详解 RisePro 信息窃密木马

news2024/12/27 21:28:06

RisePro 是一种窃密木马,以恶意软件即服务(MaaS)的模式在地下论坛出售。该恶意软件家族最早在 2022 年被发现,近期攻击行为快速增长。

RisePro 不依赖特定的感染媒介,可以通过多种方式植入失陷主机,通常使用恶意链接和其他诱饵获得立足点。曾经 RisePro 与 PrivateLoader 联合投递,通过 PrivateLoader 将 RisePro 投递到失陷主机。研究人员发现 RisePro 与 PrivateLoader 共享大量代码,这表明两者之间存在联系。

一旦在系统上站稳脚跟,RisePro 就会检查系统是否有互联网连接,然后与 C&C 服务器通信。RisePro 也可以对受害者的系统进行指纹识别,窃取数据并回传。尽管目前没有明确的攻击者归属,但根据控制面板与活跃情况来看,开发人员应该是讲俄语的。

技术分析

感染媒介

RisePro 采用订阅模式,因此初始感染媒介千差万别,完全取决于运营人员。RisePro 的运营人员向开发恶意软件的攻击者支付许可费,运营人员就可以自由地生成二进制文件,按照自己的意愿和需求进行定制化构建。

RisePro 经常使用欺骗手段来辅助投递,将自己伪装成合法软件的破解版。例如,2024 年 3 月,RisePro 的变种利用 GitHub 部署伪装成合法软件的恶意软件。

根据 3 月初的统计数据,RedLine、Vidar 和 Raccoon 是使用最广泛的窃密木马。仅 RedLine 在 2023 年 10 月到 2024 年 3 月的半年间就泄露了超过 1.7 亿个密码。被窃取的账户还可以进一步被用于其他恶意活动,甚至是传播勒索软件。

分析

RisePro 通过构建工具来为使用者提供灵活性与定制化。攻击者可以指定可执行文件的类型、构建名称,甚至是用于 C&C 通信的 IP 地址。RisePro 还原生支持如下功能:

  • 反调试
  • 反虚拟机
  • 禁用 Windows Defender

执行后,RisePro 复制自身作为持久化方式。通常,RisePro 会将自身放置在如下位置:

  • %AppData%\Local\Temp
  • %ProgramData%\

如果攻击者开启了持久化配置,RisePro 会通过 schtasks(.)exe 创建计划任务,登录时与每小时都会执行。

  • C:\Windows\SysWOW64\schtasks.exe:schtasks /create /f /RU "Admin" /tr "C:\ProgramData[RisePro].exe" /tn "%RisePro% HR" /sc HOURLY /rl HIGHEST
  • C:\Windows\SysWOW64\schtasks.exe schtasks /create /f /RU "Admin" /tr "C:\ProgramData[RisePro].exe" /tn "%RisePro% LG" /sc ONLOGON /rl HIGHEST

成功入侵后 RisePro 会进行一系列检查,查看设备是否处在隔离或者虚拟化的环境中。为此,恶意软件查了多个 IP 位置服务信息提供商:

  • ipinfo(.)io
  • db-ip(.)com
  • maxmind(.)com

这不仅可以确定恶意软件是否在分析环境中,也能够收集到受害者的相关信息。RisePro 也支持根据受害者的所在地区,在不同条件下运行。

1719994920_66850a284abab6f4252d0.png!small?1719994920680

典型通信模式

通信

此前,RisePro 通过替换密码和异或加密的方式进行 HTTP 通信。2023 年底,RisePro 已经过渡到使用 TCP 自定义协议进行通信。2024 年 3 月,在野发现的基本都是 1.6 版本的 RisePro。不过,1.0 版本与 1.6 版本的 RisePro 通信方式基本没有差别。

2024 年 6 月,RisePro 升级到 2.0 版本。尽管 RisePro 仍然使用 TCP 进行通信,也使用与 1.6 版本相同的替换密码,但不同的 TCP 端口会使用不同的异或加密逻辑。

C&C 服务器回传给 RisePro 命令,包含攻击者希望从失陷主机窃取的信息。配置中的大多数选项都可以启用/禁用,攻击者可以按照自己的需要和喜好进行定制化。

1719994940_66850a3ca796260b8b271.png!small?1719994941365

C&C 通信

信息窃取

RisePro 主要是进行窃密的,C&C 服务器下发了窃密目标,恶意软件就会进行窃密。除了 C&C 信道,恶意软件还可以通过 Telegram 将窃取的信息回传。

1719994961_66850a512661cad437e8a.png!small?1719994961627

配置选项

在确认执行命令时,恶意软件也会发送 Loader 配置。该配置是恶意软件的另一个功能,也可以充当恶意软件下载器。启用后,RisePro 则可以根据攻击者的部署下载其他恶意软件。

1719994979_66850a633d02baf6a8dcc.png!small?1719994979674

Loader 配置

RisePro 通过其自定义的 TCP 协议进行 C&C 通信,窃取数据以 base64 编码的 zip 文件形式回传,文件内容取决于配置设置于失陷主机上的具体信息。

1719994990_66850a6e58525f52260df.png!small?1719994990840

攻击方式

可以确认复现的文件是:

  • information.txt
  • password.txt

information.txt 中主要是指纹识别信息,包括:

1719995003_66850a7b5a3d713407f89.png!small?1719995003913

指纹信息

passwords.txt 中存储发现的所有账户与密码,如下所示:

1719995024_66850a9097304af5b5d24.png!small?1719995025219

释放的文件

归因

RisePro 经常通过暗网在地下论坛上推广,也以恶意软件即服务(MaaS)而闻名。但根据恶意软件与控制面板的设计,研究人员高度确信开发者是俄语使用者。目前为止,尚未能够确认任何攻击者与 RisePro 存在直接关联。

RisePro 通过恶意软件即服务(MaaS)使得付费订阅的攻击者都可以将恶意软件武器化,在全球进行各种攻击。

1719995041_66850aa14a2fe5373f2a1.png!small?1719995041706

旧版本的构建工具

攻击目标

RisePro 的受害者不是特定的,不同的运营人员的攻击倾向也不相同。只要付费的攻击者都可以自行定制 RisePro 恶意软件,因此攻击形式也千变万化。

此前 RisePro 与其他商业恶意软件勾结在一起,现在 RisePro 也仍是如此。攻击形式多种多样,投递的方式也不局限于特定。

结论

RisePro 采用了复杂的技术,对个人与组织都构成巨大风险。RisePro 的演变凸显了网络安全形势的不断演变,也显示出安全防御的必要性。

IOC

2229327fa653ffd07f11773ee22eb00e580b6824ce122a1e788f19859aa9dca2
5e1a1b2e2c20bc50b54e02393fa6f26a2b8c2f4d87f2abdecaca73472b5c5dba
a36d5e790ca17fb6f70884942d868d29c6854054f2db79ed8f4e2d0d16ef1647
4f0e839393df72db99a05ade0848979ff375399b104e59a7cc3847d746c17e5c
56108c707fcaf87b2220c081db115171ff35811946b3ad2d76105715e8530fbe
b4ad80860c773c79c946c3a4df13e534153bd17ceebad6acedac3156dfe0144c
77e97faca59d8de34ddc7272791efac41da9ff5b7b175a99e09a255e2701d725
a78513831b47f4b35ee9063aa167bf5d05c61559b2ac7f8fb93fa966a36e34d2
30baf54d50379893b23b24203611da331d436dfc35f2d0a805bac4da0d310489
c48eb226b641b382fd4155f10c96aacc585c6e65814865cd762e88b8a5cffd14
6b82e6f228cbb8143b68e1739f3d083cf6ab0ba9c202ce1ec769bb12c9030619
5719a862d5a32ec56328f8e066a83b6b0577a6965074ca671d0cecce681d5f79
9d540839e75daf4f31eb36271fef6eb16a913446384d07e4d8dbb2602f18bf0f
15dfbd2df433c9725239d6602bdfc56d00db62f88a1769a534d98cad50536c27
c7a40fb4aa017a0d17b535c1857d51f95b7ed8684a1ea860294bf5d897667839
6113bc3f3f972393acff5022f5ba95fb96c3d9038386ada49ccf244fa5f885fa
ce930238a02a55d7b6f13fdf9b3306de61c5c25513ed396c7e9a8dbd4c45dbd9
19c98cba0d8037a36b00d2c11cc24d25e1f388ba5093a4b6e9017508371fb34b
d2cbb7a5ef2ecdf7c6f8c965df5886a18ea0e630009cdedb3692ed1b8c77b487
078b3f37483cfc697fbd67120311e6109843804f5cae9c46f04fa1b51ba7120a
d435d7cf9077533a7c23129a8d7462e7596505e3990664dd5888fce40652bb14
d7c3c01d62fb59e186b2256894fb089c01e1aeda5dbd86a3004f1857a13313ad
0d5bb8b8da18abd1f3934103c501abf9b9cd3a6e1656853359a568dca3229765
cb21be437c800875400a94b2442bbe02ccaf31ee49e1f440aac378fc2b0b756d
f87dd2b6a63e850b6c2128ec139c6334b572b1c80698fcc30de6f39ffc788f4f
5[.]42[.]92[.]73:8081
185[.]196[.]9[.]38:8081
147[.]45[.]47[.]116:8081
101[.]99[.]92[.]169:8081
147[.45[.]47[.]80:8081
37[.]120[.]237[.]196:8081
95[.]216[.]41[.]236:8081
185[.]221[.]198[.]67:8081
194[.]33[.]191[.]159:8081
94[.]156[.]8[.]188:8081
ipinfo(.)io
db-ip(.)com
maxmind(.)com
hxxp://185[.]215[.]113[.]46/mine/plaza[.]exe
hxxp://185[.]215[.]113[.]46/cost/ladas[.]exe
hxxp://77[.]91[.]77[.]81/cost/go[.]exe
hxxp://77[.]91[.]77[.]81/cost/lenin[.]exe
hxxp://77[.]91[.]77[.]81/mine/amadka[.]exe

Yara

import "pe"
import "math"
import "hash"

rule Mal_Infostealer_RisePro_v1.6

{          
    meta:
    description = "Detects RisePro v1.6 Infostealer"
    author = "BlackBerry Threat Research"
    date = "2024-03-20"
    license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or
organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
    strings:    

        $s0 = {3231F531F52DF52DF5CBCBA57DFD7DCBCBCB363231312E312DF5F52DF5CB09AF08D4080908090909F5CBCBCB59FD7DCBCBCB
82F6D4080809090809090DCB82F6AFAFAFAFAF08D4090DCBCBCB59FD81CBCBCB86B3AFAFAFAF08AFD409F5CB09F6AF0EAF0EAF0AAF0931
CBCBCB7DFD7DCBCBCB09D1AF0AAF0EAF0AAF0832CF86D1B3AFAFAFAFAFAF0832CBCBCB59FD81CBCBCB86F6D1F6AFAFAFAFAFD431CC09F
FF60AF60AB30AAF}        

        $s1 = {565AEAEAEAEA565AEAEAEAB2BEAEAEA56445AEAEAEA56445AEAEAEB2BA}        

        $s2 = {4321FFD9F4FFFFE1733AFFCF6630FFB75A2BFF9D4E27FF8A4321FF7FD1FDFF507791DA000000007496A9B081D1FDFF95D9FEFFA
9E1FEFFD66931FFCCEFFEFFDAF4FFFFE4F8FFFFDAF4FFFFCCEEFFFFD66B34FFA9E0FEFF95}

        $s3 = {5642FF6C533EFF6A503BFF684D39FF664B36FF654934FF634833FF64C6FDFFC4AEA1FFFBF1EBFFE5CFC4FFE4CEC1FFE3CBBFFFE3CABCFF
E3C7B9FFE2C6B6FFE2}

        $s4 = {537465616C6572436C69656E742E657865}

    condition:

    // Must be MZ file
    uint16(0) == 0x5a4d and

    // Resource in Russian
    pe.resources[2].language == (0x0419) and

    // Must contain exact number of resources
    pe.number_of_resources == 9 and

    // Section Permissions
    pe.sections[pe.section_index(".taggant")].characteristics&pe.SECTION_MEM_WRITE and

    // Must have all strings
    all of ($s*)
}

参考来源

BlackBerry

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1892559.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

抖音本地生活服务商入驻流程须知指南!

近日,抖音发布关于新增《【到家外卖】内容服务商开放准入公告》的意见征集通知(以下简称“通知”),并在其中公布了抖音外卖服务商入驻的一系列申请条件。在此背景下,许多想要成为抖音本地生活服务商的创业者在关注抖音…

java对象的访问定位的两种方式

句柄访问:reference中存储的稳定,对象实例位置改变,只需要改变句柄池中的对象实例指针 直接指针访问:HotSpot方式:效率高

【实验室优选】PP比色管 带刻度 聚丙烯试管 化学实验专用

PP比色管是一种实验室常用的容器,通常用于化学分析、比色实验、样品储存等。 以下是关于PP比色管的一些基本信息: 1. 材质: PP比色管由聚丙烯(Polypropylene,简称PP)材料制成,这种材料具有较高…

14-4 深入探究小型语言模型 (SLM)

大型语言模型 (LLM) 已经流行了一段时间。最近,小型语言模型 (SLM) 增强了我们处理和使用各种自然语言和编程语言的能力。但是,一些用户查询需要比在通用语言上训练的模型所能提供的更高的准确性和领域知识。此外,还需要定制小型语言模型&…

汇凯金业:数字货币对经济的影响有哪些

随着信息技术的飞速发展,数字货币作为一种新兴的货币形态,正逐步走进人们的视野,并对传统经济体系产生着深远影响。它不仅革新了交易方式,更在重塑金融格局、赋能经济发展等方面展现出巨大潜力。 一、交易效率的“加速器” 数字…

CentOS 7.9 快速更换 阿里云源教程

CentOS 7.9 更换源教程 总结 # 下载 wget yum -y install wget # 备份 yum 源 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak # 下载阿里云的yum源到 /etc/yum.repos.d/ # 此处以 CentOS 7 为例,如果是其它版本或者系统的话&#…

适合职场小白的待办事项管理方法和工具

刚入职场那会儿,我每天都像只无头苍蝇,忙得团团转却效率低下。待办事项像潮水般涌来,会议、报告、客户跟进……每一项都像是悬在头顶的利剑,让我焦虑不堪。我深知,管理好待办事项是职场生存的必修课,但该如…

offer150-19:正则表达式匹配

问题描述:请实现用一个函数来匹配包含 “.” 和 “ * ”的正则表达式。模式中的字符.表示任意一个字符,而 ‘ * ’表示它前面的字符可以出现任意次(含0次)。在本题中,匹配是指字符串的所有字符匹配整个模式。例如,字符…

nginx访问图片报403的问题

在安装好nginx后, 编辑/etc/nginx/sites-available/default加上了如下内容: # 图片文件的位置location /images/ {alias /home/lighthouse/images/;autoindex on; # 可选,允许目录列表access_log off; # 可选,禁用访问日志记录…

【人工智能】GPT-5的即将到来:从高中生进化到,,,博士生?

GPT-5的即将到来:从高中生进化到,博士生? 随着近月GPT-4o的出世,OpenAI也在进行一系列的采访和介绍接下来的展望和目标。 在6月22日的采访中,美国达特茅斯工程学院公布了OpenAI首席技术官米拉穆拉蒂的访谈内容。穆拉蒂确认&#…

LaTeX 编辑协作平台 Overleaf 安装和使用教程

在学术界和科技行业,LaTeX 已成为撰写高质量文档的标准工具。然而,传统的 LaTeX 使用体验常常伴随着以下挑战: 学习曲线陡峭环境配置复杂多人协作困难实时预览不便 当然,市面上不乏很多在线 LaTeX 编辑平台,但它们大…

uniapp跨域问题解决

找到menifest文件,在文件的最后添加如下代码: // h5 解决跨域问题"h5":{"devServer": {"proxy": {"/adminapi": {"target": "https://www.demo.com", // 目标访问网址"changeOrigin…

哈喽GPT-4o,对GPT-4o 论文速写的思考与探索

作为一款强大的语言模型,ChatGPT 在论文写作上具备显著优势。它能够辅助学者或研究人员自动创建论文框架、摘要、文献综述及论文段落(如引言、方法、结果、结论等)。此外,ChatGPT 还能优化论文结构、润色、降低内容重复率&#xf…

SCI一区级 | Matlab实现BO-Transformer-BiLSTM时间序列预测

SCI一区级 | Matlab实现BO-Transformer-BiLSTM时间序列预测 目录 SCI一区级 | Matlab实现BO-Transformer-BiLSTM时间序列预测效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.【SCI一区级】Matlab实现BO-Transformer-BiLSTM时间序列预测,贝叶斯优化Transfor…

【Sklearn-驯化】轻松学会机器学习中的bagging基础模型随机森林的使用技巧

【Sklearn-驯化】轻松学会机器学习中的bagging基础模型随机森林的使用技巧 本次修炼方法请往下查看 🌈 欢迎莅临我的个人主页 👈这里是我工作、学习、实践 IT领域、真诚分享 踩坑集合,智慧小天地! 🎇 免费获取相关内容…

CTF常用sql注入(一)联合注入和宽字节

0x01 前言 给自己总结一下sql注入的常用姿势吧,记录一下学习 0x02 联合 联合注入的关键词是union SQL的union联合注入原理是联合两个表进行注入攻击,使用union select关键词来进行联合查询。 那么为什么我们在题目中一般是只写一个呢 因为 $sql &quo…

ID3算法决策树

步骤: 先计算出信息量;信息熵;信息增量; 再比较信息增量的大小,确定分类依据。 信息量: 信息熵: 信息增益:

打印机删除副本以后无法安装打印机驱动

根据知乎文章解决打印机驱动副本存在多个,打印机驱动无法删除,或者驱动包无法删除等问题。的方法删除打印机副本以后发现无论如何也装不上驱动了。 要么驱动安装成功,但是设备仍然是指定状态。 后面发现是删错文件夹了,教程里让删…

上海网站建设如何做

上海是中国最繁华的城市之一,作为全国的经济、文化和科技中心,网站建设在上海变得越来越重要。如何做好上海网站建设,让网站更加吸引人,成为企业和个人宣传自身的重要平台呢? 首先,要有清晰的定位和目标。在…

《信息记录材料》是什么级别的期刊?是正规期刊吗?能评职称吗?

​问题解答 问:《信息记录材料》是不是核心期刊? 答:不是,是知网收录的第一批认定学术期刊。 问:《信息记录材料》级别? 答:国家级。主管单位:全国磁性记录材料信息站 主办单位…