Python程序库加载的窃密木马分析与防御指南

一、木马概述

该窃密木马是一种基于Python开发的Stealer类恶意软件，主要特点是通过Python程序库(Lib)加载执行窃密功能，而非传统的"白+黑"方式。其主要功能是窃取多种浏览器(FireFox、Chrome、Edge)的敏感数据，包括：

登录凭证(用户名和密码)
Cookie数据
浏览器本地存储数据
密钥信息

窃取的数据最终会通过Telegram Bot API上传到攻击者控制的服务器。

二、技术分析

1. 感染方式

该木马的特殊之处在于其加载方式：

不直接调用恶意Python脚本
不使用传统的"白+黑"(合法程序+恶意DLL)方式
恶意代码隐藏在Python的Lib库文件中
通过Python程序库机制自动加载执行

2. 信息收集功能

2.1 系统信息收集

# 通过ipinfo.io获取的信息包括：
- 主机用户名
- 所在国家地区
- 时间戳
- IP地址

2.2 浏览器数据窃取

FireFox浏览器：

登录信息(用户名和密码)
Cookie数据
密钥数据
解密过程需要获取加密的Key信息

Chrome浏览器：

登录数据
本地数据
Cookie数据
解密用户名、密码及访问的URL

Edge浏览器：

登录数据
本地数据
Cookie数据
解密用户名、密码及访问的URL

2.3 特定网站数据收集

主要针对以下网站的Cookie和商业数据：

adsmanager.facebook.com
graph.facebook.com
m.facebook.com
business.facebook.com
Google Mail
Microsoft相关服务

3. 数据存储与传输

本地存储：
- 在%temp%目录创建文件夹
- 文件夹命名格式：国家地区+IP+时间戳组合
- 窃取的数据存放在对应文件夹内
数据传输：
- 将文件夹打包成ZIP压缩包
- 通过Telegram API上传到指定的Telegram Bot

三、防御措施

1. 预防措施

软件来源控制：
- 只从官方渠道下载Python及其库文件
- 不要随意打开和使用非官方的程序或工具
- 使用虚拟环境隔离项目依赖
系统加固：
- 限制Python脚本的执行权限
- 使用沙箱环境运行不受信任的Python代码
- 定期审计Python安装目录下的Lib库文件
浏览器保护：
- 使用主密码保护浏览器存储的凭证
- 定期清理浏览器Cookie和缓存
- 考虑使用专门的密码管理器而非浏览器内置功能

2. 检测方法

异常行为监控：
- 监控Python进程对浏览器数据目录的访问
- 检测程序对ipinfo.io等外部服务的请求
- 警惕向Telegram API发送数据的网络连接
文件系统监控：
- 监控%temp%目录下异常文件夹的创建
- 特别关注包含国家地区、IP和时间戳组合的文件夹名
网络流量分析：
- 检测到Telegram API的异常连接
- 监控压缩文件的上传行为

3. 应急响应

感染处置：
- 立即断开网络连接
- 检查并清理Python安装目录
- 审查所有Python虚拟环境
- 重置所有浏览器保存的密码
密码重置：
- 更改所有可能泄露的账户密码
- 特别是Facebook、Google、Microsoft等受影响网站
系统恢复：
- 考虑重装Python环境
- 使用备份恢复浏览器数据(确保备份未被感染)

四、技术总结

攻击特点：
- 利用Python生态的信任机制进行隐蔽加载
- 源代码未混淆，分析难度低但隐蔽性高
- 针对多款主流浏览器进行数据窃取
- 使用合法网络服务(ipinfo.io、Telegram)进行C&C通信
演变趋势：
- 恶意软件越来越多地利用脚本语言和合法服务
- 攻击者倾向于使用源代码而非二进制文件降低检测率
- 针对SaaS和社交平台商业账户的攻击增加
防御启示：
- 需要加强对脚本语言的运行时监控
- 开发环境安全与生产环境同等重要
- 第三方库的安全审计应成为常态

五、附录

1. 检测IOC(失陷指标)

网络IOC：
- api.ipinfo.io (用于获取受害者地理位置信息)
- api.telegram.org (用于数据回传)
文件系统IOC：
- %temp%目录下包含IP地址和时间戳的文件夹
- Python Lib目录下的异常库文件

2. 参考工具

分析工具：
- Python反编译工具(uncompyle6等)
- 网络流量分析工具(Wireshark、Fiddler)
- 进程监控工具(Process Monitor)
防护工具：
- Python虚拟环境(virtualenv/venv)
- 应用白名单解决方案
- 高级终端防护(ATP)系统
浏览器安全工具：
- 密码管理器(LastPass、Bitwarden等)
- Cookie管理扩展
- 浏览器沙箱解决方案

Python程序库加载的窃密木马分析与防御指南一、木马概述该窃密木马是一种基于Python开发的Stealer类恶意软件，主要特点是通过Python程序库(Lib)加载执行窃密功能，而非传统的"白+黑"方式。其主要功能是窃取多种浏览器(FireFox、Chrome、Edge)的敏感数据，包括：登录凭证(用户名和密码) Cookie数据浏览器本地存储数据密钥信息窃取的数据最终会通过Telegram Bot API上传到攻击者控制的服务器。二、技术分析 1. 感染方式该木马的特殊之处在于其加载方式：不直接调用恶意Python脚本不使用传统的"白+黑"(合法程序+恶意DLL)方式恶意代码隐藏在Python的Lib库文件中通过Python程序库机制自动加载执行 2. 信息收集功能 2.1 系统信息收集 2.2 浏览器数据窃取 FireFox浏览器：登录信息(用户名和密码) Cookie数据密钥数据解密过程需要获取加密的Key信息 Chrome浏览器：登录数据本地数据 Cookie数据解密用户名、密码及访问的URL Edge浏览器：登录数据本地数据 Cookie数据解密用户名、密码及访问的URL 2.3 特定网站数据收集主要针对以下网站的Cookie和商业数据： adsmanager.facebook.com graph.facebook.com m.facebook.com business.facebook.com Google Mail Microsoft相关服务 3. 数据存储与传输本地存储：在%temp%目录创建文件夹文件夹命名格式：国家地区+IP+时间戳组合窃取的数据存放在对应文件夹内数据传输：将文件夹打包成ZIP压缩包通过Telegram API上传到指定的Telegram Bot 三、防御措施 1. 预防措施软件来源控制：只从官方渠道下载Python及其库文件不要随意打开和使用非官方的程序或工具使用虚拟环境隔离项目依赖系统加固：限制Python脚本的执行权限使用沙箱环境运行不受信任的Python代码定期审计Python安装目录下的Lib库文件浏览器保护：使用主密码保护浏览器存储的凭证定期清理浏览器Cookie和缓存考虑使用专门的密码管理器而非浏览器内置功能 2. 检测方法异常行为监控：监控Python进程对浏览器数据目录的访问检测程序对ipinfo.io等外部服务的请求警惕向Telegram API发送数据的网络连接文件系统监控：监控%temp%目录下异常文件夹的创建特别关注包含国家地区、IP和时间戳组合的文件夹名网络流量分析：检测到Telegram API的异常连接监控压缩文件的上传行为 3. 应急响应感染处置：立即断开网络连接检查并清理Python安装目录审查所有Python虚拟环境重置所有浏览器保存的密码密码重置：更改所有可能泄露的账户密码特别是Facebook、Google、Microsoft等受影响网站系统恢复：考虑重装Python环境使用备份恢复浏览器数据(确保备份未被感染) 四、技术总结攻击特点：利用Python生态的信任机制进行隐蔽加载源代码未混淆，分析难度低但隐蔽性高针对多款主流浏览器进行数据窃取使用合法网络服务(ipinfo.io、Telegram)进行C&C通信演变趋势：恶意软件越来越多地利用脚本语言和合法服务攻击者倾向于使用源代码而非二进制文件降低检测率针对SaaS和社交平台商业账户的攻击增加防御启示：需要加强对脚本语言的运行时监控开发环境安全与生产环境同等重要第三方库的安全审计应成为常态五、附录 1. 检测IOC(失陷指标) 网络IOC： api.ipinfo.io (用于获取受害者地理位置信息) api.telegram.org (用于数据回传) 文件系统IOC： %temp%目录下包含IP地址和时间戳的文件夹 Python Lib目录下的异常库文件 2. 参考工具分析工具： Python反编译工具(uncompyle6等) 网络流量分析工具(Wireshark、Fiddler) 进程监控工具(Process Monitor) 防护工具： Python虚拟环境(virtualenv/venv) 应用白名单解决方案高级终端防护(ATP)系统浏览器安全工具：密码管理器(LastPass、Bitwarden等) Cookie管理扩展浏览器沙箱解决方案