【翻译】信息窃取软件Vidar Stealer的分析与复现
字数 2457 2025-08-22 12:23:13

Vidar Stealer信息窃取恶意软件分析与防御指南

1. Vidar Stealer概述

Vidar Stealer是一种用C++编写的强大信息窃取恶意软件,自2018年被发现以来不断更新演进。它作为服务型恶意软件(MaaS)在暗网和地下论坛出售,主要针对个人和组织敏感数据。

1.1 主要特征

  • 多平台数据窃取:针对浏览器数据、加密货币钱包、财务信息、通讯应用数据等
  • 高度可定制:可根据购买者需求定制功能
  • 隐蔽性强:采用多种反分析技术规避检测
  • 社交媒体整合:利用Telegram和Steam等平台作为C2基础设施
  • 模块化设计:可下载额外组件扩展功能

2. 技术分析

2.1 样本特征

  • 32位基于控制台的可执行文件
  • 使用Visual Studio编译,C++编写
  • 非封装文件包含五个节区,其中两个标记为可执行
  • .data节区包含混淆内容(熵值较高)

2.2 执行流程

第一阶段:环境检查

  • 使用GetEnvironmentStringsGetModuleHandleExW等API获取环境信息
  • 检测调试器/分析环境,若发现则触发异常并终止进程

第二阶段:数据解码

  • 使用按位异或运算解码.data节区内容
  • 解码后内容包含:
    • C2服务器URL
    • 用户代理字符串
    • 目标数据和应用列表

第三阶段:进程注入

  1. 创建挂起的RegAsm.exe进程
  2. 将解码后的恶意代码注入该进程内存空间
  3. 恢复进程执行并自我终止

第四阶段:C2通信

  • 连接Steam社区页面(如https://steamcommunity.com/profiles/76561199686524322)获取C2地址
  • 从Telegram频道(如https://t.me/k0mono)获取备用C2地址
  • 所有通信使用TLS 1.2加密,检测到拦截会终止进程

2.3 数据收集技术

  1. 浏览器数据:cookies、历史记录、扩展、登录凭据等
  2. 加密货币钱包:提取钱包文件和密钥
  3. 系统目录:访问$Recycle.Bin$Windows.~BT等特殊目录
  4. 安全描述符:读取NTFS元数据属性
  5. 跳转列表:收集最近打开的文件记录
  6. 注册表:读取C:\Windows\System32\config\SOFTWARE
  7. 应用数据:Telegram等通讯应用数据

2.4 数据存储与传输

  • 收集的数据存储在C:\ProgramData\<随机文件夹名>
  • 使用文件锁定技术限制其他进程访问
  • 数据加密传输到C2服务器后删除本地副本

3. 反检测技术

3.1 环境感知

  • 检测虚拟机/沙箱环境
  • 检查调试器存在
  • 验证系统证书链(检测中间人攻击)

3.2 代码混淆

  • 核心功能代码加密存储在.data节区
  • 运行时动态解码
  • 使用进程注入隐藏恶意行为

3.3 基础设施隐蔽

  • 利用合法社交媒体平台(Steam、Telegram)作为C2
  • 通过更新社交媒体资料动态更换C2地址
  • 使用自签名证书检测流量拦截

4. 关联威胁

4.1 合作恶意软件

  • STOP/Djvu勒索软件:常与Vidar一同传播
  • SmokeLoader后门:作为Vidar的传播载体
  • RedLine窃取者:通过SmokeLoader投放
  • Laplas剪贴板木马:针对加密货币交易

4.2 威胁行为者

  • 主要开发者"Sultan"活跃于俄语社区
  • 在Telegram有官方支持频道和新闻频道
  • 与其他窃取者(Lumma、Raccoon)存在合作

5. 检测与防御

5.1 IOC(入侵指标)

文件哈希

类型
MD5 7e74918f0790056546b862fa3e114c2a
SHA256 fed19121e9d547d9762e7aa6dd53e0756c414bd0a0650e38d6b0c01b000ad2fc

C2基础设施

类型 地址
URL https://steamcommunity.com/profiles/76561199686524322
URL https://t.me/k0mono
IP 65.108.55.55:9000
IP 91.107.221.88:9000

5.2 YARA规则

rule vidar_stealer {
    meta:
        description = "Detection rule for Vidar Stealer"
        author = "CRT"
    strings:
        $md5 = "7e74918f0790056546b862fa3e114c2a"
        $sha256 = "fed19121e9d547d9762e7aa6dd53e0756c414bd0a0650e38d6b0c01b000ad2fc"
        $steam = "steamcommunity.com/profiles/76561199686524322"
        $telegram = "t.me/k0mono"
        $c2_1 = "65.108.55.55"
        $c2_2 = "91.107.221.88"
    condition:
        any of them
}

5.3 防御措施

预防措施

  1. 用户教育:警惕不明来源文件和链接
  2. 软件限制:限制非必要程序的执行权限
  3. 浏览器隔离:使用专用浏览器或容器进行敏感操作
  4. 钱包保护:加密货币钱包使用硬件设备存储

技术控制

  1. 进程监控:检测异常进程注入(如RegAsm.exe异常行为)
  2. 网络过滤:阻止与已知C2地址的通信
  3. 文件监控:监控ProgramData目录下的异常文件创建
  4. 证书验证:拦截自签名证书的通信

检测策略

  1. 行为分析:检测数据收集和加密传输行为
  2. 内存分析:识别进程内存中的恶意代码
  3. 日志审计:监控系统目录和注册表的异常访问

6. 事件响应指南

6.1 感染迹象

  • 系统出现不明网络连接(特别是到Steam/Telegram)
  • 发现异常的RegAsm.exe进程
  • ProgramData目录下出现随机命名的文件夹
  • 浏览器数据或加密货币钱包异常访问

6.2 响应步骤

  1. 隔离系统:立即断开网络连接
  2. 取证收集
    • 内存转储
    • 磁盘镜像(特别是ProgramData目录)
    • 进程列表和网络连接状态
  3. 密码重置:所有可能泄露的凭据
  4. 钱包迁移:将加密货币转移到新地址
  5. 全面扫描:使用专业工具检测残留组件

7. 总结

Vidar Stealer代表了现代信息窃取恶意软件的典型特征:模块化、隐蔽性强、利用合法基础设施。其与其他恶意软件的合作模式也显示了当前网络威胁环境的复杂性。防御此类威胁需要多层防护策略,结合技术控制、用户教育和持续监控。组织应特别关注社交媒体平台被滥用的风险,并将其纳入威胁情报监控范围。

Vidar Stealer信息窃取恶意软件分析与防御指南 1. Vidar Stealer概述 Vidar Stealer是一种用C++编写的强大信息窃取恶意软件,自2018年被发现以来不断更新演进。它作为服务型恶意软件(MaaS)在暗网和地下论坛出售,主要针对个人和组织敏感数据。 1.1 主要特征 多平台数据窃取 :针对浏览器数据、加密货币钱包、财务信息、通讯应用数据等 高度可定制 :可根据购买者需求定制功能 隐蔽性强 :采用多种反分析技术规避检测 社交媒体整合 :利用Telegram和Steam等平台作为C2基础设施 模块化设计 :可下载额外组件扩展功能 2. 技术分析 2.1 样本特征 32位基于控制台的可执行文件 使用Visual Studio编译,C++编写 非封装文件包含五个节区,其中两个标记为可执行 .data节区包含混淆内容(熵值较高) 2.2 执行流程 第一阶段:环境检查 使用 GetEnvironmentStrings 和 GetModuleHandleExW 等API获取环境信息 检测调试器/分析环境,若发现则触发异常并终止进程 第二阶段:数据解码 使用按位异或运算解码.data节区内容 解码后内容包含: C2服务器URL 用户代理字符串 目标数据和应用列表 第三阶段:进程注入 创建挂起的 RegAsm.exe 进程 将解码后的恶意代码注入该进程内存空间 恢复进程执行并自我终止 第四阶段:C2通信 连接Steam社区页面(如 https://steamcommunity.com/profiles/76561199686524322 )获取C2地址 从Telegram频道(如 https://t.me/k0mono )获取备用C2地址 所有通信使用TLS 1.2加密,检测到拦截会终止进程 2.3 数据收集技术 浏览器数据 :cookies、历史记录、扩展、登录凭据等 加密货币钱包 :提取钱包文件和密钥 系统目录 :访问 $Recycle.Bin 、 $Windows.~BT 等特殊目录 安全描述符 :读取NTFS元数据属性 跳转列表 :收集最近打开的文件记录 注册表 :读取 C:\Windows\System32\config\SOFTWARE 应用数据 :Telegram等通讯应用数据 2.4 数据存储与传输 收集的数据存储在 C:\ProgramData\<随机文件夹名> 下 使用文件锁定技术限制其他进程访问 数据加密传输到C2服务器后删除本地副本 3. 反检测技术 3.1 环境感知 检测虚拟机/沙箱环境 检查调试器存在 验证系统证书链(检测中间人攻击) 3.2 代码混淆 核心功能代码加密存储在.data节区 运行时动态解码 使用进程注入隐藏恶意行为 3.3 基础设施隐蔽 利用合法社交媒体平台(Steam、Telegram)作为C2 通过更新社交媒体资料动态更换C2地址 使用自签名证书检测流量拦截 4. 关联威胁 4.1 合作恶意软件 STOP/Djvu勒索软件 :常与Vidar一同传播 SmokeLoader后门 :作为Vidar的传播载体 RedLine窃取者 :通过SmokeLoader投放 Laplas剪贴板木马 :针对加密货币交易 4.2 威胁行为者 主要开发者"Sultan"活跃于俄语社区 在Telegram有官方支持频道和新闻频道 与其他窃取者(Lumma、Raccoon)存在合作 5. 检测与防御 5.1 IOC(入侵指标) 文件哈希 | 类型 | 值 | |------|----| | MD5 | 7e74918f0790056546b862fa3e114c2a | | SHA256 | fed19121e9d547d9762e7aa6dd53e0756c414bd0a0650e38d6b0c01b000ad2fc | C2基础设施 | 类型 | 地址 | |------|------| | URL | https://steamcommunity.com/profiles/76561199686524322 | | URL | https://t.me/k0mono | | IP | 65.108.55.55:9000 | | IP | 91.107.221.88:9000 | 5.2 YARA规则 5.3 防御措施 预防措施 用户教育 :警惕不明来源文件和链接 软件限制 :限制非必要程序的执行权限 浏览器隔离 :使用专用浏览器或容器进行敏感操作 钱包保护 :加密货币钱包使用硬件设备存储 技术控制 进程监控 :检测异常进程注入(如RegAsm.exe异常行为) 网络过滤 :阻止与已知C2地址的通信 文件监控 :监控ProgramData目录下的异常文件创建 证书验证 :拦截自签名证书的通信 检测策略 行为分析 :检测数据收集和加密传输行为 内存分析 :识别进程内存中的恶意代码 日志审计 :监控系统目录和注册表的异常访问 6. 事件响应指南 6.1 感染迹象 系统出现不明网络连接(特别是到Steam/Telegram) 发现异常的RegAsm.exe进程 ProgramData目录下出现随机命名的文件夹 浏览器数据或加密货币钱包异常访问 6.2 响应步骤 隔离系统 :立即断开网络连接 取证收集 : 内存转储 磁盘镜像(特别是ProgramData目录) 进程列表和网络连接状态 密码重置 :所有可能泄露的凭据 钱包迁移 :将加密货币转移到新地址 全面扫描 :使用专业工具检测残留组件 7. 总结 Vidar Stealer代表了现代信息窃取恶意软件的典型特征:模块化、隐蔽性强、利用合法基础设施。其与其他恶意软件的合作模式也显示了当前网络威胁环境的复杂性。防御此类威胁需要多层防护策略,结合技术控制、用户教育和持续监控。组织应特别关注社交媒体平台被滥用的风险,并将其纳入威胁情报监控范围。