【安全资讯】研究人员深入分析新型Taurus Stealer信息窃取恶意软件
Taurus Stealer(也称为Taurus或Taurus Project)是一种C/C ++信息窃取恶意软件,自2020年4月以来一直在野外活跃,最初通过带有恶意附件的垃圾邮件进行传播。 研究人员深入分析了新的Taurus Stealer的工作方式。
Taurus Stealer由Predator The Thief的创作者“ Alexuiop1337”开发,因此与Predator The Thief有很多相似之处(如初始配置的负载,类似的混淆技术,功能,总体执行流程等),所以这两种软件有时会被沙箱和安全产品误分类。
Taurus Stealer的生命周期与其他恶意软件窃取者并没有很大不同。但是,反CIS功能(避免感染来自独联体的机器)不是可选的,而是恶意软件中执行的第一个功能。加载其初始配置(包括解析API,命令和控制服务器,构建ID等)后,它将进行两次检查:恶意软件运行是否在来自独联体(CIS)的机器上,该软件是否有一个修改过的C2,通过这两次检查避免软件在运行时引爆。这两个初始检查是强制性的。 通过初始检查后,它将与C2建立通信并检索动态配置(如果C2不可用,则返回静态默认配置),并在进行渗透之前相应地执行功能。 渗透后,剩下两个功能:Loader和Self-Delete(均为可选)。此后,清理例程将负责在完成执行之前从内存中删除字符串。
下图显示了Taurus Stealer的主要工作流程。
新型Taurus Stealer软件在工作中具有以下几种特点。
代码混淆
Taurus Stealer在执行过程中大量使用了代码混淆技术,这为恶意软件可能执行的每一项小任务转化为很多代码。金牛座字符串混淆的目的是隐藏静态工具的痕迹和功能,并减慢分析速度。早期的Taurus版本使用s固定字符串来隐藏字符串。但是,此方法已被XOR和SUB加密方案完全代替。比较而言,在堆栈字符串中,每个字节都可以看到清晰的字符串字节。
解析API
该恶意软件将使用hash动态解决其API调用。它首先从kernel32.dll解析LoadLibraryA和GetProcAddress,以简化后续API调用的解析。
解决初始配置
和Predator The Thief一样,Taurus Stealer会在执行WinMain()函数之前将其初始配置加载到函数指针表中。这些功能按顺序执行,并负责加载C2,Build Id和Bot Id / UUID。
BOT ID / UUID生成
Taurus Steale会为每台受感染的计算机生成一个唯一的标识符。该恶意软件的早期版本也使用此标识符作为包含被盗数据的.zip文件名。首先使用GetLogicalDrivers获取所有当前可用磁盘驱动器的位掩码,然后使用GetVolumeInformationA检索其VolumeSerialNumber 。所有这些值都添加到寄存器ESI中。
Anti – CIS
Taurus Stealer试图通过GetUserDefaultLangID检查受感染机器的语言标识符,从而避免在属于独立国家联合体(CIS)的国家/地区感染病毒。Taurus Stealer的早期版本以前曾在单独的功能中具有此功能,而最新的示例在恶意软件的主要过程中已包含此功能,并且是强制执行。
Anti – C2模式
在反CIS过程之后,Taurus Stealer将对检索到的C2进行哈希函数检查,以避免在无效或经过修改的Command and Control服务器上运行。
Taurus Stealer感兴趣的文件如下:
抓取的文档 | 受影响的软件 |
History | Browsers |
formhistory.sqlite | Mozilla Firefox & Others |
cookies.sqlite | Mozilla Firefox & Others |
wallet.dat | Bitcoin |
logins.json | Chrome |
signongs.sqlite | Mozilla Firefox & Others |
places.sqlite | Mozilla Firefox & Others |
Login Data | Chrome / Chromium based |
Cookies | Chrome / Chromium based |
Web Data | Browser |
结论:
诸如Taurus Stealer之类的信息窃取软件非常危险,并且可能对个人和组织造成很大损害(侵犯隐私,泄露机密信息等)。另外,被盗的电子邮件帐户可用于发送垃圾邮件或分发恶意软件。 该恶意软件被广泛使用的事实表明,该恶意软件将在未来继续发展并增加更多功能和保护。
