Scranos恶意活动技术分析与防御指南

1. 概述

Scranos是一种使用数字签名Rootkit的大规模恶意活动，主要针对Windows系统用户，目的是窃取登录凭证、支付信息和浏览器历史记录，用于网络诈骗和恶意广告传播。

2. 技术细节

2.1 感染方式

• 初始感染载体：伪装成合法应用程序的电子书浏览器、视频播放器或反恶意软件产品
• Rootkit特性：使用数字签名的内存Rootkit
• 持久化机制：
  • 在目标设备关闭前向硬盘覆盖写入数据
  • 完成后删除所有Payload
  • 向合法进程"svchost.exe"注入恶意下载器

2.2 数字签名

• 使用窃取的数字证书进行签名
• 证书来源：上海某健康管理咨询公司(非软件开发企业)
• 证书状态：分析时仍有效

3. 攻击组件与功能

3.1 核心功能

• 下载和运行Payload Dropper
• 实现持久化感染
• 删除正在使用的文件(移除内存中的Payload)

3.2 浏览器凭证窃取

• 从浏览器提取登录凭证
• 使用恶意DLL文件实施攻击
• 受影响浏览器：
  • Chrome/Chromium
  • Firefox
  • Opera
  • Edge
  • IE

3.3 针对特定服务的Payload

3.3.1 YouTube Payload

• 利用Chrome调试模式
• 隐藏自身于任务栏(可通过任务管理器查看)
• 自动化操作：
  • 打开URL
  • 播放视频并静音
  • 订阅频道
  • 点击恶意广告
• 效果：每天可为目标频道带来约3100新订阅者

3.3.2 浏览器插件Payload

• 安装恶意浏览器插件
• 已知插件：
  • Chrome Filter
  • Fierce-tips
  • PDF-Maker(装机量达12.8万+，仍存在于Chrome Web商城)

3.3.3 Facebook Payload

• 发送好友请求和钓鱼信息(链接指向恶意Android APK)
• 窃取浏览器Cookie(Firefox、Chrome及基于Chromium的浏览器)

3.3.4 Edge浏览器攻击

• 安装EdgeCookiesView工具(Nirsoft开发的合法工具)

3.3.5 Steam账号攻击

• 下载安装Rootkit及其他组件
• 修改注册表存储Steam账号凭证
• 窃取数据包括：
  • 账号凭证
  • 已安装游戏列表
  • 最后游戏时间

4. 受影响服务与地区

4.1 受影响在线服务

• Facebook
• Amazon
• Airbnb
• Steam
• YouTube

4.2 主要感染地区

• 中国(广东、上海、江苏、浙江等数万用户)
• 扩散地区：
  • 印度
  • 罗马尼亚
  • 巴西
  • 法国
  • 意大利
  • 印度尼西亚

4.3 主要受影响系统

• 绝大多数为Windows 10用户

5. 防御措施

5.1 预防措施

1. 数字签名验证：

   • 验证所有安装程序的数字签名
   • 警惕非软件开发公司签名的程序

2. 软件来源控制：

   • 仅从官方渠道下载软件
   • 警惕伪装成合法应用的恶意软件(电子书阅读器、视频播放器等)

3. 浏览器安全：

   • 定期审查已安装插件
   • 移除可疑或不再使用的插件
   • 禁用不必要的调试功能

5.2 检测方法

1. 进程监控：

   • 检查svchost.exe的异常行为
   • 监控任务管理器中的可疑Chrome进程

2. 注册表检查：

   • 定期检查注册表中与Steam等服务的异常键值

3. 网络流量分析：

   • 监控异常的网络连接请求
   • 特别关注与已知恶意域名的通信

5.3 应急响应

1. 隔离感染主机：

   • 立即断开网络连接
   • 防止凭证进一步泄露

2. 凭证重置：

   • 重置所有可能泄露的账户密码
   • 启用多因素认证

3. 系统清理：

   • 使用专业反Rootkit工具扫描
   • 考虑系统重装以确保彻底清除

6. 发展趋势

• Scranos仍在持续进化中
• 攻击手段不断升级
• 感染范围持续扩大
• 可能增加新型感染组件

7. 参考资源

• 完整分析报告
• 原始来源：bleepingcomputer
• 编译：FreeBuf Alpha_h4ck

注意：由于Scranos活动持续进化，建议安全团队保持对最新威胁情报的关注，及时更新防御策略。