Stealer信息窃取恶意软件技术浅析
字数 1519 2025-08-20 18:17:41

Stealer信息窃取恶意软件技术深度分析与防御指南

1. 信息窃取恶意软件概述

信息窃取恶意软件(Stealer)是一类专门设计用于窃取用户敏感数据的恶意程序,其主要危害包括:

  • 窃取系统详细信息
  • 盗取自动填充数据
  • 获取信用卡信息
  • 窃取Cookies和浏览历史
  • 盗取用户名和密码
  • 窃取加密货币钱包数据

2. 样本技术分析

2.1 开发环境与封装技术

  • 编程语言:核心功能使用PHP编写,外层使用Delphi封装
  • 封装工具:ExeOutput for PHP
    • 可将PHP脚本编译为Windows可执行文件
    • 使恶意软件伪装成合法本地程序
    • 具备动态加载能力

2.2 信息收集技术

恶意软件通过大量注册表操作提取系统信息:

  • 计算机名称
  • 用户名
  • 操作系统及其版本
  • Windows语言设置
  • Windows产品密钥

2.3 文件操作与痕迹清除

  • 临时存储目录%HOME%\AppData\Local\Ailurophile
  • 关键API函数
    • SetCurrentDirectory:更改当前工作目录
    • DeleteFileOrDirectory:删除文件或目录(自定义函数)
  • 痕迹清除:数据上传C2服务器后自动删除临时目录

2.4 进程操作技术

  • 关闭特定进程:主要针对浏览器
    • 示例命令:cmd.exe /s /c "taskkill /IM msedge.exe /F"
  • 进程列表获取cmd.exe /s /c "tasklist"

2.5 数据解密技术

使用PowerShell解密浏览器加密数据:

cmd.exe /s /c "powershell.exe -Command " Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process ; Add-Type -AssemblyName System.Security; $decryptedKey = [ System.Security.Cryptography.ProtectedData ]::Unprotect([ byte []] @ ( 1 , 0 , 0 , 0 , 208 ,...), $null , [ System.Security.Cryptography.DataProtectionScope ]::CurrentUser); $decryptedKeyString = [ System.BitConverter ]::ToString( $decryptedKey ) -replace '-' , '' ; Write-Output $decryptedKeyString ""

技术特点:

  • 使用当前用户身份验证生成解密密钥
  • 常见于浏览器数据窃取

2.6 进程间通信与注入技术

  • 进程间通信:使用ConnectNamedPipe函数
  • 进程注入
    • 创建子进程执行恶意活动
    • 使用进程空洞技术(Process Hollowing)规避检测

2.7 反分析技术

检测调试器、虚拟机和沙箱环境的函数:

  • RtlQueryPerformanceCounter
  • QueryPerformanceCounter
  • GetTickCount
  • GetSystemTime
  • IsDebuggerPresent

2.8 混淆与加密技术

  • 多种异或(XOR)操作应用:
    • 用于解密数据库
    • 用于代码混淆
  • 目的:
    • 增加逆向工程难度
    • 绕过杀毒软件检测

2.9 权限提升技术

  • 调用AdjustTokenPrivileges函数尝试提升权限
  • 常用于获取更高系统权限执行破坏性操作

3. 防御与检测建议

3.1 预防措施

  1. 软件来源控制

    • 仅从官方和可信来源安装软件
    • 验证软件签名

  2. 权限管理

    • 实施最小权限原则
    • 监控特权操作

  3. 浏览器安全

    • 定期清理Cookies和自动填充数据
    • 使用主密码保护敏感信息

3.2 检测技术

  1. 行为监控

    • 监控异常的注册表访问模式
    • 检测大量系统信息收集行为

  2. 进程分析

    • 检测可疑的进程创建模式
    • 监控进程空洞技术特征

  3. 网络活动

    • 监控异常的数据外传
    • 检测与已知C2服务器的通信

3.3 应急响应

  1. 感染处置

    • 隔离受感染系统
    • 重置所有相关凭据

  2. 取证分析

    • 检查临时目录创建记录
    • 分析进程创建日志

  3. 系统恢复

    • 从干净备份恢复
    • 全面扫描系统

4. 技术总结

该信息窃取恶意软件展示了多种高级技术:

  1. 多语言混合开发:结合PHP和Delphi的优势
  2. 动态加载:通过ExeOutput for PHP实现
  3. 隐蔽操作:临时存储和自动清除痕迹
  4. 反分析技术:多种环境检测和代码混淆
  5. 数据窃取技术:专业的浏览器数据解密方法

防御此类威胁需要多层安全策略,结合预防、检测和响应措施,特别关注异常行为监控和权限管理。

Stealer信息窃取恶意软件技术深度分析与防御指南 1. 信息窃取恶意软件概述 信息窃取恶意软件(Stealer)是一类专门设计用于窃取用户敏感数据的恶意程序,其主要危害包括: 窃取系统详细信息 盗取自动填充数据 获取信用卡信息 窃取Cookies和浏览历史 盗取用户名和密码 窃取加密货币钱包数据 2. 样本技术分析 2.1 开发环境与封装技术 编程语言 :核心功能使用PHP编写,外层使用Delphi封装 封装工具 :ExeOutput for PHP 可将PHP脚本编译为Windows可执行文件 使恶意软件伪装成合法本地程序 具备动态加载能力 2.2 信息收集技术 恶意软件通过大量注册表操作提取系统信息: 计算机名称 用户名 操作系统及其版本 Windows语言设置 Windows产品密钥 2.3 文件操作与痕迹清除 临时存储目录 : %HOME%\AppData\Local\Ailurophile 关键API函数 : SetCurrentDirectory :更改当前工作目录 DeleteFileOrDirectory :删除文件或目录(自定义函数) 痕迹清除 :数据上传C2服务器后自动删除临时目录 2.4 进程操作技术 关闭特定进程 :主要针对浏览器 示例命令: cmd.exe /s /c "taskkill /IM msedge.exe /F" 进程列表获取 : cmd.exe /s /c "tasklist" 2.5 数据解密技术 使用PowerShell解密浏览器加密数据: 技术特点: 使用当前用户身份验证生成解密密钥 常见于浏览器数据窃取 2.6 进程间通信与注入技术 进程间通信 :使用 ConnectNamedPipe 函数 进程注入 : 创建子进程执行恶意活动 使用进程空洞技术(Process Hollowing)规避检测 2.7 反分析技术 检测调试器、虚拟机和沙箱环境的函数: RtlQueryPerformanceCounter QueryPerformanceCounter GetTickCount GetSystemTime IsDebuggerPresent 2.8 混淆与加密技术 多种异或(XOR)操作应用: 用于解密数据库 用于代码混淆 目的: 增加逆向工程难度 绕过杀毒软件检测 2.9 权限提升技术 调用 AdjustTokenPrivileges 函数尝试提升权限 常用于获取更高系统权限执行破坏性操作 3. 防御与检测建议 3.1 预防措施 软件来源控制 : 仅从官方和可信来源安装软件 验证软件签名 权限管理 : 实施最小权限原则 监控特权操作 浏览器安全 : 定期清理Cookies和自动填充数据 使用主密码保护敏感信息 3.2 检测技术 行为监控 : 监控异常的注册表访问模式 检测大量系统信息收集行为 进程分析 : 检测可疑的进程创建模式 监控进程空洞技术特征 网络活动 : 监控异常的数据外传 检测与已知C2服务器的通信 3.3 应急响应 感染处置 : 隔离受感染系统 重置所有相关凭据 取证分析 : 检查临时目录创建记录 分析进程创建日志 系统恢复 : 从干净备份恢复 全面扫描系统 4. 技术总结 该信息窃取恶意软件展示了多种高级技术: 多语言混合开发 :结合PHP和Delphi的优势 动态加载 :通过ExeOutput for PHP实现 隐蔽操作 :临时存储和自动清除痕迹 反分析技术 :多种环境检测和代码混淆 数据窃取技术 :专业的浏览器数据解密方法 防御此类威胁需要多层安全策略,结合预防、检测和响应措施,特别关注异常行为监控和权限管理。