详解 RisePro 信息窃密木马

RisePro 是一种窃密木马,以恶意软件即服务(MaaS)的模式在地下论坛出售。该恶意软件家族最早在 2022 年被发现,近期攻击行为快速增长。

RisePro 不依赖特定的感染媒介,可以通过多种方式植入失陷主机,通常使用恶意链接和其他诱饵获得立足点。曾经 RisePro 与 PrivateLoader 联合投递,通过 PrivateLoader 将 RisePro 投递到失陷主机。研究人员发现 RisePro 与 PrivateLoader 共享大量代码,这表明两者之间存在联系。

一旦在系统上站稳脚跟,RisePro 就会检查系统是否有互联网连接,然后与 C&C 服务器通信。RisePro 也可以对受害者的系统进行指纹识别,窃取数据并回传。尽管目前没有明确的攻击者归属,但根据控制面板与活跃情况来看,开发人员应该是讲俄语的。

技术分析

感染媒介

RisePro 采用订阅模式,因此初始感染媒介千差万别,完全取决于运营人员。RisePro 的运营人员向开发恶意软件的攻击者支付许可费,运营人员就可以自由地生成二进制文件,按照自己的意愿和需求进行定制化构建。

RisePro 经常使用欺骗手段来辅助投递,将自己伪装成合法软件的破解版。例如,2024 年 3 月,RisePro 的变种利用 GitHub 部署伪装成合法软件的恶意软件。

根据 3 月初的统计数据,RedLine、Vidar 和 Raccoon 是使用最广泛的窃密木马。仅 RedLine 在 2023 年 10 月到 2024 年 3 月的半年间就泄露了超过 1.7 亿个密码。被窃取的账户还可以进一步被用于其他恶意活动,甚至是传播勒索软件。

分析

RisePro 通过构建工具来为使用者提供灵活性与定制化。攻击者可以指定可执行文件的类型、构建名称,甚至是用于 C&C 通信的 IP 地址。RisePro 还原生支持如下功能:

  • 反调试
  • 反虚拟机
  • 禁用 Windows Defender

执行后,RisePro 复制自身作为持久化方式。通常,RisePro 会将自身放置在如下位置:

  • %AppData%\Local\Temp
  • %ProgramData%\

如果攻击者开启了持久化配置,RisePro 会通过 schtasks(.)exe 创建计划任务,登录时与每小时都会执行。

  • C:\Windows\SysWOW64\schtasks.exe:schtasks /create /f /RU "Admin" /tr "C:\ProgramData[RisePro].exe" /tn "%RisePro% HR" /sc HOURLY /rl HIGHEST
  • C:\Windows\SysWOW64\schtasks.exe schtasks /create /f /RU "Admin" /tr "C:\ProgramData[RisePro].exe" /tn "%RisePro% LG" /sc ONLOGON /rl HIGHEST

成功入侵后 RisePro 会进行一系列检查,查看设备是否处在隔离或者虚拟化的环境中。为此,恶意软件查了多个 IP 位置服务信息提供商:

  • ipinfo(.)io
  • db-ip(.)com
  • maxmind(.)com

这不仅可以确定恶意软件是否在分析环境中,也能够收集到受害者的相关信息。RisePro 也支持根据受害者的所在地区,在不同条件下运行。

1719994920_66850a284abab6f4252d0.png!small?1719994920680

典型通信模式

通信

此前,RisePro 通过替换密码和异或加密的方式进行 HTTP 通信。2023 年底,RisePro 已经过渡到使用 TCP 自定义协议进行通信。2024 年 3 月,在野发现的基本都是 1.6 版本的 RisePro。不过,1.0 版本与 1.6 版本的 RisePro 通信方式基本没有差别。

2024 年 6 月,RisePro 升级到 2.0 版本。尽管 RisePro 仍然使用 TCP 进行通信,也使用与 1.6 版本相同的替换密码,但不同的 TCP 端口会使用不同的异或加密逻辑。

C&C 服务器回传给 RisePro 命令,包含攻击者希望从失陷主机窃取的信息。配置中的大多数选项都可以启用/禁用,攻击者可以按照自己的需要和喜好进行定制化。

1719994940_66850a3ca796260b8b271.png!small?1719994941365

C&C 通信

信息窃取

RisePro 主要是进行窃密的,C&C 服务器下发了窃密目标,恶意软件就会进行窃密。除了 C&C 信道,恶意软件还可以通过 Telegram 将窃取的信息回传。

1719994961_66850a512661cad437e8a.png!small?1719994961627

配置选项

在确认执行命令时,恶意软件也会发送 Loader 配置。该配置是恶意软件的另一个功能,也可以充当恶意软件下载器。启用后,RisePro 则可以根据攻击者的部署下载其他恶意软件。

1719994979_66850a633d02baf6a8dcc.png!small?1719994979674

Loader 配置

RisePro 通过其自定义的 TCP 协议进行 C&C 通信,窃取数据以 base64 编码的 zip 文件形式回传,文件内容取决于配置设置于失陷主机上的具体信息。

1719994990_66850a6e58525f52260df.png!small?1719994990840

攻击方式

可以确认复现的文件是:

  • information.txt
  • password.txt

information.txt 中主要是指纹识别信息,包括:

1719995003_66850a7b5a3d713407f89.png!small?1719995003913

指纹信息

passwords.txt 中存储发现的所有账户与密码,如下所示:

1719995024_66850a9097304af5b5d24.png!small?1719995025219

释放的文件

归因

RisePro 经常通过暗网在地下论坛上推广,也以恶意软件即服务(MaaS)而闻名。但根据恶意软件与控制面板的设计,研究人员高度确信开发者是俄语使用者。目前为止,尚未能够确认任何攻击者与 RisePro 存在直接关联。

RisePro 通过恶意软件即服务(MaaS)使得付费订阅的攻击者都可以将恶意软件武器化,在全球进行各种攻击。

1719995041_66850aa14a2fe5373f2a1.png!small?1719995041706

旧版本的构建工具

攻击目标

RisePro 的受害者不是特定的,不同的运营人员的攻击倾向也不相同。只要付费的攻击者都可以自行定制 RisePro 恶意软件,因此攻击形式也千变万化。

此前 RisePro 与其他商业恶意软件勾结在一起,现在 RisePro 也仍是如此。攻击形式多种多样,投递的方式也不局限于特定。

结论

RisePro 采用了复杂的技术,对个人与组织都构成巨大风险。RisePro 的演变凸显了网络安全形势的不断演变,也显示出安全防御的必要性。

IOC

2229327fa653ffd07f11773ee22eb00e580b6824ce122a1e788f19859aa9dca2
5e1a1b2e2c20bc50b54e02393fa6f26a2b8c2f4d87f2abdecaca73472b5c5dba
a36d5e790ca17fb6f70884942d868d29c6854054f2db79ed8f4e2d0d16ef1647
4f0e839393df72db99a05ade0848979ff375399b104e59a7cc3847d746c17e5c
56108c707fcaf87b2220c081db115171ff35811946b3ad2d76105715e8530fbe
b4ad80860c773c79c946c3a4df13e534153bd17ceebad6acedac3156dfe0144c
77e97faca59d8de34ddc7272791efac41da9ff5b7b175a99e09a255e2701d725
a78513831b47f4b35ee9063aa167bf5d05c61559b2ac7f8fb93fa966a36e34d2
30baf54d50379893b23b24203611da331d436dfc35f2d0a805bac4da0d310489
c48eb226b641b382fd4155f10c96aacc585c6e65814865cd762e88b8a5cffd14
6b82e6f228cbb8143b68e1739f3d083cf6ab0ba9c202ce1ec769bb12c9030619
5719a862d5a32ec56328f8e066a83b6b0577a6965074ca671d0cecce681d5f79
9d540839e75daf4f31eb36271fef6eb16a913446384d07e4d8dbb2602f18bf0f
15dfbd2df433c9725239d6602bdfc56d00db62f88a1769a534d98cad50536c27
c7a40fb4aa017a0d17b535c1857d51f95b7ed8684a1ea860294bf5d897667839
6113bc3f3f972393acff5022f5ba95fb96c3d9038386ada49ccf244fa5f885fa
ce930238a02a55d7b6f13fdf9b3306de61c5c25513ed396c7e9a8dbd4c45dbd9
19c98cba0d8037a36b00d2c11cc24d25e1f388ba5093a4b6e9017508371fb34b
d2cbb7a5ef2ecdf7c6f8c965df5886a18ea0e630009cdedb3692ed1b8c77b487
078b3f37483cfc697fbd67120311e6109843804f5cae9c46f04fa1b51ba7120a
d435d7cf9077533a7c23129a8d7462e7596505e3990664dd5888fce40652bb14
d7c3c01d62fb59e186b2256894fb089c01e1aeda5dbd86a3004f1857a13313ad
0d5bb8b8da18abd1f3934103c501abf9b9cd3a6e1656853359a568dca3229765
cb21be437c800875400a94b2442bbe02ccaf31ee49e1f440aac378fc2b0b756d
f87dd2b6a63e850b6c2128ec139c6334b572b1c80698fcc30de6f39ffc788f4f
5[.]42[.]92[.]73:8081
185[.]196[.]9[.]38:8081
147[.]45[.]47[.]116:8081
101[.]99[.]92[.]169:8081
147[.45[.]47[.]80:8081
37[.]120[.]237[.]196:8081
95[.]216[.]41[.]236:8081
185[.]221[.]198[.]67:8081
194[.]33[.]191[.]159:8081
94[.]156[.]8[.]188:8081
ipinfo(.)io
db-ip(.)com
maxmind(.)com
hxxp://185[.]215[.]113[.]46/mine/plaza[.]exe
hxxp://185[.]215[.]113[.]46/cost/ladas[.]exe
hxxp://77[.]91[.]77[.]81/cost/go[.]exe
hxxp://77[.]91[.]77[.]81/cost/lenin[.]exe
hxxp://77[.]91[.]77[.]81/mine/amadka[.]exe

Yara

import "pe"
import "math"
import "hash"rule Mal_Infostealer_RisePro_v1.6{          meta:description = "Detects RisePro v1.6 Infostealer"author = "BlackBerry Threat Research"date = "2024-03-20"license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or
organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"strings:    $s0 = {3231F531F52DF52DF5CBCBA57DFD7DCBCBCB363231312E312DF5F52DF5CB09AF08D4080908090909F5CBCBCB59FD7DCBCBCB
82F6D4080809090809090DCB82F6AFAFAFAFAF08D4090DCBCBCB59FD81CBCBCB86B3AFAFAFAF08AFD409F5CB09F6AF0EAF0EAF0AAF0931
CBCBCB7DFD7DCBCBCB09D1AF0AAF0EAF0AAF0832CF86D1B3AFAFAFAFAFAF0832CBCBCB59FD81CBCBCB86F6D1F6AFAFAFAFAFD431CC09F
FF60AF60AB30AAF}        $s1 = {565AEAEAEAEA565AEAEAEAB2BEAEAEA56445AEAEAEA56445AEAEAEB2BA}        $s2 = {4321FFD9F4FFFFE1733AFFCF6630FFB75A2BFF9D4E27FF8A4321FF7FD1FDFF507791DA000000007496A9B081D1FDFF95D9FEFFA
9E1FEFFD66931FFCCEFFEFFDAF4FFFFE4F8FFFFDAF4FFFFCCEEFFFFD66B34FFA9E0FEFF95}$s3 = {5642FF6C533EFF6A503BFF684D39FF664B36FF654934FF634833FF64C6FDFFC4AEA1FFFBF1EBFFE5CFC4FFE4CEC1FFE3CBBFFFE3CABCFF
E3C7B9FFE2C6B6FFE2}$s4 = {537465616C6572436C69656E742E657865}condition:// Must be MZ fileuint16(0) == 0x5a4d and// Resource in Russianpe.resources[2].language == (0x0419) and// Must contain exact number of resourcespe.number_of_resources == 9 and// Section Permissionspe.sections[pe.section_index(".taggant")].characteristics&pe.SECTION_MEM_WRITE and// Must have all stringsall of ($s*)
}

参考来源

BlackBerry

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/368132.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Zabbix 配置WEB监控

Zabbix WEB监控介绍 在Zabbix中配置Web监控,可以监控网站的可用性和响应时间。Zabbix提供了内置的Web监控功能,通过配置Web场景(Web Scenario),可以监控HTTP/HTTPS协议下的Web服务。 通过Zabbix的WEB监控可以监控网站…

Java的NIO体系

目录 NIO1、操作系统级别下的IO模型有哪些?2、Java语言下的IO模型有哪些?3、Java的NIO应用场景?相比于IO的优势在哪?4、Java的IO、NIO、AIO 操作文件读写5、NIO的核心类 :Buffer(缓冲区)、Channel&#xff…

【代码随想录——图论——图论理论基础】

1. 图论理论基础 1.1 图的基本概念 二维坐标中,两点可以连成线,多个点连成的线就构成了图。 当然图也可以就一个节点,甚至没有节点(空图) 1.1.1 图的种类 有向图 加权有向图无权有向图 无向图 加权无向图无权无向…

.NET C# 使用OpenCV实现人脸识别

.NET C# 使用OpenCV实现模型训练、人脸识别 码图~~~ 1 引入依赖 OpenCvSHarp4 - 4.10.0.20240616 OpenCvSHarp4.runtime.win - 4.10.0.20240616 2 人脸数据存储结构 runtime directory | face | {id}_{name} | *.jpg id - 不可重复 name - 人名 *.jpg - 人脸照片3 Demo 3.…

松下Panasonic机器人维修故障原因

松下机器人伺服电机是许多工业自动化设备的关键组成部分。了解如何进行Panasonic工业机械臂电机维修,对于确保设备正常运行至关重要。 【松下焊接机器人维修案例】【松下机器人维修故障排查】 一、常见松下工业机械手伺服电机故障及原因 1. 过热:过热可…

vue2+element-ui新增编辑表格+删除行

实现效果&#xff1a; 代码实现 &#xff1a; <el-table :data"dataForm.updateData"border:header-cell-style"{text-align:center}":cell-style"{text-align:center}"><el-table-column label"选项字段"align"center&…

C++:求梯形面积

梯形面积 已知上底15厘米&#xff0c;下底25厘米&#xff0c;问梯形面积值是多少&#xff1f; #include<iostream> using namespace std; int main() {//梯形的面积公式&#xff08;上底下底&#xff09; 高 2//上底变量、下底变量int s,d,h,m;s15;d25;h 2*150 * 2/s ;…

相亲交友APP系统婚恋交友社交软件开发语音视频聊天平台定制开发-婚恋相亲交友软件平台介绍——app小程序开发定制

互联网飞速发展的时代&#xff0c;相亲交友软件成为了许多年轻人首选的相亲方式&#xff0c;越来越多的单身男女希望在婚恋交友软件平台上寻找灵魂伴侣&#xff0c;相亲交友软件因此具有很高的市场价值。 多客婚恋相亲交友系统是一款定位高端&#xff0c;到手就能运营的成熟婚恋…

Redis 管道(Pipeline)是什么?有什么用?

目录 1. redis 客户端-服务端模型的不足之处 2. redis 管道是什么&#xff1f;有什么好处&#xff1f; 3. 管道的使用场景 4. 管道使用的注意事项 1. redis 客户端-服务端模型的不足之处 众所周知&#xff0c;redis 是一个客户端-服务端的模型设计&#xff0c;客户端向服务…

SALOME源码分析:View Model

作为一款开源的CAx(CAD/CAE/CAM)软件集成平台&#xff0c;为了实现各个Module支持不同的数据显示与交互方案&#xff0c;出于扩展性的考虑&#xff0c;SALOME引入了View Model&#xff0c;用以支持OpenGL、OCC、VTK、ParaView、Qwt等数据显示与交互实现。 本文将以OCCViewer、…

一文搞懂 java 线程池:ScheduledThreadPool 和 WorkStealingPool 原理

你好&#xff0c;我是 shengjk1&#xff0c;多年大厂经验&#xff0c;努力构建 通俗易懂的、好玩的编程语言教程。 欢迎关注&#xff01;你会有如下收益&#xff1a; 了解大厂经验拥有和大厂相匹配的技术等 希望看什么&#xff0c;评论或者私信告诉我&#xff01; 文章目录 一…

PHP宜邦家政服务管理系统-计算机毕业设计源码04426

目 录 摘要 1 绪论 1.1 选题背景与意义 1.2开发现状 1.3论文结构与章节安排 2 宜邦家政服务管理系统系统分析 2.1 可行性分析 2.1.1 技术可行性分析 2.1.2 经济可行性分析 2.1.3 操作可行性分析 2.2 系统功能分析 2.2.1 功能性分析 2.2.2 非功能性分析 2.3 系统用…

力扣hot100 -- 动态规划(上)

目录 ❄技巧 &#x1f33c;爬楼梯 &#x1f354;杨辉三角 &#x1f30a;打家劫舍 &#x1f40e;完全平方数 &#x1f33c;零钱兑换 &#x1f33c;单词拆分 ❄技巧 动态规划dp-CSDN博客 &#x1f446;花 5 分钟快速刷一遍 花 10 分钟浏览一下 线性DP 背包DP&#x1f447…

VS展示6个错误中的0个解决方法

左键点击展示6个错误中的0个 左键点击展示23个警告中的0个

国产强大免费WAF, 社区版雷池动态防护介绍

雷池WAF&#xff0c;基于智能语义分析的下一代 Web 应用防火墙 使用情况 我司于2023年4月23日对雷池进行测试&#xff0c;测试一个月后&#xff0c;于2023年5月24日对雷池进行正式切换&#xff0c;此时版本为1.5.1。 里程碑纪念 后续一直跟随雷池进行版本升级&#xff0c;当前…

怎样使用js技术实现Chrome投屏功能?

在Web前端技术中&#xff0c;直接控制浏览器窗口或标签页从主屏投屏到副屏&#xff08;如PPT的演讲者模式&#xff09;并不简单&#xff0c;而且直接控制浏览器窗口从主屏投屏到副屏的功能超出了Web标准的范畴&#xff0c;并且涉及到用户系统级别的设置和权限&#xff0c;因此不…

ETCD概述--使用/特性/架构/原理

ETCD概述 ETCD是一个高度一致的分布式键值存储, 它提供了一种可靠的方式来存储需要由分布式系统或机器集群访问的数据(高可用, 强一致性)​全局的配置服务中心. 本文将介绍其特性、相关操作和常见的应用场景. 如果想了解更多, 请查阅我的技术博客: https://dingyuqi.com 特性 …

C语言分支和循环(下)

C语言分支和循环&#xff08;下&#xff09; 1. 随机数生成1.1 rand1.2 srand1.3 time1.4 设置随机数的范围 2. 猜数字游戏实现 掌握了前面学习的这些知识&#xff0c;我们就可以写⼀些稍微有趣的代码了&#xff0c;比如&#xff1a; 写⼀个猜数字游戏 游戏要求&#xff1a; 电…

git常用命令速查表

Git相关概念简述 版本库&#xff1a;git在本地开辟的一个存储空间&#xff0c;一般在 .git 文件里。工作区(workspace)&#xff1a; 就是编辑器里面的代码&#xff0c;我们平常开发直接操作的就是工作区。暂存区&#xff08;index/stage&#xff09;&#xff1a;暂时存放文件的…

13. Revit API: Filter(过滤器)

13. Revit API: Filter&#xff08;过滤器&#xff09; 前言 在讲Selection之前&#xff0c;还是有必要先了解一下的过滤器的。 对了&#xff0c;关于查找一些比较偏的功能或者API的用法&#xff0c;可以这样查找 关键词 site:https://thebuildingcoder.typepad.com/ site是…