Lumma Stealer最新攻击链样本详细分析
字数 1406 2025-08-22 12:23:36

Lumma Stealer攻击链分析与防御指南

1. Lumma Stealer概述

Lumma Stealer(又名LummaC2 Stealer)是一种信息窃取恶意软件,自2022年8月起通过俄语论坛上的恶意软件即服务(MaaS)模式运营。该恶意软件主要针对数字货币用户进行定向攻击,窃取敏感信息。

2. 攻击链详细分析

2.1 初始感染阶段

  1. 初始载体:攻击始于一个短链接,点击后会跳转到恶意网站
  2. 社会工程:通过对话框诱导用户执行恶意操作
  3. PowerShell执行:用户被诱导复制并执行恶意PowerShell脚本

2.2 恶意脚本执行流程

  1. 第一阶段脚本

    • 从GitHub远程服务器下载第二段恶意脚本
    • 使用Base64编码隐藏实际内容

  2. 第二阶段脚本

    • 下载Python程序压缩包并解压
    • 执行额外的恶意脚本

  3. 第三阶段脚本

    • 从Dropbox服务器下载恶意Python代码
    • 使用Pyramid服务器作为C2基础设施

2.3 Pyramid服务器利用

  1. 认证机制

    • 使用特定URL和认证信息访问Pyramid服务器
    • 服务器已配置访问账号和密码

  2. 多层加密

    • 使用ChaCha20或XOR算法解密下载的恶意代码
    • 解密密钥和IV包含在脚本中

  3. 模块化加载

    • 下载解密所需模块
    • 下载Windows特定模块
    • 最终下载并执行恶意负载

2.4 最终负载执行

  1. 进程注入

    • 启动rundll32.exe进程
    • 将恶意Payload注入到进程中

  2. Payload特征

    • 使用大量XOR解密操作
    • C2域名为apporholis.shop
    • 编译时间为2025年1月12日

3. 技术特点

  1. 多层混淆

    • 使用Base64、ChaCha20、XOR等多种加密方式
    • 脚本和二进制样本都经过多重加密

  2. 基础设施利用

    • 滥用合法服务(GitHub、Dropbox)作为初始分发点
    • 使用Pyramid服务器作为C2基础设施

  3. 反检测机制

    • 快速更换服务器IP和URL
    • 使用内存加载技术避免文件落地

4. 防御建议

4.1 预防措施

  1. 用户教育

    • 警惕不明短链接和下载请求
    • 不随意执行不明来源的PowerShell命令

  2. 系统加固

    • 限制PowerShell执行权限
    • 启用脚本执行日志记录

  3. 网络防护

    • 阻止对已知恶意域名(如apporholis.shop)的访问
    • 监控异常外连行为

4.2 检测方法

  1. 行为检测

    • 监控rundll32.exe的异常启动和注入行为
    • 检测多层脚本解密执行链

  2. 特征检测

    • 识别已知的C2域名和IP
    • 检测ChaCha20/XOR解密模式

  3. 日志分析

    • 分析PowerShell执行日志
    • 监控异常进程创建行为

4.3 应急响应

  1. 感染处置

    • 隔离受感染系统
    • 检查内存中的异常进程

  2. 取证分析

    • 收集执行的脚本和下载的文件
    • 分析网络连接记录

  3. 后续防护

    • 重置可能泄露的凭证
    • 更新防护规则和IOC列表

5. 威胁情报

Lumma Stealer已成为全球最流行的窃密木马之一,特别针对数字货币用户。攻击者持续更新攻击样本和技术,防御者需要保持警惕并及时更新防护措施。

6. IOC(失陷指标)

  • C2域名:apporholis.shop
  • 相关URL模式:Pyramid服务器特定URL(具体URL在分析时已失效)
  • 文件特征:编译时间为2025年1月12日的恶意模块
  • 网络行为:与Pyramid服务器的特定交互模式
Lumma Stealer攻击链分析与防御指南 1. Lumma Stealer概述 Lumma Stealer(又名LummaC2 Stealer)是一种信息窃取恶意软件,自2022年8月起通过俄语论坛上的恶意软件即服务(MaaS)模式运营。该恶意软件主要针对数字货币用户进行定向攻击,窃取敏感信息。 2. 攻击链详细分析 2.1 初始感染阶段 初始载体 :攻击始于一个短链接,点击后会跳转到恶意网站 社会工程 :通过对话框诱导用户执行恶意操作 PowerShell执行 :用户被诱导复制并执行恶意PowerShell脚本 2.2 恶意脚本执行流程 第一阶段脚本 : 从GitHub远程服务器下载第二段恶意脚本 使用Base64编码隐藏实际内容 第二阶段脚本 : 下载Python程序压缩包并解压 执行额外的恶意脚本 第三阶段脚本 : 从Dropbox服务器下载恶意Python代码 使用Pyramid服务器作为C2基础设施 2.3 Pyramid服务器利用 认证机制 : 使用特定URL和认证信息访问Pyramid服务器 服务器已配置访问账号和密码 多层加密 : 使用ChaCha20或XOR算法解密下载的恶意代码 解密密钥和IV包含在脚本中 模块化加载 : 下载解密所需模块 下载Windows特定模块 最终下载并执行恶意负载 2.4 最终负载执行 进程注入 : 启动rundll32.exe进程 将恶意Payload注入到进程中 Payload特征 : 使用大量XOR解密操作 C2域名为apporholis.shop 编译时间为2025年1月12日 3. 技术特点 多层混淆 : 使用Base64、ChaCha20、XOR等多种加密方式 脚本和二进制样本都经过多重加密 基础设施利用 : 滥用合法服务(GitHub、Dropbox)作为初始分发点 使用Pyramid服务器作为C2基础设施 反检测机制 : 快速更换服务器IP和URL 使用内存加载技术避免文件落地 4. 防御建议 4.1 预防措施 用户教育 : 警惕不明短链接和下载请求 不随意执行不明来源的PowerShell命令 系统加固 : 限制PowerShell执行权限 启用脚本执行日志记录 网络防护 : 阻止对已知恶意域名(如apporholis.shop)的访问 监控异常外连行为 4.2 检测方法 行为检测 : 监控rundll32.exe的异常启动和注入行为 检测多层脚本解密执行链 特征检测 : 识别已知的C2域名和IP 检测ChaCha20/XOR解密模式 日志分析 : 分析PowerShell执行日志 监控异常进程创建行为 4.3 应急响应 感染处置 : 隔离受感染系统 检查内存中的异常进程 取证分析 : 收集执行的脚本和下载的文件 分析网络连接记录 后续防护 : 重置可能泄露的凭证 更新防护规则和IOC列表 5. 威胁情报 Lumma Stealer已成为全球最流行的窃密木马之一,特别针对数字货币用户。攻击者持续更新攻击样本和技术,防御者需要保持警惕并及时更新防护措施。 6. IOC(失陷指标) C2域名:apporholis.shop 相关URL模式:Pyramid服务器特定URL(具体URL在分析时已失效) 文件特征:编译时间为2025年1月12日的恶意模块 网络行为:与Pyramid服务器的特定交互模式