安全中心 > 安全热点分析 > CVE-2017-8759漏洞新利用:Java Keylogger盗号木马分析

CVE-2017-8759漏洞新利用:Java Keylogger盗号木马分析

时间:2018年 02月 03日   作者:腾讯反病毒实验室

0x1 概

腾讯安全御见情报中心近期在监测CVE-2017-8759漏洞利用情况时,捕获到一款名为jLog(Java Keylogger)的盗号木马。在未修复此漏洞的机器上,用户一旦打开攻击者精心构造的恶意文档,就会触发漏洞,下载运行木马。

值得注意的是,该木马的利用方式较为新颖。以往利用此漏洞的木马通常会在漏洞触发时利用mshta程序执行hta脚本,以下载和执行“EXE版”的木马母体。而在此次发现中,攻击者却直接将具有木马功能的jar包藏在了c#代码中。

Jar包由java语言编译生成,在运行时由JAVA运行环境中的java.exe以命令行方式拉起,相对于“EXE版”的木马,java.exe成为了“Jar版”木马天然的白利用载体,隐蔽性更高,杀毒软件更难发现。Java程序的另一个特性是跨平台运行,即同一jar包在windows、linux、mac等系统上都能运行。此外,该木马能够收集计算名、用户名、cpu、网络、国家、操作系统等信息,具有键盘记录器截屏上传盗取Firefox、Chrome浏览器密码等功能。

0x2 木马行为分析

1. 恶意word文档行为分析

该恶意word文件了一个“链接对象”外没有其它任何内容。修复CVE-2017-8759漏洞的机器上双击打开word文档时,word程序在解析此链接对象时会触发漏洞,而导致链接对象中的恶意代码下载并执行起来。“链接对象”指向的urlhxxps://a.pomfe.co/sqwkim.png

 

“链接对象中的png文件为精心构造的用于触发漏洞的文件,后缀虽然为png并不是真正的图片文件png文件中存储着一段混淆过的c#代码,漏洞触发时该代码会被c#编译器csc.exe编译并执行。

 

2. png文件中的C#分析

此c#码编译成dll文件再用反编译软件打发现要功能都在InteropNS.agFR的构造函数中。dll的主要作用是将存储的jar文件释放到临时目录,并时编译另一段c#代码用来加载释放的jar文件

 

 

3. 木马本尊jar文件分析

   上文释放的jar随机文件名为tmp1A9C.jar反编译jar文件后,发现混淆,明文字符串都被加密。

Jar入口点函数com.Nimex.Initializer的main函数,从”MF“文件可以看出该jar运行时依赖jdk 1.8版本,也就是说如果jdk版本低于1.8没安装jdk该木马就运行不起来

 

1)  com.Nimex.Initializer类分析

在此类的构造函数中会获取系统的名称,后续会对系统进行win/sunos/nix/mac判断可见该木马支持多平台

 

main函数中会对资源进行解密,从而得到木马配置项。木马配置项的值以base64编码,后续图中会上解出的值。

 

当配置项“STARTUP”值为“true”时,会将jar复制到“path”配置项所指的目录,即tmp目录、appdata目录“我的文档”目录。时将依赖的库下载到对应的lib目录,最后重新起自己

 

 

 

hxxps://jlog.pw/dev/php/api/v1/api.php个url POST数据来查询是否需要更新。Post内容appid=%1s&method=UpdateStub&key=5a0vUVI4DGJmOJnTFbPJJovoYKYUxaTDkT8fPRjsx3PmMdgrp6a8uGxsqvmYGgC1appid的值来源于配置项中的“ID”

 

如果不需要更新就执行b类main函数

 

 

2)  com.Nimex.b类分

类继org.jnativehook.keyboard.NativeKeyListener,可见具有键盘记录器的功能。过详细分析后3种收信方式的实现都在此类中是邮箱收信、ftp收信、web收信截屏上传的功能也在此类中。

 

键盘记录器用的是源库jnativehook地址:https://github.com/kwhat/jnativehook

 

b的main函数中同样会解密“res”到配置项,着会开启一个线程,线程函数为run”。

 

Run函数中会根据setup”配置决定使用哪种收信方式,本次分析的木马”setup”的值为“SMTP”也就是使用邮箱收信

 

Run函数收集计算机名、当前用户名、家、cpu信息、主信息、网络ip信息、jdk版本信息、内存信息操作系统信息等。

如果是windows系统,还会从“bin”资源中解密出一个exe并执行exe.执行完后会读取”%Appdata\gOQn2EaBrG.tmp的内容,并收集的计算机信息一起发送到收服务器。

 

根据”HIDEFILE”项决定是否隐藏文件:

 

 根据“STARTUP项决定是否开机自启动,根据 KEYNAME”项决定开机自启动注册表项的名称。

 

根据“WEBVIS”决定访问网页,windows访问网页的部分命令为rundll32 url.dll,FileProtocolHandler…”

 

  

 

0x3 溯源分析

入攻击者的发信邮箱,发现了攻击者在投放木马时的几封测试邮通过发信时题关键 jLog - System Details 联分析,发该木马叫“jLog”即Java Keylogger介绍页链接为https://hackforums.net/showthread.php?tid=5749332 

 

通过“jLog”功能简介发现木马还有盗取浏览器信息的功能,但在分析该木马样本时一直未发现有此功能,怀疑从资源中释放的“bin.exe”可能就是用来盗取浏览器信息的。分析此样本时bin资源配置到木马中。

信邮箱密码未保存在配置项中,因此从发信邮箱进行分析。测试邮件发现了攻击者访问木马服务器的截图。测试邮件也暴露了攻击者国家ip信息。攻击所在国家为“Algeria ” (阿尔及利亚)ip为105.98.7.227(阿尔及利亚) 从ip进行关联分析,现攻击者用两台计算机进行测试,计算机名分别为”DGSN2014 ”和“Elwazir-PC ”。攻击者利用”DGSN2014 ”这台电脑进行“洗信”的行为,以及利用利用“Elwazir-PC ”这台电脑访问木马后台网页的行为都被记录了下来。

 

 

 

 

对发信邮箱的邮件进行分析,发现该邮箱是WordPress盗号木马的收信邮箱,从2017年1月29日2017年10月4日盗取了112WordPress账号。使用WordPress可以快速创建个人免费网站或博客,因此推测攻击者可能会利用WordPress进行水坑攻击或从事挖矿等非法行为。

 

0x4 安全建议

通过分析发现,目前该木马主要活跃在阿拉伯国家阿尔及利亚,由于java程序在运行时依赖java运行环境,在JDK或JRE未安装或安装版本不正确的情况下,jar包都不能运行。但我们也不能掉以轻心,在强对抗环境下,这或将成为今后木马的一种发展趋势。

腾讯电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点开其中的附件,也不要随意打开网上下载下来的可疑文档,保持电脑管家的正常开启,可有效拦截此类病毒攻击。

附录:IOC

Email:

esco6066@gmail.com发信邮

hamzab57@gmail.com(信邮箱)

C2:

hxxps://jlog.pw/dev/php/api/v1/api.php

Url:

hxxps://a.pomfe.co/sqwkim.png

hxxp://jlog.pw/products/jlog-panel/lib/updater.jar

hxxps://puu.sh/v3E9n.jar 

hxxps://puu.sh/v3E9o.jar

hxxps://puu.sh/v3E9b.jar

hxxps://puu.sh/v3E9d.jar

hxxps://puu.sh/v3E9A.jar

hxxps://puu.sh/v3E9j.jar

hxxps://puu.sh/v3E9m.jar

hxxps://puu.sh/v3E9w.jar

hxxps://puu.sh/v3E9x.jar

hxxps://puu.sh/vhda4.dll

恶意文档md5:

acc6bbe8742e42200b68f5c3a1116a3c

执行文件md5:

126632625EFBDF01B1193EBA2D358230

 

相关热点分析