。窃取者还弥合了犯罪和民族国家关注的领域。
许多以间谍活动为重点的威胁组织都在运营窃取者家族,以从目标网络窃取信息。凭据信息可以进一步增加对环境的访问或渗透。对泄露凭据的需求助长了对用户帐户和目标网络的犯罪访问,这导致新开发的信息窃取恶意软件源源不断,使帐户市场存货充足。凭借我们在 InQuest 的知名度,我们已经习惯于每天遇到新的威胁。
进入 Mystic Stealer,这是一个潜伏在网络领域的新窃取者,以其数据窃取能力、混淆和加密二进制协议而闻名,使其能够保持在雷达之下并逃避防御。与我们的同事一起 我们习惯于每天遇到新的威胁。进入 Mystic Stealer,这是一个潜伏在网络领域的新窃取者,以其数据窃取能力、混淆和加密二进制协议而闻名,使其能够保持在雷达之下并逃避防御。
与我们的同事一起 我们习惯于每天遇到新的威胁。进入 Mystic Stealer,这是一个潜伏在网络领域的新窃取者,以其数据窃取能力、混淆和加密二进制协议而闻名,使其能够保持在雷达之下并逃避防御。与我们的同事一起Zscaler ThreatLabz,我们对恶意软件进行了深入的技术分析。我们还分享了对部署的 Mystic Stealer 控制器的基础设施足迹进行深入分析的指标,以及在您的环境中检测客户端的对策。
数据窃取专家
Mystic Stealer 专注于数据窃取,展现出窃取大量信息的能力。对于初学者来说,它旨在收集计算机信息,例如系统主机名、用户名和 GUID。它还使用区域设置和键盘布局识别可能的系统用户地理位置。但它并不止于此。
Mystic Stealer 的主要功能包括能够从网络浏览器和加密货币钱包中提取数据。与许多窃取者一样,它会收集自动填充数据、浏览历史记录、任意文件、cookie 以及与加密货币钱包相关的信息。无论是比特币、DashCore、Exodus 还是任何其他流行的加密钱包,Mystic Stealer 都能满足。Mystic 还可以窃取 Telegram 和 Steam 凭证。
有趣的是,窃取者不需要集成第三方库来解密或解码目标凭据。一些领先的窃取者项目会在安装后下载 DLL 文件,以实现从本地系统上的文件中提取凭据的功能。相反,Mystic Stealer 从受感染的系统收集和泄露信息,然后将数据发送到处理解析的命令和控制 (C2) 服务器。这是与许多主要窃取者不同的方法,并且可能是一种替代设计,目的是使窃取者二进制文件的大小更小,并且文件分析器的意图不太清楚。
Mystic Stealer 犯罪软件是用 C 语言实现的客户端和 Python 控制面板。
技术分析
查看现有版本,很明显 Mystic Stealer 的开发人员正在寻求生产与恶意软件领域当前趋势相当的窃取器,同时试图专注于反分析和防御规避。
就功能而言,它是当今许多窃取者所见的一组相当标准的功能。该恶意软件收集系统信息,这些信息打包在一起用于签入 C2 服务器:
键盘记录
Locale
处理器信息
CPU 处理器数量
屏幕尺寸
计算机名称
用户名
运行进程
系统架构
操作系统版本
关键数据窃取功能包括能够从近 40 种不同的 Web 浏览器捕获历史记录和自动填充数据、书签、cookie 和存储的凭据。此外,它还收集 Steam 和 Telegram 凭证以及与已安装的加密货币钱包相关的数据。该恶意软件针对 70 多个用于窃取加密货币的 Web 浏览器扩展程序,并使用相同的功能来针对双因素身份验证 (2FA) 应用程序。Mystic Stealer 使用的方法类似于Arkei Stealer 所报告的方法。有关目标浏览器、加密货币插件和 2FA 应用程序的更多详细信息,请参见附录。
根据 C2 服务器提供的配置,恶意软件将捕获桌面屏幕截图,并将其泄露到 C2 服务器。
5 月 20 日,Mystic Stealer 卖家在论坛上发布了包含加载器功能和持久性功能的更新,如图 1 所示。加载器是指下载和执行其他恶意软件负载的能力。这反映了一种持续的趋势,即加载程序允许一个威胁行为者支持在受感染设备上加载的附属恶意软件的分发。由于使用恶意软件分发网络和初始访问代理来分发勒索软件等高严重性有效负载,这对许多组织来说已经是一个显着的风险。它强调需要采取预防措施来确保安全态势,从而降低恶意软件传播的风险,并在攻击活动的早期站稳脚跟。
图 1. MysticStealer 论坛帖子广告 v1.2 更新,支持加载器
如前所述,Mystic Stealer 中还存在一些反分析和规避功能:
二进制到期。如果正在运行的版本早于指定日期,木马将终止执行。这可能是一个执行护栏,它试图阻止反恶意软件研究人员和沙箱分析样本的时间比样本打算在受害者机器上分发或执行的时间晚得多。图 2 显示了一个 Mystic Stealer 示例,该示例检索当前系统时间并将该值与 1685318914 (0x6473ED02) 进行比较,将其从纪元转换为时间戳后转换为 Sun May 28 17:08:34 2023。
图 2. Mystic Stealer 日期到期功能示例
反虚拟化。Mystic Stealer 是可配置的,一些样本包含反 VM 功能,检测管理程序运行时环境,并避免执行。这有助于避免在沙盒环境中执行,但并不总是有效。
Mystic 使用CPUID汇编指令通过检查指示虚拟化软件的特定值的结果来检测虚拟环境。特别是,代码会检查制造商 ID 字符串(长度为 12 字节)的以下值:
“XenVMMXenVMM”(Xen HVM)
“VMwareVMware”(VMware)
“微软 Hv”(微软 Hyper-V)
“KVMKVMKVM”(KVM)
“prl hyperv”(并行)
“VBoxVBoxVBox”(虚拟盒子)
此检测代码可能源自Pafish,通过哈希导入的 Windows API。窃取者使用基于自定义 XOR 的散列算法解析并动态加载 Windows API ,如下面的 Python 代码段所示:
请注意,常数值(例如 0x240CE91)在 Mystic 样本之间发生变化。恶意软件遍历以下 Windows DLL 的导出表并散列每个导出名称,直到找到匹配项:
Kernel32.dll
Advapi32.dll
Kernel32.dll
Gdiplus.dll
Crypt32.dll
User32.dll
Ws2_32.dll
Ole32.dll
Gdi32.dll
ntdll.dll
动态常数计算。代码中的常量值在运行时进行混淆和动态计算。例如,上面显示的 API 哈希算法使用常量 0x240CE91。但是,这个常量并不直接存在于代码中。相反,值 0x240CEA6 存在,并且代码对值 0x37 执行 XOR 运算以生成实际常量 0x240CE91,如图 3 所示。
图 3. Mystic Stealer 常量混淆技术示例
加密的二进制自定义协议。客户端使用基于 TCP 的自定义协议与 C2 服务器通信,稍后我们将对此进行更深入的讨论。
多态字符串混淆。我们发现该恶意软件使用与ADVobfuscator非常相似的库来混淆字符串。混淆器在编译时生成代码,在堆栈上构建字符串,然后在运行时解密。混淆是多态的,因此,每个样本都将包含使用加法、减法和 XOR 等简单数学运算进行唯一加密的字符串。因此,这种技术可能会绕过静态防病毒签名并使恶意软件逆向工程复杂化。
Mystic Stealer 卖家将这种混淆称为变形器,它在销售线程中混淆了具有完全不可检测性 (FUD) 的构建。在一个论坛中,卖家宣传该项目的变形器启用了SmartScreen的绕过,成员认为这是基于混淆器和 SmartScreen 操作的可疑声明。一些论坛用户怀疑使用了开源混淆器。这最终成为论坛中的一个争论点,降低了一些用户对该项目的看法和信任。
C2 通信
Mystic Stealer 使用基于 TCP 的自定义二进制协议与其命令和控制 (C2) 服务器通信。
客户端向 C2 服务器发送包含 4 字节常量值 (0x946F19B5) 的问候消息。
C2 以 256 字节的二进制数据作为响应,用作所有后续通信的 RC4 密钥。
客户端从注册表值 SOFTWARE\Microsoft\Cryptography\MachineGuid 获取计算机 GUID。
客户端使用 RC4 加密 GUID 值(连同此 GUID 长度)并将其发送到 C2 服务器。
从服务器接收到的数据包的格式由一个 4 字节的大端数据大小值和数据缓冲区组成。所有数据都使用 RC4 加密。
C2 服务器以要执行的操作的二进制配置进行响应(窃取凭证、截取屏幕截图、窃取加密货币钱包等)。此配置由 1 和 0 构成,分别表示是启用还是禁用功能。
从受感染系统窃取的数据被标记为特定的二进制标签,这些标签在发送到 C2 服务器时识别信息的类型。
与大多数窃取者收集完整数据然后通过单个请求将其泄露到 C2 服务器不同,Mystic Stealer 将收集各种类型的信息并立即将数据即时发送到 C2 服务器,而无需存储或写入数据磁盘,这可能会被 EDR/防病毒应用程序检测到。
该构建器使操作员能够指定最多四个 C2 端点。这通常用于犯罪软件,以在某些服务器离线或列入黑名单时提供弹性。在 Mystic Stealer 二进制文件中,有两个数组,每个数组由 4 个 DWORD 组成,每个数组都使用经过修改的基于 XTEA 的算法进行加密。因此,每个样本最多可以配置 4 个 IP 地址和端口。Mystic C2s解密算法的基于 Python 的实现如下所示:
几代 C2 服务器似乎使用默认端口 16287/tcp,如图 4 中地下论坛销售线程中发布的控制面板构建器对话框所示。我们没有观察到此端口用于已配置的 C2 服务器的文件示例。在确定的样本中观察到以下 C2 端口,通过构建配置提供一些集群:
15555/TCP
15556/TCP
13219/TCP
图 4. Mystic Stealer 控制面板构建器对话框
C2 服务器足迹
窃取者已链接到多个地理范围内的多个服务器托管 IP 地址,包括但不限于在法国、德国、俄罗斯、美国和中国的注册。我们在附录中列出了由托管面板和 C2 回调识别的 C2 服务器。大型商业托管服务提供商 Hetzner (AS24940) 除了 OVH (AS16276) 的一些主机外,还占据了近一半的主机。但是,我们还注意到拉脱维亚、保加利亚和俄罗斯托管领域内的一些服务器。这些包括:
Aeza Group Ltd (AS210644)
GIR-AS (AS207713)
Partner-AS / LetHost LLC (AS204603)
Scalaxy B.V. (AS58061)
Sukhoi Su-57 LLC (AS46308)
WAICORE-TRANSIT (AS202973)
其中一些提供商脱颖而出,成为防弹托管领域的潜在竞争者,防弹托管是一个在网络安全领域敲响警钟的术语。防弹托管提供商是提供对从事邪恶活动的个人和团体特别有吸引力的服务的实体,因为提供商对法律规范的执法不严以及他们代表犯罪客户采取的频繁保护和误导工作。这些服务通常用于托管恶意软件、命令和控制服务器、网络钓鱼活动和其他非法数字操作。InQuest 和 Zscaler 注意到凭据窃取程序和其他恶意软件即服务 (MaaS) 系统的运营商特别倾向于在地下服务空间中利用受保护的后端托管。
“大”集群
在搜索托管控制面板时,一个特定的 C2 服务器集群脱颖而出。我们根据在某些域中看到的 WHOIS 工件将此标记为“大”集群。我们在附录中包含了这些域的列表。值得注意的是,这组域共享以下属性:
Cloudflare 名称服务器和 CDN 前端
域名服务器:meadow、jimmy
报名详情:
2022 年中后期注册的域名
注册商:公共领域注册局 (PDR Ltd.)
注册州/省:新西伯利亚州
注册国:RU
注册人:Grand (grand.bbs[@]yandex.ru)
我们注意到,虽然大多数域都遵循上述注册约定,但仍存在一些异常值。例如,域alchemistwallet[.]io在 NetEarth One Inc. 注册,一个或多个域使用不同的权威名称服务器对(amit、jacqueline;rosalyn、stan)。2023 年新增一个或多个域名。
FalconFeedsio在一份说明中提到了其中的几个域。我们认为,这些域名很可能是从域名售后市场转售中获得的,这种策略可以为对手带来有形价值。已经注册的域具有基于过去使用情况的既定声誉属性,我们注意到其中一些域在各种数据集中具有声誉分数,表明它们具有相对较高的排名。例如,查看gujaratstudy[.]in,我们可以看到该域最近一次注册是在 2022-10-07。在此日期之前,即 2021 年,该域由之前的所有者注册和托管,DNS 解析一直持续到 2021 年 10 月。在 Grand persona 注册新的 DNS 之后,该域最初通过 regway.com 中的权威 DNS 运行在 2023-10-08,然后在 2023-10-11 迁移到 Cloudflare DNS。这种模式在 Grand 集群中的域中是相当一致的。另一个域bhandarapolice[.]org似乎以前曾用于印度地区警察局的官方网站。该域在 VirusTotal 上的类别标签仍然反映出良好的声誉:政府、公共信息、top-1M. 附录中提供了 WHOIS 记录,显示了该集合中代表性域的注册详细信息。
以下域和注册日期是在此集群中发现的一些域的示例:
HANOIGARDEN.NET (2022-07-19)
BHANDARAPOLICE.ORG (2022-07-20)
ENGTECHJOURNAL.ORG (2022-07-20)
MARISOLBLOOMS.COM (2022-07-20)
WORDCZARMEDIA.COM (2022-08-07)
COLORADOTRUCKIE.COM (2022-08-14)
BABYPICTURESULTRASOUND.COM (2022-09-08)
SACREDSPACE-SF.COM (2022-09-08)
TEAMMSOLUTIONS.COM (2022-09-08)
AFRICAHELP.ORG (2022-09-13)
BAYSWATERHOLDING.COM (2022-09-20)
ASHRAYAKRUTIFOUNDATION.ORG (2022-10-07)
GUJARATSTUDY.IN (2022-10-07)
大星团的性质目前还不完全清楚。直到最近,这些域一直处于活动状态并为 Mystic Stealer 控制面板提供服务,如下面的图 5 所示。
图 5. 缓存在与 Grand 集群相关的 Google 搜索缓存中的示例 Mystic Stealer 控制面板域
虽然它们可能只是 C2 服务器,但我们没有识别出与它们相关的文件样本。最近,很多站点出现下线的情况,上游CDN报连接失败。这些域可能是流量分配或前端代理和流量服务的一部分。
控制面板
Mystic Stealer 开发人员提供了一个基于 Web 的管理控制面板,如图 6 所示。
图 6. Mystic Stealer Web 管理控制面板登录页面
犯罪软件控制面板允许操作员配置设置和访问从部署的恶意软件中收集的数据,并且通常用作犯罪用户与软件交互的界面。常见功能包括统计仪表板、恶意软件生成器、控制选项和功能、凭证日志和数据访问、集成配置等。Mystic Stealer 控制面板在单独的暴露服务端口上带外运行,而不是恶意软件用于 C2 通信。开发人员将 Python Django Web 框架用于控制面板。虽然不是排他性的,但在通常由 PHP 应用程序主导的犯罪软件开发中使用 Python 框架的情况并不多见。作为一个历史例子,另一个在 Django 上实现的犯罪软件项目是Nice Pack漏洞利用工具包。
控制面板部署在客户的服务器上。部署面板的常见服务端口是 443/tcp。较早观察到的 2023 年 3 月部署使用了 8005/tcp。
许多社区成员共享了识别托管面板 IP 地址的信息。其中一些也被识别并存档在urlscan.io上:
2023-03-22 https://urlscan.io/result/535841c6-ea4a-4e8c-85b7-e19bd5ad68e5
控制面板 - hXXp://164.132.200[.]171:8005/login/
2023-03-22 https://urlscan.io/result/7b2e16cb-9b66-4192-8b69-98fb89fa12ea/
控制面板 - hXXp://164.132.200[.]171:8005/login/
2023-05-02 https://urlscan.io/result/3fdaf5e7-a741-4cb8-8fa9-dedb00b1672b
控制面板 - hXXp://135.181.47[.]95/login/
2023-05-02 https://urlscan.io/result/5d326ed9-3bcc-40f3-9fd2-2bdea6fd800f
控制面板 - hXXp://95.216.32[.]74/login/
2023-05-04 https://urlscan.io/result/882d8d05-1523-41eb-892f-ba58d6656512/
控制面板 - hXXp://185.252.179[.]18/
2023-05-04 https://urlscan.io/result/cc6be796-ee37-4cc4-a37f-c9abb9bf17bc/
Django 管理控制面板 - hXXp://185.252.179[.]18/admin/
2023-05-15 https://urlscan.io/result/16f972cb-adb8-486a-9bff-3bebb673792e/
控制面板 - hXXp://212.113.106[.]114/login/
2023-05-25 https://urlscan.io/result/b5224ba6-1b50-42b0-b453-46204ebd1358/
Django 管理控制面板 - hXXp://www.coloradotruckie[.]com/admin/
2023-06-05 https://urlscan.io/result/016de1c6-cb24-4e3a-9ffa-5f8c21edf2c5/
控制面板 - hXXp://213.142.147[.]235/login/
跟踪 5 月份的控制面板安装,我们发现已部署面板的版本发生了变化,这可能反映了客户的升级。这些字符串位于登录页面 HTML 标题中:
2023-05-03: Mystic Stealer - 登录
2023-05-08:Mystic Stealer v1.1 - 登录
2023-05-31:Mystic Stealer v1.2 - 登录
我们还注意到,所使用的页面样式并不是 Mystic Stealer 独有的,似乎是从其他应用程序中看到的更广泛访问的模板借用或与之相关的。控制面板 UI 工具包似乎基于Datta Able for Django。我们认为该项目与 Mystic Stealer 之间没有任何联系。Mystic Stealer 开发人员很可能只是在使用公开可用的开源 UI 工具包。
出现在地下论坛
Mystic Stealer 于 2023 年 4 月下旬在地下论坛上公开亮相,这是在已知初始样本浮出水面几周后。一位名为Mystic Stealer 的卖家在发布前几天加入了 WWH(WWH-Club)和 BHF(Best Hack Forums,使用名称MysticStealer )论坛,并且,该窃取器以每月 150 美元的价格出租。卖家后来在 XSS 论坛上发布了 Mystic Stealer 广告。信息窃取木马是一种热门商品在地下经济中,强调了犯罪社区对收集凭据以驱动对目标用户帐户和网络环境的初始访问的重视程度。凭借其全面的数据收集功能,Mystic Stealer 吸引了这些论坛成员的注意也就不足为奇了。根据观察到的广告,该卖家还运营着一个名为@mysticstealer 的 Telegram 帐户和频道 t[.]me/+ZjiasReCKmo2N2Rk(Mystic Stealer News)。
结论
由于 Mystic Stealer 是一名新玩家,因此很难预测它的轨迹。然而,显而易见的是,它是一种复杂的威胁,有可能造成广泛的破坏。在过去的几周里,我们观察到了面板出现和消失的迷人舞蹈。然而,在这种动荡中,许多难以捉摸的实体一直保持着它们的存在。这些模式可归因于一系列因素:可能是新鲜销售的激增、对下架的不懈追求,或者客户本身的行为不可预测。
本文翻译自:
https://inquest.net/blog/2023/06/15/mystic-stealer-new-kid-block