ObserverStealer 窃密木马分析及拓线

ivi

米那桑 FOFA 2023-12-07 05:00 发表于北京


▌写在前面
自今年5月起，我们在多个黑客论坛中发现了一款名为ObserverStealer的窃密木马正在被售卖。这款木马具有强大的恶意功能，它能够窃取用户的浏览器数据，上传指定目录的文件，获取屏幕截图，甚至下载和运行其他恶意载荷。

在我们的监控过程中，也观察到了此类事件的发生。

因此，今天我们将从这个角度出发，通过各种渠道进行IOC收集，同时利用FOFA和any.run这两款工具，对该组织进行深度的资产拓线分析。

▌原始IOC收集  
原始样本分析
近期监控发现TG上突然出现了许多以贩卖个人用户浏览器保存信息而获利的组织。包括用户的个人账号密码、个人电脑信息等。而且其中的样本存在大量中国IP的账号。



从他们给的样本数据中，发现了这是一个叫做stealc steader（偷窃者）的组织，可以看到将样本数据进行解析后，直接会出现他们抓取到用户保存在浏览器的账号和密码。







甚至根据样本能看到被控人的截图，好家伙。



我们通过这些线索继续检索，发现了这个TG账号，由此账号推断，这个组织来自于俄语地区，且他们长期在xss.is和exploit.in上发广告卖数据。




互联网检索  
我们通过以上获得的信息进行检索，发现Group-IB安全团队在5月份的时候就揭露了类似的组织，并称其为Observer Stealer（观察偷窃者），Group-IB揭露了有人在xss.is网站上以150美元/月的价格出售用户浏览器保存的账号密码信息、个人电脑信息。和我们发现的情况一样！   

通过Group-IB的推文信息可以发现，这个平台可以直接生成exe执行文件，并去收集相关电脑上的信息，而且披露的该平台的样本数据截图，和我们获取到的数据结构非常相似！






病毒样本分析  
在使用关键词“Observer Stealer”在app.any.run病毒分析站进行搜索后，我们发现了三个病毒样本。

经过初步的样本分析，我们发现它们会进行类似于认证的操作，随后从外部服务器加载DLL执行。接着，它们会向外联地址持续性地发送TXT和image文档。

通过这三个病毒样本，我们获得了相关的路径和初始的C2地址。研究还发现，这些病毒有不同的攻击行为方式，这表明并非只有一个组织在执行这些操作。

1. path:         
   
2. /freebl3.dll         
   
3. /libcrypto.dll         
   
4. /mozglue.dll         
   
5. /nss3.dll         
   
6. /mozglue.dll         
   
7. /softokn3.dll         
   
8. /sqlite3.dll

复制代码

1. C2:         
   
2. http://5.42.64.13:3000         
   
3. http://5.42.64.41:1337         
   
4. http://91.103.252.17:8912

复制代码

▌利用FOFA进行拓线
经过上述的几个方法，我们获取到了一些样本，下面我们将会使用FOFA尝试进行进一步的资产拓线，以获取更多不为人知的改组织的资产。   

线索1：从上述获取到的图标进行搜索，获取到4条数据。   

1. icon_hash="-1529439559"

复制代码

线索2：病毒样本的C2地址特征

样本病毒每次进行远程加载DLL时，都需要进行一次验证，且鉴定失败就会显示404。通过这条IOC，我们发现了这两个特征。

1. ip="5.42.64.13"

复制代码

将这两个特征拼接可得搜索语法，但是结果有点太多了，不太正常。

1. banner="access-control-expose-headers: Content-Type, Authorization" && banner="404 Not Found"

复制代码

我们冷静下来重新分析，如果都通过该平台去加载这种行为，那它每一次的404返回页面内容应该是一样的，那么长度信息也可以进行提取，同时满足三个特征的资产才是我们要找的。

生成的新语法有6个地址，5个独立IP。     

1. banner="access-control-expose-headers: Content-Type, Authorization"&&banner="404 Not Found"&&banner="Content-Length: 40"

复制代码

拿到这些资产后，可以继续去样本网站进行查询，试试这样是否会发现更多的线索。

结果1
5.42.64.13: 最早样本时间为2023年6月13日。该样本特征为同一个进程中利用了其他C2地址来下载exe可执行文件和上传txt文档。





他所关联的C2地址为：        

1. 5.42.66.1         
   
2. 94.142.138.116

复制代码

结果2

5.42.64.41：最早样本时间为2023年6⽉5⽇。是一种新的利⽤⽅式，它会通过共享⽂件平台这种⽅式下载恶意⽂件并运⾏。

1. https://www.4sync.com/web/directDownload/5cAUlxF1/fOHYSFp2.2d5b0e87aace84bf3807a7c917adfb0d

复制代码

结果3   

91.103.252.17：最早样本时间为2023年7⽉4日。⼜发现了与上述两个结果不同的利⽤⽅式，它会通过⽩名单 windowsupdate.com跟godaddy.com去加载恶意⽂件进行⼆次利⽤。




结果4

77.73.134.51：最早样本时间为2023年5⽉15日。该IP直接对应到了observer stealer组织演示该平台的时间跟IP。



为什么要选取这几个结果IOC进行分析呢？因为它们很有代表性且可以得出有意思的结论。
我们根据攻击方式和时间线（基本都是在6月到7月出现第一批样本数据）来说，可以判断这些IP并不是同一个组织，初步判断有三批不同的团队在通过这个平台进行病毒传播。
而且通过分析病毒行为发现，该病毒在5月份以后的版本出现了远控的功能，可以控制下载或者访问挂载的文件。
我们刚才通过病毒关联发现了两个有用的IP，可以在FOFA上进行进一步的拓线。
先从5.42.66.1入手，发现了熟悉的开放端口3000，根据相关样本相近的结果显示，这个程序访问的80端口上挂载着一个myliunx的服务。




现在已知，该组织一般会通过3000端口去加载DLL，80端口POST文件利用，那么结合这两个特征，先通过标题和80端口检索结果。

有8条资产，6个独立ip。

1. title=="myLinx" && port="80"

复制代码

1. 77.91.76.15         
   
2. 5.42.66.1         
   
3. 104.21.76.48(cloundflare)         
   
4. 172.67.187.177(cloundflare)         
   
5. 208.113.165.34         
   
6. 135.181.213.164

复制代码

我们去除掉cloundflare 资产分别查看这4个IP是否开放3000端⼝。
（bot的吐槽：马上2024了，检测同时开放了两个端口的ip语法还没上线，还得一条一条查，回头就找研发掰头）
发现IP归属地为东欧地区的IP都开放了3000端⼝，结合我们之前对病毒⾏为分析的结论：在远程加载DLL之前需要验证，所以3000端⼝返回包应该为 404。
所以基本确认 77.91.76.15和5.42.66.1是这个组织另外的C2地址。






这次关联ip的分析结果如下：

1. c2地址：
   
2. 77.91.76.15         
   
3. 5.42.66.1         
   
4. 受控主机         
   
5. 94.142.138.116

复制代码

▌总结   
我们这次通过分析Stealer偷窃者类木马的行为特征，结合FOFA和any.run，去探寻他们背后的更多资产和特征。

这个木马其主要表现为进行类似认证的外部访问操作，加载外部服务器挂载的DLL执行，以及持续向外联地址POST发送txt和image文件，并伴有一些远控行为。

通过对病毒样本的分析，我们发现了三种不同的攻击行为方式，确认了存在多个组织在进行此类活动的结论。并且通过FOFA拓线发现并确认了该组织的服务器以及C2服务器。

希望这篇文章可以为大家带来更多的思考，互联网非常的有趣，抽丝剥茧总能发现隐藏在最深处的线索。   

信息汇总

1. DLL path         
   
2. /freebl3.dll         
   
3. /libcrypto.dll         
   
4. /mozglue.dll         
   
5. /nss3.dll         
   
6. /mozglue.dll         
   
7. /softokn3.dll         
   
8. /sqlite3.dll

复制代码

1. C2:         
   
2. 5.42.64.41:1234         
   
3. 179.43.155.205:81         
   
4. 91.103.252.16:2424         
   
5. 91.215.85.38:1234         
   
6. 5.42.64.13:3000         
   
7. 91.103.252.17:8912         
   
8. 91.215.85.38:3000         
   
9. 5.42.64.41:1337         
   
10. 77.73.134.51:3000         
    
11. 77.73.134.51:3001         
    
12. 77.91.76.15         
    
13. 5.42.66.1         
    
14. 94.142.138.116   

复制代码

1. Trojan hash MD5：
   
2. 3a4bd9f63354d5c840069528f2245b8a         
   
3. 94a5c959239a6cd8f580e5f088552369         
   
4. 57cebb3b7e7f6362fd8282c0a62e8ed9         
   
5. 8daeb676138ec7a6173f8cae4d9b5146         
   
6. 9213ec7fc25ac1f8e2fb318bb2d399e7         
   
7. e5dbe60dbe305d5b512a93c80f2575ad         
   
8. be266f86c6927fedc41f106002e6c9c2         
   
9. fd72250981f4893adf7b46f44d41444d         
   
10. fc6c1ca41a6d39ded7ed9aa8a4d85585         
    
11. 781b967891fc70a56149bf82dfad4fa4         
    
12. 508971e96c961d6b88d56701cd189bb2         
    
13. 1780096fea2ee66aedd59718c7686f15         
    
14. 298b4efda09bf8d79b5deb84ca87fbae         
    
15. 7f8d6ce69e8b0d9c09208ad39b1d1440         
    
16. d382782d8fa8574354ac6033f95eb5ca         
    
17. df3795e6842e839cf45e694b7164ee17         
    
18. bee39fe76d04c610256938a58ac5d660         
    
19. d86704134f65f0ebe87032f76864db5a         
    
20. df3795e6842e839cf45e694b7164ee17         
    
21. c28cc92a7c78b96bec58fa3e5398074a         
    
22. 21001efc52912f4fac0ec8b4a5837313         
    
23. 88344d191754f08133b2e798b836638d         
    
24. c31d52eb807ac1b269d66ceafa3012b9         
    
25. d6b12bcfdf067e283a062a542d96c6e0         
    
26. 0160251d7bd26c489df555fbe24dd9be         
    
27. 59565c1d8b5fd88759ea9e225379783b         
    
28. e884f6eec5e4ab58a189203001c6acc9

复制代码

▌参考链接：   
[1]:https://www.antiy.cn/research/no ... ealer_Analysis.html
[2]:https://twitter.com/TLP_R3D/status/1662508869665402880
[3]:https://twitter.com/GroupIB_TI/status/1658805021880795136
[4]:https://medium.com/@cyberhust1er ... rcrime-6e54a40d801d

▌End

欢迎各位白帽师傅们加入我们的社区大家庭，一起交流技术、生活趣事、奇闻八卦，结交无数白帽好友。
也欢迎投稿到 FOFA，审核通过后可获得F点奖励，快来加入微信群体验吧~~~
微信群：扫描下方二维码，加入 FOFA 社群！获取更多一手信息！