2022年度窃密木马攻击态势报告-2023.03

2022

€度窃密木马攻ü态势ç告-

ð_OúÜ全系列ç告

-目

录CONTENTS1概述342全€窃密木马攻ü态势2.1全€攻üÏþ2.2地域Va4662.3家族统«3窃密攻ü€术特点83.1入侵传播3.2防御规避3.3数据窃×812134窃密攻ü发展势164.1ð家族O断涌Ā，产品和服áÝ向升ÿ4.2窃密ß能更à模块W和定vW4.3开发跨ĀW，对抗程度à€4.4多因素身份认证攻üå渐à剧4.5攻ü<多维度=叠à，威胁ß一nà深16171819205总结21226Ö录

1:x型窃密木马家族6.1RedLine6.2FormBook6.3AgentTesla6.4Raccoon6.5Lokibot2226313539416.6VidarúÜ全1概述自全球ß入数_W转型阶段ñ来，数_驱ú经o增长，机遇P风险并`，数_W转型带来的ñ数据~€心的威胁态势O断升ÿ2Ÿ着网络犯罪即服áÿCCaaS，Cypher

crime

as

a

ServiceĀ模式的t起，网络攻ü逐渐走向商业W1产业W，直ó发展p如Îp熟的网络犯罪生态圈2在à种模式Q，攻üp本和€术门槛ÝÝ降P，ñ数据窃×1数据泄密和数据破坏~目的的攻ü面c续扩大，全球网络空间面临的ñ数据~的网络威胁O断泛W，时刻侵蚀网络Ü全壁垒2ð_O攻防实验ýc续跟踪数据窃密等网络攻ü活ú，基于对全网窃密木马攻ü活ú的监测1V析P处置，结合ÿ内外ps窃密木马的研究ç告ßÌ综合研判1梳理汇总~——2022

€度窃密木马攻ü态势ç告2本ç告围绕窃密木马全€攻ü态势展开，V析Ï绍x型窃密木马家族，总结窃密木马€术特点，探索`前窃密木马的发展势，è在€û机构组ÿ1企业1个人对窃密木马的传播方式1ß能1目标ñÛ危害性p更à全面的了解，降P窃密木马带来的风险23úÜ全2全€窃密木马攻ü态势2022

€全球范围内，数据窃密类恶意软þ活跃度c续走高，窃密攻üÏþ频频发生，网络数据资产Ü全l面临着åo峻的挑战2据

Group-IB

统«，仅在

2022

€P半€就p超

30

个网络犯罪团a通过窃×即服áÿSaaS,

Stealer

as

a

ServiceĀ模式V发窃密木马，共感染超过

89

万Ā机，窃×超过

5000

万个¯户凭据2由mÿ见，窃密木马作~一个<被P估=的网络威胁，尤v在大型企业等高ÿ值目标中，v危害程度和影响范围在某种程度P堪比勒索软þ2ð_O攻防实验ýÐ窃密攻üÏþ1窃密地域Va1流Ì窃密木马等方面ßÌ统«V析，Ā总结流Ì窃密木马全€攻ü态势如Qÿ2.1

全€攻üÏþ2022

€窃密木马攻üÏþO断发生，攻ü方式多种多，Ø害者遍a全球各地，QĀ列举了一ß影响较~oÝ的窃密攻üÏþ24úÜ全Ā

1全€窃密木马攻üÏþ案例2022

€

2

o初，在

Microsoft

üa

Windows

11将完p最^升ÿ的第Ðy，攻ü者就伪

Microsoft官网向用户V发伪

的

Windows

11

升ÿÜ装程序，诱使用户Q载并执Ì

RedLine

窃密木马2}管V发站点在较短时间内被sý，但Ïüô了

RedLine

的大范围传播，Ø害者大ß数据遭Ø窃×22022

€

5

o

，CPR

研究人员披露了一起对德ÿ汽车v

商和经销商实施的窃密攻ü活ú2攻ü者向特定目标发‘多封钓鱼邮þ，诱饵Öþ~汽车购买合\和转¯收据，用户一æ打开Öþ就b^ĀQ载ßÌ

Raccoon

和

AZORult

窃密木马，üô各种登录凭证Ûv他Ý要商业数据遭窃×22022

€

9

o，<魔÷=窃密木马伪装p

CorelDraw1IDA

Pro1WinHex

等多款实用ýw软þ在ÿ内ßÌ大规模传播，每åP线的Ø害者机数ß超过

1.3

万2ï窃密木马b收集p览器书签和历ó数据1邮箱¯户等Ý要数据，并`ÿ更改^续攻ü载荷，如勒索1挖矿1窃密等类型的恶意载荷，ÿØ害者带来更~oÝ的危害22022

€

9

o，科€}ø

Uber

遭Ø了网络攻üüôoÝ的数据泄露2据

Group-IB

发a的ç告，Ïþ起始于

Uber

在巴西和s度|西Þ的ó少n]员ý个人¿备感染了

Raccoon

和

Vidar

窃密木马，登录凭据被窃×并泄漏到暗网2攻ü者在暗网P购买到àß凭据，对

Uber

员ý发起窃密攻ü，最Āpß入侵并窃×到了

Uber

}ø内部数据25úÜ全2022

€

12

o

，Python

`储ß

PyPI

ĀØ到一波ð的窃密木马投毒攻ü，ñ窃×v他开发人员的信息数据2攻ü者P传了à百个恶意

Python包，用户使用^b释放

W4SP

Stealer窃密木马，àß恶意包Q载k数攻ü过万k22.2

地域Vað_O攻防实验ý统«窃密木马Ø害者在全球范围的地域Va情况，如QĀ所示2Ā

22022

窃密木马Ø害者地域Va经V析，X美洲1欧洲和Þ洲是窃密木马Ø害者的<Ý灾区=，v他地区也Ø到O\程度的影响2v中，X美地区Ø到的窃密木马攻ü最~oÝ，美ÿñØ害者数ßs比

33.47%s据全球首O，à拿大ñs比

12.02%排在第Ð2欧洲区域的Ø害者要集中在法ÿ1俄罗ï1捷克1德ÿ和西班牙等地区，Þ洲区域ñ中ÿ和韩ÿ较~oÝ2总体而言，全球范围内互联网和经o发达地区的Ø害程度n遍较高，l是由于àß地区数据资产ÿ值更高，网络用户基数更大，窃密木马更àp利ÿĀ22.3

家族统«2022

€度全球范围内流Ì的窃密木马超过

60

种，相比

2021

€增à了十余个ð型窃密木马家族2流Ì窃密木马家族

TOP10

统«如QĀ26úÜ全Ā

32022

€窃密木马家族

TOP10Raccoon3.21%Vidar3.58%其他AZORult21.38%3.69%

SnakeKeylogger4.42%Lokibot4.54%RedLine15.42%Qakbot4.65%Pony11.77%AgentTesla14.75%FormBook12.57%窃密木马的流Ì度离O开v背^的ß营团a大肆ü传，v中，商业窃密木马曝Z率更高2RedLine

作~商业窃密木马的ï表，因v窃×数据类型多1í作便捷1售ÿP而被广泛传播，在Þ本超过

10

万，跃居~

2022

€度最活跃的窃密家族2排]第Ð的

AgentTesla

家族是Ð

2014

€来一直活跃óÎ的老牌窃密家族，在经过多kx本迭ï^，þ经w备较€的数据窃×能力，支c定vW1界面Ü好等一系列特点使v比\类商业窃密木马更胜一筹2擅长利用钓鱼邮þ传播的

FormBook

窃密木马在本€度c续猖獗，据

CPRç告，截k

10

o份，FormBook

þ感染全球

3%的机构2m外，Lokibot1Raccoon

等商业窃密木马也各w特点，本€度活跃度只增O减27úÜ全3窃密攻ü€术特点全球数_W转型背oQ网络资产àŸ扩张，数据呈多性1V散性1复g性2窃密木马攻ü者~了pß入侵并}ÿ能地获×更多信息数据，在入侵传播方式1防御规避€术1窃密数据类型P都做了Ā多尝试2在入侵传播方式P，攻ü者除了ÿ极利用传统的钓鱼邮þ1虚假破解/激活软þ1à程ï码执Ì漏洞外，ßb利用更à高ÿ的手段，如供à链攻ü方式投放恶意载荷2在防御规避€术P，窃密木马渐倾向于将多种€术结合起来，层层嵌套最Ā形p<套娃式=载荷，O仅能够躲避防æ软þ的检测，一定程度P也bÿ_家研究V析增à难度2Ð窃密数据类型P来看，窃密的内容þ发展~无所O窃，n通用户使用最频繁的p览器数据Ï然是数据窃×的要目标，\时，~达到快ŸÙĀ，针对à密数_°_的窃×也愈发Ø到攻ü者<青睐=23.1

入侵传播窃密木马的入侵方式多种多2统«显示，排]

TOP3

的入侵方式V别~网络钓鱼1破解/激活软þñÛà程ï码执Ì漏洞2àß方式由于效果较好而被广泛使用2Ā

42022

€窃密木马入侵方式统«46.15%25.00%13.46%11.54%3.85%网络钓鱼破解/激活软件à程代码执行漏洞供应链击其它8úÜ全网络钓鱼窃密木马使用最多的入侵方式是发‘钓鱼邮þ或短信，攻ü者b精心构

邮þ或短信内容ñ引诱目标P钩，载荷ÿ能是恶意文档1包含ÿ执Ì程序的压缩包或者是用于Q载恶意载荷的链接，被攻ü者一æ打开文档或执Ì相s程序，窃密木马就b被植入22K

是_多流Ì游o的发Ì商，旗Q包括:

NBA

2K;1:无之地;1:WWE

2K;1:生W奇u;1:文明;系列等游o22022

€

9

o，黑û冒充

2K

官方邮箱向游o玩家发‘ž×票据的钓鱼邮þ，邮þ内容包含一个指向<2KLauncher.zip=的网络链接，但实×Q载的文þ是经过伪装的

RedLine

窃密木马，如QĀ2Ā

5P

RedLine

相s的钓鱼邮þÿĀ源

RedditĀ破解/激活软þ通过虚假或捆绑破解/激活软þ来传播窃密木马的方式也倍Ø攻ü者l迎2攻ü者将窃密木马伪装p破解/激活ýw或者将vßÌ捆绑，Ü全意识薄弱的Ø害者在需求急W的情况Q很容易中招22022

€

9

o，CNCERT

监测到一批伪装p

CorelDraw1IDA

Pro1WinHex

等多款实用ýwßÌ传播的<魔÷=窃密木马2ï木马被Ü装^b收集p览器历ó±录1书签数据1邮箱¯户等数据，并à密回传ó攻ü者服á器2由于破解/激活软þ自身的特殊性，攻ü者通过Ü装教程来诱ü用户sýÜ全软þ，ñm躲避检测2经跟踪发Ā，境内Ø感染机每åP线数ß破万，影响Ÿ~oÝ29úÜ全à程ï码执Ì漏洞由于开发者的疏忽或架构本身的缺陷，攻ü者ÿñ构建特定的程序或数据，使软硬þñ非预期方式ßÌ，oÝ情况Qÿñ达到任意ï码执Ì的效果，最ĀçvØ害者的机器2Ÿ着数_Wß程的èß，信息系统å渐复gW，Ü全漏洞Oÿ避免2\时，由于漏洞wpP交互性1c久性等特点，攻ü者始Ā热衷于利用漏洞ßÌ入侵传播2除了对影响广泛的老漏洞c续利用，`ð的漏洞被披露，攻ü者也b第一时间对vßÌV析研究并迅Ÿo器W2表

1窃密木马常用漏洞CVE漏洞]Ā相s家族CVE-2017-0199MicrosoftOfficeRTF文档à程ï码执Ì漏洞AgentTeslaAgentTeslaFormBookCVE-2017-8570CVE-2017-8759CVE-2017-11882MicrosoftOfficeà程ï码执Ì漏洞Microsoft.NETFrameworkà程ï码执Ì漏洞

java

KeyLoggerAgentTeslaMicrosoftOffice内`损坏漏洞RaccoonCVE-2021-26411CVE-2021-40444CVE-2022-1096MicrosoftInternetExplorer内`损坏漏洞MicrosoftMSHTMLï码执Ì漏洞RedLineFormBookChromeV8JavaScript引îà程ï码执Ì漏洞

RedLineQakbotCVE-2022-30190ms-msdtà程命ð执Ì漏洞XFilesCVE-2022-1096

是由匿]Ü全研究人员ç告的

ChromeV8JavaScript引î中的高oÝ性类型混淆漏洞，攻ü者利用ï漏洞ÿñ执Ì任意ï码，所p使用

Chromium

的p览器如

Chrome1Edge

都Øï漏洞影响22022

€

5

o，RedLine

窃密木马利用

CVE-2022-1096

漏洞ßÌ入侵，最Ā窃×了数百万用户的信息2供à链攻ü供à链攻ü又Ā~第O方攻ü，在供às系中，攻ü者要针对P游ð供服á或软þ的供à商发起攻ü，Ð而影响到Q游用户2作~一种ð型威胁，供à链攻üwp突破口多1破坏力€1波Û面广1

蔽性高等特点，þp~最难ñ防御的攻ü手段之一210úÜ全2022

€

12

o，攻ü者将

W4SP

Stealer

开源窃密程序打包p各种模块和ýw，P传到

Python

软þ`储ß

PyPI

P2Python

开发者Ü装并à载相à的恶意ß^，W4SP

Stealer

窃密木马就b窃×

PayPal1à密°_ñÛ

MFA

ð牌等数据2经统«，在

PyPI

网站中，2022

€攻ü者þP传

100

个ñP恶意ß，累«Q载ß破万2Ā

6PyPI

恶意ßQ载ßÿ部V示例，Ā源

BleepingComputerĀv他入侵方式除了传统的入侵方式，一ßð的方式也被攻ü者采用2例如，ZingoStealer

窃密木马攻ü者b在知]视频网站

YouTubeP传游o外d演示视频，并在视频简Ï处添à伪装p外d的木马载荷Q载链接，诱使用户Q载Ü装2类似地，Google

搜索引îð供了<按点ü付费=ÿPPC，Pay

Per

ClickĀ服á，Mars

Stealer

利用ï服á使v仿冒的

OpenOffice

网站在搜索结果中排]第一，üô想要Ü装

OpenOffice

的人很ÿ能据ï排]ß入网站Q载Ü装程序，p~窃密木马Ø害者211úÜ全Ā

7MarsStealer

仿冒的

OpenOffice

网站s据

Google

搜索头条3.2

防御规避~了ð高攻üpß率，窃密木马b采用各种防御规避手段，

藏自身的ÿ疑特à，躲避Ü全软þ的检测2经统«，2022

€流Ì窃密木马常用的防御规避手段s比如QĀ2Ā

82022

€流Ì窃密木马防御规避手段s比DLL侧加载rundll32/regsvr32执行二ß制填充1.89%3.77%1.89%隐写术加壳/混淆3.77%28.30%ß程注入18.87%禁用/ï}防护软件18.87%虚拟化/沙箱规避22.64%12úÜ全à壳/混淆Ï是最常用规避手段à壳/混淆€术通过对恶意程序ßÌà密1编码和混淆，è在é藏恶意程序的静态特à，O仅增à人ýV析难度，也能够一定程度P规避Ü全软þ的检测2Ÿ着`面P通用的à壳/混淆€术来p熟，使用p本极P，攻ü者ßß倾向于使用à类€术，并将v广泛à用于各种恶意软þ中2据统«，在

2022

€流Ì的窃密木马家族中，超过七p的家族使用了à壳/混淆€术，ÿ见，ï€术Ï然是最常用的防御规避手段之一2多Ý规避手段c续叠àW一的规避手段起到的防御作用是p限的，窃密木马ßßb将多种手段结合ñ达到更€的防御效果2统«显示，à五p的窃密木马家族均使用

3

种ÛñP的规避手段2如老牌窃密家族

AgentTesla

封装了

4

层载荷，使用的规避手段包括à壳/混淆1Āw

写1ß程注入1虚拟机/沙箱规避等，执Ì流程如QĀ所示2Ā

9AgentTesla

防御规避€术3.3

数据窃ן着窃密木马快Ÿ发展，数据窃×ß也在O断增à2CTU

研究人员发Ā，通过窃密木马窃×的¯户凭证在某个地Q`场中û售

220

万份，相比去€的

87

万，\比增长超过

150%2\时，在O断演W升ÿ中，窃密木马也Í生û_多窃×特定目标数据类型的木马种类，如_门针对

web

p览器，收集p览器中的敏感用户数据1cookie

和网络数据等，或针对登录凭据，ÐØ害者机器P扫ïP凭据相s的文þ2无论是哪种，àß窃密木马è在获×更多更充V的数据达到ñ牟利~的最Ā目的2考虑到敏感数据的ÙĀÿ值和影响范围，攻ü者在对窃×数据目标的选择Pwp一定程度的倾向性，QĀ统«了

2022

€流Ì窃密木马要窃×的数据类型213úÜ全Ā

10

2022

€流Ì窃密木马窃×的数据类型统«剪切板键盘记录2.71%网络浏览器相关4.65%17.05%电子邮件相关5.43%à程访问相关7.75%本地数据、截屏15.50%系统ï息10.47%用户凭据10.85%客户端软件相关13.18%加密货币钱包地址12.40%结合全球范围内窃密攻üÏþ来看，2022

€窃密数据要呈ĀñQO个特点ÿ网络p览器数据是窃密攻ü要目标网络p览器作~要的互联网入口始Ā`在海ß使用需求，v中

含的数据ÿ值一直倍Ø窃密木马攻ü者觊觎2\时，伴Ÿ着用户定vW需求的激增，p览器扩展程序à势而起，一定程度P也û长了窃密木马的传播2网络p览器窃密内容包括窃×p览器自ú填充1用户登录1cookie

ñÛ金融¯户相s等数据2Ð攻üp本P看，窃密木马获×p览器数据较于v他数据更~容易，由于m类数据`储在本地`文þ中，窃密木马入侵^实施本地搜索即ÿ轻获×到2另外，p览器数据的ÙĀÿ值更大，尤vP金融1à密°_相s的门户网站，一æ窃密木马窃×相s口ð，意味着攻ü者Ÿ时ÿñ攻破用户¯户或钱包地址，Ð而

p用户¯产的直接损失2ÙĀ更快的à密°_钱包更Ø<青睐=据

Chainalysis

统«，2022

€à密°_被÷

38

亿美元，高û

2021

€

58%，创Q历ó纪录2本€度，全球范围内针对à密°_钱包的窃密Ïþ激增，_咎于ðt窃密木马如

Luca

Stealer1ViperSoftX

等的纷纷涌Ā，也OO老牌窃密家族如

Vidar

ñÛ在意外中失去力^又带着ðx本回_的

Raccoon

v2

也à入到à一暴利Ì业`中214úÜ全对à密°_钱包的窃密攻ü的特点在于，攻ü者b据à密°_钱包的<冷`储=ÿ将°_离线`储，通常`储在物理¿备PĀ和<热`储=ÿ将数_°_`储在à用程序或在线Ā中ĀV别v定窃×策略2更p甚者将目Z瞄准开源的去中心W金融ÿDeFi，Decentralized

FinanceĀ`¯，û~v中Ü全þ题，利用区块链交易的Oÿ逆性，直接ýcPà密°_转¯ps的

API，将资金Ý定向到<混_服á=中，Ā额数_资产瞬间无Ð追踪2Ð攻ü手法P看，窃×à密°_P窃×n通数据相比并无Ðô，但在ÙĀÿ值P，à密°_因v交易便利1OØ管v1匿]W等特点，使攻ü者能够直接获得Ā额利益的_属h，是本€度窃密攻ü的首选目标2多Ý数据窃密þp~旋律按照PĀ对网络p览器1本地数据1û户端软þ等十种流Ì的被窃数据类型，q们统«了

2022

€流Ì的窃密木马家族窃×数据类型种数s比，如QĀ所示2Ā

11

2022

€流Ì窃密木马窃×数据种数1.85%12.96%20.37%64.81%2~3种4~6种6~9种9种以上统«发Ā，每个流Ì的窃密木马ó少窃×

2

种ñP的数据类型，窃×

4-6

种数据类型的窃密木马最多，s总ß的

64.81%，窃×多种数据类型þp~`前窃密攻ü的旋律2例如，窃密木马

HawkEye

KeyloggerO仅_门窃×键øü键±录，ßb收集

Chrome

p览器数据1桌面截Ā等数据2值得一ð的是，v针对特定数据类型的窃×能力更€，在获×目标数据P做的ü力更多，HawkEye

Keylogger

在感染`前Ø害机^，ßb将键øü键±录模块通过

USB

传播感染到v它系统机，ñ扩大攻ü范围2类似窃密家族ß包括ñ窃×邮þ凭据~的

StrelaStealer2Ï实P，由于入侵攻üp本较大，W一窃×某种特定类型的数据对于攻ü者来说无疑是一种P效率的Ì~2就Ø害者而言，更多种类的数据被窃×意味着v面临的风险和威胁更大215úÜ全4窃密攻ü发展势4.1

ð家族O断涌Ā，产品和服áÝ向升ÿØ世界范围内地缘因素影响ñÛ利益驱使，窃密木马ß营商èû_多ð型窃密木马ñÛ更精þ的窃密服á来满足更高的窃密需求2经研究，ðt窃密木马能在庞大的地Q窃密`场s据一之地，Pv使用非传统的编程语言如

Go1Rust1DLang

p很大的s系2Ð攻ü者角度，他们急于立品牌1涨]气，ð语言x本的恶意ýwþ世O仅例Ì扩充o器ß，更是大大ð升团a<知]度=ĀÐ防御者角度，攻克ð语言x本的恶意软þ所花费的人力1时间开销比n通周期更大2à种攻Û对抗过程中产生的时间差是üôï类恶意软þ在一段时间内流Ì度飙升的要原因2例如，_注于à密°_钱包的ðt窃密家族

Luca

Stealer

l是基于

Rust

语言开发，攻ü者声Ā只用了~个小时就完p开发，在

VirusTotal

的检测率仅~

22%2\，在

11

o，Ü全人员披露了一种基于

Go

语言的窃密家族

Aurora

Stealer，而ï恶意软þé在

7

o份就þ经þ世，在很长一段时间内都未被发Ā2一ß流Ì的商业窃密木马，~了凸显自ý比\类竞品更wp`势，在地Q论坛高调ü传自ý的产品P服á，如

RedLine，在升ÿ^针对O\û户群体V别èû精简x和_业xn种服á，v中，_业x支c对超

100种à密°_钱包的窃×2m外，RedLine

ð供英文和俄文n种语言的Ü装使用手Ý，à一做法使

RedLine面向了更广泛的û户群体2Ā

12

RedLine

Ü装手Ý16úÜ全4.2

窃密ß能更à模块W和定vWŸ着Ü全防御壁垒逐层à固，恶意软þ高度模块W是必然势，无论在避免被<一锅端=ß是在ð€能扩展P，模块V离式攻üþp~`前流Ì恶意软þ惯用û牌方式，窃密木马也O例外2研究发Ā，针对特定数据的高度模块W窃密木马O仅bV阶段发起O\的攻ü，ßbV析目标ÿ境和防御ê施来调整窃密策略2例如，老牌窃密家族

TrickBot

被披露在一k攻ü活ú中投放九个ß能O\的模块，p负°ßÌ自q复v和横向传播的，p负°搜集p览器中pÿ值的

cookie

信息的，p负°窃×用户凭据的等等，àß模块被à用到攻ü的O\阶段中，ñ窃×Ø害者敏感数据~最Ā目的2Ā

13

TrickBot

各ß能模块另外，窃密木马攻üßßwp较€的目标针对性，尤v是高ÿ值的大型目标27

o份，一种基于

php

语言的窃密家族

Ducktail

瞄准

Facebook

¯á人员和管理员的商业¯户，一方面，窃×个人¯户和¯á相s数据Ā另一方面，利用

Facebook

商业¯户在ĀP投放广告，最Ā由

Facebook

支付2据统«，投放的广告费用高达

600,000

美元，oÝ损害ï企业的数据

私和¯产Ü全2类似攻üÏþ如

YTStealer

窃密家族，_门窃×全球最大的视频网站

YouTube用户¯÷并在地Q`场û售，粉丝ߏ多，发a视频多的¯÷售ÿ高2O难发Ā，Ÿ着窃密木马àŸ演W，窃密ß能更à模块W1定vW，目标针对性也更明显，如针对特定Ì业使用定výw1精心构

钓鱼邮þ针对特殊目标等2在未来，窃密木马始Ā将是ñc续性牟利~目的，ñ高ÿ值1ÙĀ快~目标的更危险的网络威胁Í生品217úÜ全4.3

开发跨ĀW，对抗程度à€~扩大攻ü范围，ðt窃密木马逐渐转向使用ÿ跨Ā的编程语言如

Go1Rust

等ßÌ开发，ñ便’配到多种O\的í作系统如

Windows1Linux

和

macOS

中2一方面，跨Ā的编程语言因v高开发效率和ÿ移植性特点而Ø到恶意软þ开发人员的广泛è崇，另一方面，àß编程语言编写的恶意软þÿñ在一定程度P躲避Ü全ýw的检测，并ÿñÿ研究人员增à逆向V析的难度，无形中~攻ü者实施Q一n攻ü留足了时间2本€度，使用跨Ā编程语言的窃密木马频频ûĀ，2022

€

4

o

，Aurora

首k在地Q论坛发a，使用

Go语言开发，背^的ß营团aüĀ

Aurora

wp最Yß的数据窃×能力并Ö带à程Àþß能2\时，由于Aurora

的防御规避能力较€，能够躲避大部VÜ全检测软þ，因m在短时间内Ø到大ß用户的追捧26

o，\基于

Go

语言的ð型窃密木马

LOLI

Stealer

首k<亮相=，_门窃×用户密码1cookie1屏幕截Ā等敏感数据2更p甚者，7

o，一个由

Rust

编写的ð型窃密木马

Luca

Stealer

的源码被v开发者发a到开源Ā

GitHub

P，Ÿ着窃密木马源码被泄露，无疑b引起v他攻ü者的s注并对mßÌ利用，O难预见，^续将bp更多的1更复g的跨Ā窃密木马ûĀ2Ā

14

开源和免费x的

LucaStealerü传页面18úÜ全4.4

多因素身份认证攻üå渐à剧à€来，由弱口ð暴破1钓鱼邮þ1撞ß攻ü等引发的入侵威胁åoÝ，各组ÿ机构1大型企业~筑牢Ü全屏障，Ð传统的W一密码认证转向多因素身份认证ÿMFA，Multi-FactorAuthenticationĀa局，将多种认证方式如静态口ð1ú态口ð1生物特à等组合p一套完整的防御机v2通过对Àþh限增à多Ý保æ，能够p效避免W一认证的薄弱O足，但也需要个人通过层层较~繁琐的认证n骤2à种情况Q，攻ü者开始针对

MFA

认证发起针对用户的疲劳性攻ü2ñ登录系统举例，在启用MFA

机v的情况Q，登录时需要用户输入静态密码ñÛ收到由系统Q发的登录ÿ求确认消息^才允许用户l常Àþ2攻ü者通过v它方式突破第一Ý认证^，Ÿ即频繁发起登录确认ÿ求消息流，然^通过电子邮þ1消息Ā或伪装p

IT

相s人员说服用户确认

MFA

ÿ求，或利用用户对大ßÿ求消息产生疲劳感而放警惕点ü确认^，pß入侵目标，à种攻ü方式被Ā~

MFA

疲劳攻ü2Ā

15

MFA

身份认证确认案例ÿĀ源

SecretDoubleOctopusĀ9

o份，网þ车Ā头

Uber

大ß数据遭窃密泄露，Ïþ起因是攻ü者利用

MFA

疲劳攻ü，向一]

Uber

员ý发‘了一个多小时的ÿ求确认消息，并伪装p

IT

€术人员说服ï员ý点ü确认ÿ求消息，在pß获×VPN¯户凭证^Q发

Raccoon窃密木马窃×内网数据2无独p偶，Microsoft

也遭Ø了类似手法的攻ü，üô

37GB

源ï码被泄露2另外，窃密木马针对

MFA的绕过攻ü也l浮û水面，ðt窃密家族

Rhadamanthys

和

Erbium

中b窃×_门针对

MFA

的b话ð牌，在å志中获×p效ð牌，窃密攻ü者ÿñ在ð牌p效期内绕过

MFA

机v，Ÿ意登录系统219úÜ全4.5

攻ü<多维度=叠à，威胁ß一nà深窃密木马在c续性的演Ù升ÿ中，除了窃×数据ß能，ßb捆绑夹带w备v它恶意ß能的程序，甚óßb~攻ü者留Q^门，用于发起ß一n攻ü2é在

2020

€，就pÜ全研究人员发Ā

AZORult

窃密木马被用于Q载

Hermes

勒索病毒，充`勒索病毒的Q载器，攻ü者则利用勒索病毒à密Ø害者机数据文þñ实施勒索攻ü2à种Ð窃密到勒索的ÝÝ叠à攻üÌ~，是集窃密间接获利P勒索直接获利~一体的威胁Ì~ï表，ÿØ害者带来的也是p倍的打ü2m外，2022

€

3

o，一个]~<Haskers

Gang=的恶意团a大肆传播ð型窃密木马

ZingoStealer，ï木马O仅数据窃×ß能€大，在ðx本中ßÖà

XMRig

à密°_的挖矿ß能2总体而言，à种将窃密1挖矿1勒索等威胁Ì~交ÿ在一起的叠à攻üÏþ来多，威胁程度O断à深，ÿØ害者带来的损失也更~oÝ220úÜ全5总结Ÿ着全球范围内数_W转型ß程àŸ，网络数据资产å渐扩张，暴露的攻ü面也更多，Ð而ÿ了恶意软þ更多的ÿ趁之机2窃密木马作~恶意软þ的一个V支，ñv极高的

蔽性1p熟的商业W模式ñÛĀ大的数据ÿ值等特点，O断û求更复g的€术手段1更w针对性的定v攻ü，àŸ扩大攻ü势力范围，þ发展~危害网络数据资产的要威胁之一2面对å益o峻的网络空间Ü全威胁，ñÛ网络攻ü产业W1生态W的势，各组ÿ机构1企业乃ó个体，à需了解自身网络Ü全脆弱点，充V把握`前网络威胁格局，_注构建úÜ全防御体系，在网络空间各方威胁势力并起的大潮中防患于未然221úÜ全6Ö录

1:x型窃密木马家族6.1

RedLine家族简Ï作~

2022€最知]1最~活跃的窃密木马之一，RedLine

最é于

2020

€

2oûĀ，并在n€内迅Ÿ超\类竞品p~地Q`场最Øl迎的商业窃密木马2RedLine

窃密木马属于x型的

SaaS

模式，负°木马开发的人员时刻在最前沿s注最ð的网络ÙW和目标ú向，增€完善窃密木马ß能，扩充o器ß，负°销售ß营的人员ñ相对P廉的ÿ格}开兜售精简x和_业xn种x本，并在多个论坛1群组等渠道大肆ü传，ñ吸引更多的`场用户2QĀ展示了

RedLine

首k在黑û论坛亮相时发a的营销内容，ðþÏ绍了ï木马的窃密ß能和服á范围2Ā

16

RedLine

窃密木马ß能Ï绍页面RedLine

之所ñ在全球范围内广泛传播，要_因于背^的ß营团a擅长通过多渠道，利用热点Ïþ大肆V发恶意载荷22022

€

2

o，Microsoft

ü告

Windows

11

即将完p最^升ÿ，隔y，一个伪装p

Windows22úÜ全11

系统x本Q载站点的恶意域]<windows-upgraded[.]com=即被注Ý，诱骗用户在Q载

Windows11

系统Ü装程序的\时Ö带了一个]~<Windows11InstallationAssistant.zip=的

1.5MB

压缩包，经V析ï压缩包中压缩率高达

99.8%，解压^的文þ即~

RedLine

窃密木马的恶意载荷210

o份，一个模仿在线文þ格式转换ýw

Convertio

的高ÿ钓鱼网站被披露用来传播

RedLine，`用户选择文þ类型并Wü页面P的<转换=按钮^，ï钓鱼站点b将用户Ý定向到Q载页面Q载Ö带

RedLine

恶意载荷的

zip

压缩文þ2Ā如m类散播V发Ïþ频频ûĀ，ô使

RedLine

在短时间内O断传播并发起窃密攻ü2家族画像Redline首kûĀ时间传播方式2020-02钓鱼邮þ1钓鱼网站1伪装pÜ装包等针对ĀWindowsC#(.NET)编写语言系统信息桌面截Āp览器信息例如密码1自ú填充等à密°_钱包地址窃×信息类型FTP1IM等à程û户端数据Telegram1Discord1Steam和VPN等à用程序数据回传方式https键Ì~V析1.

数据窃密RedLine

窃密数据范围十V广泛，Ð恶意Ì~P来看，所p窃×对象都被封装在]~

ResultFactory

的函数中223úÜ全2.

p览器数据RedLine

首Y获×þÜ装的p览器信息，ÞÐ每个p览器中收集ðþ数据2ñ

Chrome

~例，RedLine

b扫ï用户登录密码1cookie

±录1自ú填充数据ñÛp览器`数据23.

à密°_钱包Pv他流Ì窃密木马家族一ô，RedLine

\b窃×à密°_钱包，通过搜索à密°_钱包的扩展]来获×钱包地址，如

Armory

离线钱包1Atomic

Va式钱包等224úÜ全4.VPNRedLine

ßbs注

NordVPN1OpenVPN

和

ProtonVPN

程序，对于

NordVPN，RedLine

搜索目录中的]~

user.config

的

xml

文þ，查~包含<//setting/value=的用户凭据2对于

OpenVPN

和

ProtonVPN，RedLineV别Ð对à目录中搜索

config

和

ovpn

文þ获×凭据信息225úÜ全6.2

FormBook家族简ÏFormBook

窃密木马最éûĀ于

2016

€

2

o，由一个]~

ng-Coder

的用户在地Q`场ü传兜售，FormBook

最初x本只是一个简W的表W抓×ýw，¬阅ÿ格每€仅需

120

美元2Ā

17

FormBook

首k}开ÛÏ绍FormBook

的€

者

ng-Coder

ð供许多à壳ýw如

Net-Protector

来à密€心ï码，避免被Þ病毒引î查杀2ng-Coder

üĀ如果产品在购买的

30

y内被任何防病毒引î检测到，他bÞkð供免费服á2时隔一€，FormBook

因vÿ格P廉þp~网络犯罪V子的热门选择，并开始发起一系列窃密攻ü22017

€

10o

6å，ng-Coder突然üa停k对外售û

FormBook，原因是

FormBook被用在钓鱼邮þ中的Ì~þ经áÞ作者本意226úÜ全Ā

18

ng-Coder

üa

FormBook

停k对外销售即使原作者sý了

FormBook

销售渠道，但

FormBook

þ经在全球范围内流Ì蔓延起来22017

€á，攻ü者们使用

FormBook

来瞄准目标ÿ值更大的实体Ì业如ÿ防1航空航y和v

业

2FormBook

Ð发展óÎ，一直保c着较高的流Ì度，目前þ经p~最wpï表性的流Ì窃密木马之一2Pv他窃密软þ相比，FormBook

的界面í作简W1防御规避能力更€，对€术掌握较少1经验O足的ð手较~Ü好，因m备Øl迎2FormBook

要针对

Windows

用户发起攻ü，通常利用广撒网式的钓鱼邮þ传播，在邮þ中Ö带wpFormBook

恶意载荷的Öþ，Öþ的格式多~

Office

文档如

RTF1DOC或

XLS等，Þ配Pï述性说明，使电子邮þ看起来像是由某ßÿ信赖的机构组ÿ发‘的，如航ß机构1银Ì机构等，Ð而诱骗Ø害者保`恶意Öþ并执Ì2m外，FormBook

窃×数据能力更€，除了常规意义P窃×`储数据和用户输入数据之外，FormBook

ß能够搜索特定文þ内容ñÛ清除p览器

cookie

等2家族画像FormBook首kûĀ时间传播方式2016-02钓鱼邮þÖþWindowsC1C#针对Ā编写语言系统信息1文þ信息ü键±录窃×信息类型回传方式剪W€数据屏幕截Āp览器数据如自ú填充1历ó±录1信用t数据等http27úÜ全s键Ì~V析最初的

FormBook

恶意软þ的要特点ñ防御规避~，窃×模块的€心是抓×文þ表W，如QĀ所示21.FormBook

à载过程FormBook

的防御规避手法复g多Ù，在执Ì恶意载荷之前，và载过程要V~四个模块ßÌÿ模块

Aÿà载器，负°à载并解码模块

BĀ模块

Bÿà载器，负°获×模块

A

的ï码资源，并解密û模块

CĀ模块

Cÿà载器，负°解密和执Ì最^的

payloadĀ模块

DÿFormBook

p效载荷，它将自身注入l常ß程中Ā28úÜ全Ā

19

FormBook

à载流程示意Ā在O断改ß和升ÿ中，`前流Ì的

FormBook

þ经w备窃密木马的n’性特点，P\类竞品相比，在窃×Ø害者的数据P，p过之而无OÛ22.

注Ý表数据ñ脱壳^的

FormBook

p效载荷~例，窃×数据的Ì~都集p在

OnStealer

函数中，包括注Ý表内容1ß程信息1网络â接信息1USB

驱ú信息等，v中，窃×注Ý表中þÜ装的软þ信息，写到<InstalledProgram.txt=文þ中23.USB

驱úPv他窃密木马O\的是，FormBook

收集

USB

驱ú器等外围¿备列表数据，输û到<USB

Devices.txt=229úÜ全4.

网络â接m外，FormBook

ßb收集Ø害者机器P的网络â接数据输û到

<LocalNetworkConnetions.txt=230úÜ全6.3

AgentTesla家族简ÏAgentTesla

最éûĀ于

2014

€，é期pl式的官网，使用土耳v语言，是一款免费软þ，è在±录个人1家庭p员1企业员ý使用电脑的Ì~，包含了键ø±录和获×剪贴€内容的ß能22016

€初èû付费x本，网站增à英文x本22017

€完全转~付费软þ，费用在

12

到

35

美元O等22019

€官网þOÿÀþ，转~在黑û论坛û售，逐渐发展~Ø黑ûl迎的ß能完备的窃密木马2Ā

20

AgentTesla

构建端AgentTesla

构建端的ÿ定v性极€，回传信息方式1窃×信息类型1Ü装方式1伪装程序Ā标1虚假窗消息等ß能均ÿ做þôW定v2除了通用的键ø±录ß能，ßÿñ针对

Facebook1Twitter

等à用ßÌ特殊处理，获×更好的±录信息2在窃×凭据方面，AgentTesla

覆ö了流p览器1邮箱1FTP

û户端1即时通°ýw1WiFi

信息等2在Ü装配置方面，用户ÿ选择是否¿置自启ú1绕过

UAC1屏蔽Ü全软þ1杀死禁用任á管理器等程序2家族画像AgentTesla首kûĀ时间传播方式2014-12钓鱼邮þ31úÜ全针对Ā编写语言Windows.NET键ø±录屏幕截Ā剪贴€±录摄像头捕获窃×信息类型WiFi信息邮箱信息文þ传输ýw信息即时通°软þ信息p览器保`的用户]密码回传方式php(网站面€)1SMTP(邮þ)1FTPs键Ì~V析1.

防御规避AgentTesla

b对原始执Ì程序做多层包装，~扰Ü全研究人员V析，比如将Ðßv程序转~Āw，使用时Þ解密执Ì2解密^的程序Ï然poÝ的ï码混淆，p效ï码被V散在大ß的无效«算逻辑之间，影响Ü全人员ßÌV析，所p_符串都被à密，使用时Þ临时解密232úÜ全2.

键ø±录AgentTesla

在Ü装钩子^，就ÿñ监ç用户按键，除了监ç常规的_符按键，木马ßb监ç一ß组合按键，并据按键组合状态ßÌ相à的响à处理，如监çsý窗口组合键1W换窗口组合键等23.

剪贴€±录经过Þ混淆处理^ÿ查看本中被à密的_符串2木马一æ监ç到剪贴€相s活ú，就b获×剪贴€数据，并`ÿ换转义_符，在数据首部和~部拼接特定_符<<b>[clipboard]</b>=，ñ

html

格式保`数据内容233úÜ全4.

网络p览器相s网络p览器保`了大ß的敏感数据，几N所p窃密木马都bÝ点s注p览器相s数据，AgentTesla

也O例外2木马b遍历Ø害者机器P各个p览器路径，获×

cookie1p览器保`的用户]密码等信息25.

数据回传木马收集到p览器相s1邮箱1FTP

ýw1即时通°ýw等数据^，ÿñ通过O\方式回传数据ÿ直接P传到

Web

服á器发‘到指定邮箱通过

FTP

回传ï木马b¿置

SMTP

参数，将发‘收集的数据到指定邮箱，如QĀ234úÜ全6.4

Raccoon家族简ÏRaccoon

窃密木马于

2019

€

4

o开始在地Q论坛ü传并售X，ü传时使用了ï]Ā，别]p

Mohazo1Racealer2攻ü者要通过p览器漏洞1钓鱼邮þ1虚假破解软þßÌ初始入侵，入侵^b使用

Raccoon收集各种p览器

cookie1自ú填充1à密°_钱包密码等大ß数据2Raccoon

将数据发‘到çv端^，也b据配置内容Q载执Ìv它程序2Ā

21

Raccoon

ü传页面2022

€

3

o，一]在地Q论坛活跃的

Raccoon

ß营人员声Ā团队的一]€心开发人员意外死亡，但由于\类竞品竞争激烈，6

o份

Raccoon

就èû了

v2

x本，别]

RecordBreaker，ðx本相比çxß能没pz多ÙW，部Vþ节p所调整2Raccoon

~了使初始载荷}ÿ能小，所px本都采用了ßÌ时Ð

C2

获×依赖ßQ载地址的方法，ï方法使得初始载荷的传输Ù得更容易2家族画像AgentTesla首kûĀ时间传播方式2019-04p览器漏洞1钓鱼邮þ1虚假破解软þ针对ĀWindowsC++编写语言窃×信息类型本地文þp览器保`的密码1cookie等35úÜ全邮箱凭据相sà密°_钱包地址回传方式https键Ì~V析1.

防御规避本自身无ÞV析调试1Þ沙箱机v，ß营人员建¯使用第O方ýw

GreenCrypt

来检查Þ病毒产品1防k检测和V析，经过处理的本b多k调用没p实×意义的

API

ñ~扰V析2_符串和

C2

经过

RC41异或à密，避免检测和过é暴露，é期本b通过谷歌网ø获×真l

C2，^期C2

被à密硬编码在本中236úÜ全~缩减初始载荷的体ÿ，木马在ßÌ^向

C2

发‘ÿ求，ÿñ获×配置信息，v中包含依赖

DLL

的Q载链接和需要窃×的数据类型，木马b据àß信息ßÌ^续í作，v1

x本的配置信息~

json

格式，v2

x本则将信息简W整理在一起22.

区域检查在窃密前，Raccoon

的

2

个x本都b检测区域信息2在

v1

x本中，若区域在

Russian，Ukrainian，Belarusian，Kazakh，Kyrgyz，Armenian，Tajik，Uzbek

中则û，而

v2

x本仅判断了区域信息是否包含<ru=，实×并O影响ßÌ237úÜ全3.

收集à密°_钱包除了对常规的大ßp览器1邮箱相s数据的收集，Raccoon

b特别搜索à密°_钱包相s的文þ，攻ü者利用m类数据更容易产生直接收益24.

数据回传Raccoon

的

2

个x本将窃×数据外发的逻辑略pO\2v1

x本b将所p信息打包~

zip

压缩包一k性发‘，而

v2

x本在收集完一类数据^，就b即时将数据外发，Ob保`到文þ238úÜ全6.5

Lokibot家族简ÏLokibot

也Ā~

Loki1LokiPWS

和

Loki-bot，是一款被广泛使用的商业窃密木马，由

C/C++语言编写2Lokibot

于