1、 2022 年度窃密木马攻击态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 1 概述 3 2 2 全年窃密木马攻击态势 4 2.1 全年攻击事件 4 2.2 地域分布 6 2.3 家族统计 6 3 3 窃密攻击技术特点 8 3.1 入侵传播 8 3.2 防御规避 12 3.3 数据窃取 13 4 4 窃密攻击发展趋势 16 4.1 新家族不断涌现，产品和服务双向升级 16 4.2 窃密功能更加模块化和定制化 17 4.3 开发跨平台化，对抗程度加强 18 4.4 多因素身份认证攻击日渐加剧 19 4.5 攻击“多维度”叠加，威胁进一步加深 20 5 5 总结 21 6 6 附录

2、 1:典型窃密木马家族 22 6.1 RedLine 22 6.2 FormBook 26 6.3 AgentTesla 31 6.4 Raccoon 35 6.5 Lokibot 39 6.6 Vidar 41 主动安全 3 1 1 概述 自全球进入数字化转型阶段以来，数字驱动经济增长，机遇与风险并存，数字化转型带来的以数据为核心的威胁态势不断升级。随着网络犯罪即服务（CCaaS，Cypher crime as a Service）模式的兴起，网络攻击逐渐走向商业化、产业化，直至发展成如今成熟的网络犯罪生态圈。在这种模式下，攻击成本和技术门槛双双降低，以数据窃取、数据泄密和数据破坏为目的的攻

3、击面持续扩大，全球网络空间面临的以数据为主的网络威胁不断泛化，时刻侵蚀网络安全壁垒。新华三攻防实验室持续跟踪数据窃密等网络攻击活动，基于对全网窃密木马攻击活动的监测、分析与处置，结合国内外有关窃密木马的研究报告进行综合研判、梳理汇总为2022 年度窃密木马攻击态势报告。本报告围绕窃密木马全年攻击态势展开，分析介绍典型窃密木马家族，总结窃密木马技术特点，探索当前窃密木马的发展趋势，旨在帮助机构组织、企业、个人对窃密木马的传播方式、功能、目标以及危害性有更加全面的了解，降低窃密木马带来的风险。主动安全 4 2 2 全年窃密木马攻击态势 2022 年全球范围内，数据窃密类恶意软件活跃度持续走高，窃密

4、攻击事件频频发生，网络数据资产安全正面临着日趋严峻的挑战。据 Group-IB 统计，仅在 2022 年上半年就有超 30 个网络犯罪团伙通过窃取即服务（SaaS,Stealer as a Service）模式分发窃密木马，共感染超过 89 万台主机，窃取超过 5000 万个账户凭据。由此可见，窃密木马作为一个“被低估”的网络威胁，尤其在大型企业等高价值目标中，其危害程度和影响范围在某种程度上堪比勒索软件。新华三攻防实验室从窃密攻击事件、窃密地域分布、流行窃密木马等方面进行统计分析，现总结流行窃密木马全年攻击态势如下：2.1 全年攻击事件 2022 年窃密木马攻击事件不断发生，攻击方式多种多样

5、，受害者遍布全球各地，下图列举了一些影响较为严重的窃密攻击事件。主动安全 5 图 1 全年窃密木马攻击事件案例 2022 年 2 月初，在 Microsoft 宣布 Windows 11 将完成最后升级的第二天，攻击者就伪造 Microsoft官网向用户分发伪造的 Windows 11 升级安装程序，诱使用户下载并执行 RedLine 窃密木马。尽管分发站点在较短时间内被关闭，但仍导致了 RedLine 的大范围传播，受害者大量数据遭受窃取。2022 年 5 月，CPR 研究人员披露了一起对德国汽车制造商和经销商实施的窃密攻击活动。攻击者向特定目标发送多封钓鱼邮件，诱饵附件为汽车购买合同和转账

6、收据，用户一旦打开附件就会后台下载运行 Raccoon 和 AZORult 窃密木马，导致各种登录凭证及其他重要商业数据遭窃取。2022 年 9 月，“魔盗”窃密木马伪装成 CorelDraw、IDA Pro、WinHex 等多款实用工具软件在国内进行大规模传播，每日上线的受害者主机数量超过 1.3 万。该窃密木马会收集浏览器书签和历史数据、邮箱账户等重要数据，并且可更改后续攻击载荷，如勒索、挖矿、窃密等类型的恶意载荷，给受害者带来更为严重的危害。2022 年 9 月，科技公司 Uber 遭受了网络攻击导致严重的数据泄露。据 Group-IB 发布的报告，事件起始于 Uber 在巴西和印度尼西

7、亚的至少两名员工个人设备感染了 Raccoon 和 Vidar 窃密木马，登录凭据被窃取并泄漏到暗网。攻击者在暗网上购买到这些凭据，对 Uber 员工发起窃密攻击，最终成功入侵并窃取到了 Uber 公司内部数据。主动安全 6 2022 年 12 月，Python 存储库 PyPI 平台受到一波新的窃密木马投毒攻击，以窃取其他开发人员的信息数据。攻击者上传了近百个恶意 Python 包，用户使用后会释放 W4SP Stealer 窃密木马，这些恶意包下载次数攻击过万次。2.2 地域分布 新华三攻防实验室统计窃密木马受害者在全球范围的地域分布情况，如下图所示。图 2 2022 窃密木马受害者地域分

8、布 经分析，北美洲、欧洲和亚洲是窃密木马受害者的“重灾区”，其他地区也受到不同程度的影响。其中，北美地区受到的窃密木马攻击最为严重，美国以受害者数量占比 33.47%占据全球首位，加拿大以占比 12.02%排在第二。欧洲区域的受害者主要集中在法国、俄罗斯、捷克、德国和西班牙等地区，亚洲区域以中国和韩国较为严重。总体而言，全球范围内互联网和经济发达地区的受害程度普遍较高，正是由于这些地区数据资产价值更高，网络用户基数更大，窃密木马更加有利可图。2.3 家族统计 2022 年度全球范围内流行的窃密木马超过 60 种，相比 2021 年增加了十余个新型窃密木马家族。流行窃密木马家族 TOP10 统计

9、如下图。主动安全 7 图 3 2022 年窃密木马家族 TOP10 窃密木马的流行度离不开其背后的运营团伙大肆宣传，其中，商业窃密木马曝光率更高。RedLine 作为商业窃密木马的代表，因其窃取数据类型多、操作便捷、售价低而被广泛传播，在野样本超过 10 万，跃居为 2022 年度最活跃的窃密家族。排名第二的 AgentTesla 家族是从 2014 年来一直活跃至今的老牌窃密家族，在经过多次版本迭代后，已经具备较强的数据窃取能力，支持定制化、界面友好等一系列特点使其比同类商业窃密木马更胜一筹。擅长利用钓鱼邮件传播的 FormBook 窃密木马在本年度持续猖獗，据 CPR报告，截止 10 月份

10、，FormBook 已感染全球 3%的机构。此外，Lokibot、Raccoon 等商业窃密木马也各具特点，本年度活跃度只增不减。Raccoon3.21%Vidar3.58%AZORult3.69%Snake Keylogger4.42%Lokibot4.54%Qakbot4.65%Pony11.77%FormBook12.57%AgentTesla14.75%RedLine15.42%其他21.38%主动安全 8 3 3 窃密攻击技术特点 全球数字化转型背景下网络资产加速扩张，数据呈多样性、分散性、复杂性。窃密木马攻击者为了成功入侵并尽可能地获取更多信息数据，在入侵传播方式、防御规避技术、窃

11、密数据类型上都做了诸多尝试。在入侵传播方式上，攻击者除了积极利用传统的钓鱼邮件、虚假破解/激活软件、远程代码执行漏洞外，还会利用更加高级的手段，如供应链攻击方式投放恶意载荷。在防御规避技术上，窃密木马渐倾向于将多种技术结合起来，层层嵌套最终形成“套娃式”载荷，不仅能够躲避防护软件的检测，一定程度上也会给专家研究分析增加难度。从窃密数据类型上来看，窃密的内容已发展为无所不窃，普通用户使用最频繁的浏览器数据仍然是数据窃取的主要目标，同时，为达到快速变现，针对加密数字货币的窃取也愈发受到攻击者“青睐”。3.1 入侵传播 窃密木马的入侵方式多种多样。统计显示，排名 TOP3 的入侵方式分别为网络钓鱼、

12、破解/激活软件以及远程代码执行漏洞。这些方式由于效果较好而被广泛使用。图 4 2022 年窃密木马入侵方式统计 46.15%25.00%11.54%3.85%13.46%网络钓鱼破解/激活软件远程代码执行漏洞供应链攻击其它 主动安全 9 网络钓鱼 窃密木马使用最多的入侵方式是发送钓鱼邮件或短信，攻击者会精心构造邮件或短信内容以引诱目标上钩，载荷可能是恶意文档、包含可执行程序的压缩包或者是用于下载恶意载荷的链接，被攻击者一旦打开文档或执行相关程序，窃密木马就会被植入。2K 是众多流行游戏的发行商，旗下包括 NBA 2K、无主之地、WWE 2K、生化奇兵、文明系列等游戏。2022 年 9 月，黑客

13、冒充 2K 官方邮箱向游戏玩家发送领取票据的钓鱼邮件，邮件内容包含一个指向“2K Launcher.zip”的网络链接，但实际下载的文件是经过伪装的 RedLine 窃密木马，如下图。图 5 与 RedLine 相关的钓鱼邮件（图源 Reddit）破解/激活软件 通过虚假或捆绑破解/激活软件来传播窃密木马的方式也倍受攻击者欢迎。攻击者将窃密木马伪装成破解/激活工具或者将其进行捆绑，安全意识薄弱的受害者在需求急切的情况下很容易中招。2022 年 9 月，CNCERT 监测到一批伪装成 CorelDraw、IDA Pro、WinHex 等多款实用工具进行传播的“魔盗”窃密木马。该木马被安装后会收集

14、浏览器历史记录、书签数据、邮箱账户等数据，并加密回传至攻击者服务器。由于破解/激活软件自身的特殊性，攻击者通过安装教程来诱导用户关闭安全软件，以此躲避检测。经跟踪发现，境内受感染主机每日上线数量破万，影响颇为严重。主动安全 10 远程代码执行漏洞 由于开发者的疏忽或架构本身的缺陷，攻击者可以构建特定的程序或数据，使软硬件以非预期方式运行，严重情况下可以达到任意代码执行的效果，最终控制受害者的机器。随着数字化进程的推进，信息系统日渐复杂化，安全漏洞不可避免。同时，由于漏洞具有低交互性、持久性等特点，攻击者始终热衷于利用漏洞进行入侵传播。除了对影响广泛的老漏洞持续利用，当新的漏洞被披露，攻击者也会

15、第一时间对其进行分析研究并迅速武器化。表 1 窃密木马常用漏洞 CVE 漏洞名称 相关家族 CVE-2017-0199 Microsoft Office RTF文档远程代码执行漏洞 AgentTesla CVE-2017-8570 Microsoft Office远程代码执行漏洞 AgentTesla FormBook CVE-2017-8759 Microsoft.NET Framework远程代码执行漏洞 java KeyLogger CVE-2017-11882 Microsoft Office内存损坏漏洞 AgentTesla Raccoon CVE-2021-26411 Micros

16、oft Internet Explorer内存损坏漏洞 RedLine CVE-2021-40444 Microsoft MSHTML代码执行漏洞 FormBook CVE-2022-1096 Chrome V8 JavaScript引擎远程代码执行漏洞 RedLine CVE-2022-30190 ms-msdt远程命令执行漏洞 Qakbot XFiles CVE-2022-1096 是由匿名安全研究人员报告的 Chrome V8 JavaScript 引擎中的高严重性类型混淆漏洞，攻击者利用该漏洞可以执行任意代码，所有使用 Chromium 的浏览器如 Chrome、Edge 都受该漏洞影

17、响。2022 年 5 月，RedLine 窃密木马利用 CVE-2022-1096 漏洞进行入侵，最终窃取了数百万用户的信息。供应链攻击 供应链攻击又称为第三方攻击，在供应关系中，攻击者主要针对上游提供服务或软件的供应商发起攻击，从而影响到下游用户。作为一种新型威胁，供应链攻击具有突破口多、破坏力强、波及面广、隐蔽性高等特点，已成为最难以防御的攻击手段之一。主动安全 11 2022 年 12 月，攻击者将 W4SP Stealer 开源窃密程序打包成各种模块和工具，上传到 Python 软件存储库 PyPI 上。Python 开发者安装并加载相应的恶意库后，W4SP Stealer 窃密木马就

18、会窃取 PayPal、加密货币以及 MFA 令牌等数据。经统计，在 PyPI 网站中，2022 年攻击者已上传 100 个以上恶意库，累计下载量破万。图 6 PyPI 恶意库下载量（部分示例，图源 BleepingComputer）其他入侵方式 除了传统的入侵方式，一些新的方式也被攻击者采用。例如，ZingoStealer 窃密木马攻击者会在知名视频网站 YouTube 上传游戏外挂演示视频，并在视频简介处添加伪装成外挂的木马载荷下载链接，诱使用户下载安装。类似地，Google 搜索引擎提供了“按点击付费”（PPC，Pay Per Click）服务，Mars Stealer 利用该服务使其仿冒

19、的 OpenOffice 网站在搜索结果中排名第一，导致想要安装 OpenOffice 的人很可能根据该排名进入网站下载安装程序，成为窃密木马受害者。主动安全 12 图 7 Mars Stealer 仿冒的 OpenOffice 网站占据 Google 搜索头条 3.2 防御规避 为了提高攻击成功率，窃密木马会采用各种防御规避手段，隐藏自身的可疑特征，躲避安全软件的检测。经统计，2022 年流行窃密木马常用的防御规避手段占比如下图。图 8 2022 年流行窃密木马防御规避手段占比 加壳/混淆28.30%虚拟化/沙箱规避22.64%禁用/修改防护软件18.87%进程注入18.87%隐写术3.77

20、%rundll32/regsvr32执行3.77%DLL侧加载1.89%二进制填充1.89%主动安全 13 加壳/混淆仍是最常用规避手段 加壳/混淆技术通过对恶意程序进行加密、编码和混淆，旨在掩藏恶意程序的静态特征，不仅增加人工分析难度，也能够一定程度上规避安全软件的检测。随着市面上通用的加壳/混淆技术越来越成熟，使用成本极低，攻击者往往倾向于使用这类技术，并将其广泛应用于各种恶意软件中。据统计，在 2022 年流行的窃密木马家族中，超过七成的家族使用了加壳/混淆技术，可见，该技术仍然是最常用的防御规避手段之一。多重规避手段持续叠加 单一的规避手段起到的防御作用是有限的，窃密木马往往会将多种手

21、段结合以达到更强的防御效果。统计显示，近五成的窃密木马家族均使用 3 种及以上的规避手段。如老牌窃密家族 AgentTesla 封装了 4 层载荷，使用的规避手段包括加壳/混淆、图片隐写、进程注入、虚拟机/沙箱规避等，执行流程如下图所示。图 9 AgentTesla 防御规避技术 3.3 数据窃取 随着窃密木马快速发展，数据窃取量也在不断增加。CTU 研究人员发现，通过窃密木马窃取的账户凭证 在某个地下市场中出售 220 万份，相比去年的 87 万，同比增长超过 150%。同时，在不断演化升级中，窃密木马也衍生出众多窃取特定目标数据类型的木马种类，如专门针对 web 浏览器，收集浏览器中的敏感

22、用户数据、cookie 和网络数据等，或针对登录凭据，从受害者机器上扫描与凭据相关的文件。无论是哪种，这些窃密木马旨在获取更多更充分的数据达到以牟利为主的最终目的。考虑到敏感数据的变现价值和影响范围，攻击者在对窃取数据目标的选择上具有一定程度的倾向性，下图统计了 2022 年流行窃密木马主要窃取的数据类型。主动安全 14 图 10 2022 年流行窃密木马窃取的数据类型统计 结合全球范围内窃密攻击事件来看，2022 年窃密数据主要呈现以下三个特点：网络浏览器数据是窃密攻击主要目标 网络浏览器作为主要的互联网入口始终存在海量使用需求，其中隐含的数据价值一直倍受窃密木马攻击者觊觎。同时，伴随着用户

23、定制化需求的激增，浏览器扩展程序应势而起，一定程度上也助长了窃密木马的传播。网络浏览器窃密内容包括窃取浏览器自动填充、用户登录、cookie 以及金融账户相关等数据。从攻击成本上看，窃密木马获取浏览器数据较于其他数据更为容易，由于此类数据存储在本地缓存文件中，窃密木马入侵后实施本地搜索即可轻松获取到。另外，浏览器数据的变现价值更大，尤其与金融、加密货币相关的门户网站，一旦窃密木马窃取相关口令，意味着攻击者随时可以攻破用户账户或钱包地址，从而造成用户财产的直接损失。变现更快的加密货币钱包更受“青睐”据 Chainalysis 统计，2022 年加密货币被盗 38 亿美元，高出 2021 年 58

24、%，创下历史纪录。本年度，全球范围内针对加密货币钱包的窃密事件激增，归咎于新兴窃密木马如 Luca Stealer、ViperSoftX 等的纷纷涌现，也不乏老牌窃密家族如 Vidar 以及在意外中失去主力后又带着新版本回归的 Raccoon v2 也加入到这一暴利行业当中。网络浏览器相关17.05%本地数据、截屏15.50%客户端软件相关13.18%加密货币钱包地址12.40%用户凭据10.85%系统信息10.47%远程访问相关7.75%电子邮件相关5.43%键盘记录4.65%剪切板2.71%主动安全 15 对加密货币钱包的窃密攻击的特点在于，攻击者会根据加密货币钱包的“冷存储”（将货币离线

25、存储，通常存储在物理设备上）和“热存储”（将数字货币存储在应用程序或在线平台中）分别制定窃取策略。更有甚者将目光瞄准开源的去中心化金融（DeFi，Decentralized Finance）协议，寻找其中安全问题，利用区块链交易的不可逆性，直接劫持与加密货币转账有关的 API，将资金重定向到“混币服务”中，巨额数字资产瞬间无从追踪。从攻击手法上看，窃取加密货币与窃取普通数据相比并无二致，但在变现价值上，加密货币因其交易便利、不受管制、匿名化等特点，使攻击者能够直接获得巨额利益的归属权，是本年度窃密攻击的首选目标。多重数据窃密已成为主旋律 按照上图对网络浏览器、本地数据、客户端软件等十种流行的被

26、窃数据类型，我们统计了 2022 年流行的窃密木马家族窃取数据类型种数占比，如下图所示。图 11 2022 年流行窃密木马窃取数据种数 统计发现，每个流行的窃密木马至少窃取 2 种以上的数据类型，窃取 4-6 种数据类型的窃密木马最多，占总量的 64.81%，窃取多种数据类型已成为当前窃密攻击的主旋律。例如，窃密木马 HawkEye Keylogger不仅专门窃取键盘击键记录，还会收集 Chrome 浏览器数据、桌面截图等数据。值得一提的是，其针对特定数据类型的窃取能力更强，在获取目标数据上做的努力更多，HawkEye Keylogger 在感染当前受害主机后，还会将键盘击键记录模块通过 US

27、B 传播感染到其它系统主机，以扩大攻击范围。类似窃密家族还包括以窃取邮件凭据为主的 StrelaStealer。事实上，由于入侵攻击成本较大，单一窃取某种特定类型的数据对于攻击者来说无疑是一种低效率的行为。就受害者而言，更多种类的数据被窃取意味着其面临的风险和威胁更大。20.37%64.81%12.96%1.85%23种46种69种9种以上 主动安全 16 4 4 窃密攻击发展趋势 4.1 新家族不断涌现，产品和服务双向升级 受世界范围内地缘因素影响以及利益驱使，窃密木马运营商推出众多新型窃密木马以及更精细的窃密服务来满足更高的窃密需求。经研究，新兴窃密木马能在庞大的地下窃密市场占据一席之地，

28、与其使用非传统的编程语言如 Go、Rust、DLang 有很大的关系。从攻击者角度，他们急于立品牌、涨名气，新语言版本的恶意工具问世不仅例行扩充武器库，更是大大提升团伙“知名度”；从防御者角度，攻克新语言版本的恶意软件所花费的人力、时间开销比普通周期更大。这种攻守对抗过程中产生的时间差是导致该类恶意软件在一段时间内流行度飙升的主要原因。例如，专注于加密货币钱包的新兴窃密家族 Luca Stealer 正是基于 Rust 语言开发，攻击者声称只用了六个小时就完成开发，在 VirusTotal 的检测率仅为 22%。同样，在 11 月，安全人员披露了一种基于 Go 语言的窃密家族 Aurora S

29、tealer，而该恶意软件早在 7 月份就已经问世，在很长一段时间内都未被发现。一些流行的商业窃密木马，为了凸显自己比同类竞品更具有优势，在地下论坛高调宣传自己的产品与服务，如 RedLine，在升级后针对不同客户群体分别推出精简版和专业版两种服务，其中，专业版支持对超 100种加密货币钱包的窃取。此外，RedLine 提供英文和俄文两种语言的安装使用手册，这一做法使 RedLine面向了更广泛的客户群体。图 12 RedLine 安装手册 主动安全 17 4.2 窃密功能更加模块化和定制化 随着安全防御壁垒逐层加固，恶意软件高度模块化是必然趋势，无论在避免被“一锅端”还是在新技能扩展上，模块

30、分离式攻击已成为当前流行恶意软件惯用出牌方式，窃密木马也不例外。研究发现，针对特定数据的高度模块化窃密木马不仅会分阶段发起不同的攻击，还会分析目标环境和防御措施来调整窃密策略。例如，老牌窃密家族 TrickBot 被披露在一次攻击活动中投放九个功能不同的模块，有负责进行自我复制和横向传播的，有负责搜集浏览器中有价值的 cookie 信息的，有负责窃取用户凭据的等等，这些模块被应用到攻击的不同阶段中，以窃取受害者敏感数据为最终目的。图 13 TrickBot 各功能模块 另外，窃密木马攻击往往具有较强的目标针对性，尤其是高价值的大型目标。7 月份，一种基于 php 语言的窃密家族 Ducktai

31、l 瞄准 Facebook 财务人员和管理员的商业账户，一方面，窃取个人账户和财务相关数据；另一方面，利用 Facebook 商业账户在平台上投放广告，最终由 Facebook 支付。据统计，投放的广告费用高达 600,000 美元，严重损害该企业的数据隐私和财产安全。类似攻击事件如 YTStealer 窃密家族，专门窃取全球最大的视频网站 YouTube 用户账号并在地下市场出售，粉丝量越多，发布视频越多的账号售价越高。不难发现，随着窃密木马加速演化，窃密功能更加模块化、定制化，目标针对性也更明显，如针对特定行业使用定制工具、精心构造钓鱼邮件针对特殊目标等。在未来，窃密木马始终将是以持续性牟

32、利为目的，以高价值、变现快为目标的更危险的网络威胁衍生品。主动安全 18 4.3 开发跨平台化，对抗程度加强 为扩大攻击范围，新兴窃密木马逐渐转向使用可跨平台的编程语言如 Go、Rust 等进行开发，以便适配到多种不同的操作系统如 Windows、Linux 和 macOS 中。一方面，跨平台的编程语言因其高开发效率和可移植性特点而受到恶意软件开发人员的广泛推崇，另一方面，这些编程语言编写的恶意软件可以在一定程度上躲避安全工具的检测，并可以给研究人员增加逆向分析的难度，无形中为攻击者实施下一步攻击留足了时间。本年度，使用跨平台编程语言的窃密木马频频出现，2022 年 4 月，Aurora 首次

33、在地下论坛发布，使用 Go语言开发，背后的运营团伙宣称 Aurora 具有最先进的数据窃取能力并附带远程访问功能。同时，由于Aurora 的防御规避能力较强，能够躲避大部分安全检测软件，因此在短时间内受到大量用户的追捧。6 月，同样基于 Go 语言的新型窃密木马 LOLI Stealer 首次“亮相”，专门窃取用户密码、cookie、屏幕截图等敏感数据。更有甚者，7 月，一个由 Rust 编写的新型窃密木马 Luca Stealer 的源码被其开发者发布到开源平台 GitHub 上，随着窃密木马源码被泄露，无疑会引起其他攻击者的关注并对此进行利用，不难预见，后续将会有更多的、更复杂的跨平台窃密

34、木马出现。图 14 开源和免费版的 Luca Stealer 宣传页面 主动安全 19 4.4 多因素身份认证攻击日渐加剧 近年来，由弱口令暴破、钓鱼邮件、撞库攻击等引发的入侵威胁日趋严重，各组织机构、大型企业为筑牢安全屏障，从传统的单一密码认证转向多因素身份认证（MFA，Multi-Factor Authentication）布局，将多种认证方式如静态口令、动态口令、生物特征等组合成一套完整的防御机制。通过对访问权限增加多重保护，能够有效避免单一认证的薄弱不足，但也需要个人通过层层较为繁琐的认证步骤。这种情况下，攻击者开始针对 MFA 认证发起针对用户的疲劳性攻击。以登录系统举例，在启用MF

35、A 机制的情况下，登录时需要用户输入静态密码以及收到由系统下发的登录请求确认消息后才允许用户正常访问。攻击者通过其它方式突破第一重认证后，随即频繁发起登录确认请求消息流，然后通过电子邮件、消息平台或伪装成 IT 相关人员说服用户确认 MFA 请求，或利用用户对大量请求消息产生疲劳感而放松警惕点击确认后，成功入侵目标，这种攻击方式被称为 MFA 疲劳攻击。图 15 MFA 身份认证确认案例（图源 Secret Double Octopus）9 月份，网约车巨头 Uber 大量数据遭窃密泄露，事件起因是攻击者利用 MFA 疲劳攻击，向一名 Uber 员工发送了一个多小时的请求确认消息，并伪装成 I

36、T 技术人员说服该员工点击确认请求消息，在成功获取VPN 账户凭证后下发 Raccoon 窃密木马窃取内网数据。无独有偶，Microsoft 也遭受了类似手法的攻击，导致 37GB 源代码被泄露。另外，窃密木马针对 MFA 的绕过攻击也正浮出水面，新兴窃密家族 Rhadamanthys 和 Erbium 中会窃取专门针对 MFA 的会话令牌，在日志中获取有效令牌，窃密攻击者可以在令牌有效期内绕过 MFA 机制，随意登录系统。主动安全 20 4.5 攻击“多维度”叠加，威胁进一步加深 窃密木马在持续性的演变升级中，除了窃取数据功能，还会捆绑夹带具备其它恶意功能的程序，甚至还会为攻击者留下后门，用

37、于发起进一步攻击。早在 2020 年，就有安全研究人员发现 AZORult 窃密木马被用于下载 Hermes 勒索病毒，充当勒索病毒的下载器，攻击者则利用勒索病毒加密受害者主机数据文件以实施勒索攻击。这种从窃密到勒索的双重叠加攻击行为，是集窃密间接获利与勒索直接获利为一体的威胁行为代表，给受害者带来的也是成倍的打击。此外，2022 年 3 月，一个名为“Haskers Gang”的恶意团伙大肆传播新型窃密木马 ZingoStealer，该木马不仅数据窃取功能强大，在新版本中还附加 XMRig 加密货币的挖矿功能。总体而言，这种将窃密、挖矿、勒索等威胁行为交织在一起的叠加攻击事件越来越多，威胁程

38、度不断加深，给受害者带来的损失也更为严重。主动安全 21 5 5 总结 随着全球范围内数字化转型进程加速，网络数据资产日渐扩张，暴露的攻击面也更多，从而给了恶意软件更多的可趁之机。窃密木马作为恶意软件的一个分支，以其极高的隐蔽性、成熟的商业化模式以及巨大的数据价值等特点，不断寻求更复杂的技术手段、更具针对性的定制攻击，加速扩大攻击势力范围，已发展为危害网络数据资产的主要威胁之一。面对日益严峻的网络空间安全威胁，以及网络攻击产业化、生态化的趋势，各组织机构、企业乃至个体，应需了解自身网络安全脆弱点，充分把握当前网络威胁格局，专注构建主动安全防御体系，在网络空间各方威胁势力并起的大潮中防患于未然。

39、主动安全 22 6 6 附录 1:典型窃密木马家族 6.1 RedLine 家族简介 作为 2022 年最知名、最为活跃的窃密木马之一，RedLine 最早于 2020 年 2 月出现，并在两年内迅速超越同类竞品成为地下市场最受欢迎的商业窃密木马。RedLine 窃密木马属于典型的 SaaS 模式，负责木马开发的人员时刻在最前沿关注最新的网络变化和目标动向，增强完善窃密木马功能，扩充武器库，负责销售运营的人员以相对低廉的价格公开兜售精简版和专业版两种版本，并在多个论坛、群组等渠道大肆宣传，以吸引更多的市场用户。下图展示了 RedLine 首次在黑客论坛亮相时发布的营销内容，详细介绍了该木马的窃

40、密功能和服务范围。图 16 RedLine 窃密木马功能介绍页面 RedLine 之所以在全球范围内广泛传播，主要归因于背后的运营团伙擅长通过多渠道，利用热点事件大肆分发恶意载荷。2022 年 2 月，Microsoft 宣告 Windows 11 即将完成最后升级，隔天，一个伪装成 Windows 主动安全 23 11 系统版本下载站点的恶意域名“windows-”即被注册，诱骗用户在下载 Windows11 系统安装程序的同时附带了一个名为“Windows11InstallationAssistant.zip”的 1.5MB 压缩包，经分析该压缩包中压缩率高达 99.8%，解压后的文件即为

41、 RedLine 窃密木马的恶意载荷。10 月份，一个模仿在线文件格式转换工具 Convertio 的高级钓鱼网站被披露用来传播 RedLine，当用户选择文件类型并单击页面上的“转换”按钮后，该钓鱼站点会将用户重定向到下载页面下载附带 RedLine 恶意载荷的 zip 压缩文件。诸如此类散播分发事件频频出现，致使 RedLine 在短时间内不断传播并发起窃密攻击。家族画像 Redline 首次出现时间 2020-02 传播方式 钓鱼邮件、钓鱼网站、伪装成安装包等 针对平台 Windows 编写语言 C#(.NET)窃取信息类型 系统信息 桌面截图 浏览器信息例如密码、自动填充等 加密货币钱

42、包地址 FTP、IM等远程客户端数据 Telegram、Discord、Steam和VPN等应用程序数据 回传方式 http 关键行为分析 1.数据窃密 RedLine 窃密数据范围十分广泛，从恶意行为上来看，所有窃取对象都被封装在名为 ResultFactory 的函数中。主动安全 24 2.浏览器数据 RedLine 首先获取已安装的浏览器信息，再从每个浏览器中收集详细数据。以 Chrome 为例，RedLine 会扫描用户登录密码、cookie 记录、自动填充数据以及浏览器缓存数据。3.加密货币钱包 与其他流行窃密木马家族一致，RedLine 同样会窃取加密货币钱包，通过搜索加密货币钱包

43、的扩展名来获取钱包地址，如 Armory 离线钱包、Atomic 分布式钱包等。主动安全 25 4.VPN RedLine 还会关注 NordVPN、OpenVPN 和 ProtonVPN 程序，对于 NordVPN，RedLine 搜索目录中的名为 user.config 的 xml 文件，查找包含“/setting/value”的用户凭据。对于 OpenVPN 和 ProtonVPN，RedLine分别从对应目录中搜索 config 和 ovpn 文件获取凭据信息。主动安全 26 6.2 FormBook 家族简介 FormBook 窃密木马最早出现于 2016 年 2 月，由一个名为 n

44、g-Coder 的用户在地下市场宣传兜售，FormBook 最初版本只是一个简单的表单抓取工具，订阅价格每年仅需 120 美元。图 17 FormBook 首次公开及介绍 FormBook 的缔造者 ng-Coder 提供许多加壳工具如 Net-Protector 来加密核心代码，避免被反病毒引擎查杀。ng-Coder 宣称如果产品在购买的 30 天内被任何防病毒引擎检测到，他会再次提供免费服务。时隔一年，FormBook 因其价格低廉已成为网络犯罪分子的热门选择，并开始发起一系列窃密攻击。2017 年 10月 6 日，ng-Coder 突然宣布停止对外售出 FormBook，原因是 Form

45、Book 被用在钓鱼邮件中的行为已经违反作者本意。主动安全 27 图 18 ng-Coder 宣布 FormBook 停止对外销售 即使原作者关闭了 FormBook 销售渠道，但 FormBook 已经在全球范围内流行蔓延起来。2017 年底，攻击者们使用 FormBook 来瞄准目标价值更大的实体行业如国防、航空航天和制造业。FormBook 从发展至今，一直保持着较高的流行度，目前已经成为最具有代表性的流行窃密木马之一。与其他窃密软件相比，FormBook 的界面操作简单、防御规避能力更强，对技术掌握较少、经验不足的新手较为友好，因此备受欢迎。FormBook 主要针对 Windows

46、用户发起攻击，通常利用广撒网式的钓鱼邮件传播，在邮件中附带具有FormBook 恶意载荷的附件，附件的格式多为 Office 文档如 RTF、DOC 或 XLS 等，再配上描述性说明，使电子邮件看起来像是由某些可信赖的机构组织发送的，如航运机构、银行机构等，从而诱骗受害者保存恶意附件并执行。此外，FormBook 窃取数据能力更强，除了常规意义上窃取存储数据和用户输入数据之外，FormBook 还能够搜索特定文件内容以及清除浏览器 cookie 等。家族画像 FormBook 首次出现时间 2016-02 传播方式 钓鱼邮件附件 针对平台 Windows 编写语言 C、C#窃取信息类型 系统信

47、息、文件信息 击键记录 剪切板数据 屏幕截图 浏览器数据如自动填充、历史记录、信用卡数据等 回传方式 http 主动安全 28 关键行为分析 最初的 FormBook 恶意软件的主要特点以防御规避为主，窃取模块的核心是抓取文件表单，如下图所示。1.FormBook 加载过程 FormBook 的防御规避手法复杂多变，在执行恶意载荷之前，其加载过程主要分为四个模块进行：模块 A：加载器，负责加载并解码模块 B；模块 B：加载器，负责获取模块 A 的代码资源，并解密出模块 C；模块 C：加载器，负责解密和执行最后的 payload；模块 D：FormBook 有效载荷，它将自身注入正常进程中；主动

48、安全 29 图 19 FormBook 加载流程示意图 在不断改进和升级中，当前流行的 FormBook 已经具备窃密木马的普适性特点，与同类竞品相比，在窃取受害者的数据上，有过之而无不及。2.注册表数据 以脱壳后的 FormBook 有效载荷为例，窃取数据的行为都集成在 OnStealer 函数中，包括注册表内容、进程信息、网络连接信息、USB 驱动信息等，其中，窃取注册表中已安装的软件信息，写到“Installed Program.txt”文件中。3.USB 驱动 与其他窃密木马不同的是，FormBook 收集 USB 驱动器等外围设备列表数据，输出到“USB Devices.txt”。主

49、动安全 30 4.网络连接 此外，FormBook 还会收集受害者机器上的网络连接数据输出到“Local Network Connetions.txt”。主动安全 31 6.3 AgentTesla 家族简介 AgentTesla 最早出现于 2014 年，早期有正式的官网，使用土耳其语言，是一款免费软件，旨在记录个人、家庭成员、企业员工使用电脑的行为，包含了键盘记录和获取剪贴板内容的功能。2016 年初推出付费版本，网站增加英文版本。2017 年完全转为付费软件，费用在 12 到 35 美元不等。2019 年官网已不可访问，转为在黑客论坛出售，逐渐发展为受黑客欢迎的功能完备的窃密木马。图 2

50、0 AgentTesla 构建端 AgentTesla 构建端的可定制性极强，回传信息方式、窃取信息类型、安装方式、伪装程序图标、虚假弹窗消息等功能均可做细致化定制。除了通用的键盘记录功能，还可以针对 Facebook、Twitter 等应用进行特殊处理，获取更好的记录信息。在窃取凭据方面，AgentTesla 覆盖了主流浏览器、邮箱、FTP 客户端、即时通讯工具、WiFi 信息等。在安装配置方面，用户可选择是否设置自启动、绕过 UAC、屏蔽安全软件、杀死禁用任务管理器等程序。家族画像 AgentTesla 首次出现时间 2014-12 传播方式 钓鱼邮件 主动安全 32 针对平台 Windo

51、ws 编写语言.NET 窃取信息类型 键盘记录 屏幕截图 剪贴板记录 摄像头捕获 WiFi信息 邮箱信息 文件传输工具信息 即时通讯软件信息 浏览器保存的用户名密码 回传方式 php(网站面板)、SMTP(邮件)、FTP 关键行为分析 1.防御规避 AgentTesla 会对原始执行程序做多层包装，干扰安全研究人员分析，比如将二进制程序转为图片，使用时再解密执行。解密后的程序仍然有严重的代码混淆，有效代码被分散在大量的无效计算逻辑之间，影响安全人员进行分析，所有字符串都被加密，使用时再临时解密。主动安全 33 2.键盘记录 AgentTesla 在安装钩子后，就可以监控用户按键，除了监控常规的

52、字符按键，木马还会监控一些组合按键，并根据按键组合状态进行相应的响应处理，如监控关闭窗口组合键、切换窗口组合键等。3.剪贴板记录 经过反混淆处理后可查看样本中被加密的字符串。木马一旦监控到剪贴板相关活动，就会获取剪贴板数据，并且替换转义字符，在数据首部和尾部拼接特定字符“clipboard”，以 html 格式保存数据内容。主动安全 34 4.网络浏览器相关 网络浏览器保存了大量的敏感数据，几乎所有窃密木马都会重点关注浏览器相关数据，AgentTesla 也不例外。木马会遍历受害者机器上各个浏览器路径，获取 cookie、浏览器保存的用户名密码等信息。5.数据回传 木马收集到浏览器相关、邮箱、

53、FTP 工具、即时通讯工具等数据后，可以通过不同方式回传数据：直接上传到 Web 服务器 发送到指定邮箱 通过 FTP 回传 该木马会设置 SMTP 参数，将发送收集的数据到指定邮箱，如下图。主动安全 35 6.4 Raccoon 家族简介 Raccoon 窃密木马于 2019 年 4 月开始在地下论坛宣传并售卖，宣传时使用了该名称，别名有 Mohazo、Racealer。攻击者主要通过浏览器漏洞、钓鱼邮件、虚假破解软件进行初始入侵，入侵后会使用 Raccoon收集各种浏览器 cookie、自动填充、加密货币钱包密码等大量数据。Raccoon 将数据发送到控制端后，也会根据配置内容下载执行其它

54、程序。图 21 Raccoon 宣传页面 2022 年 3 月，一名在地下论坛活跃的 Raccoon 运营人员声称团队的一名核心开发人员意外死亡，但由于同类竞品竞争激烈，6 月份 Raccoon 就推出了 v2 版本，别名 RecordBreaker，新版本相比旧版功能没有太多变化，部分细节有所调整。Raccoon 为了使初始载荷尽可能小，所有版本都采用了运行时从 C2 获取依赖库下载地址的方法，该方法使得初始载荷的传输变得更容易。家族画像 AgentTesla 首次出现时间 2019-04 传播方式 浏览器漏洞、钓鱼邮件、虚假破解软件 针对平台 Windows 编写语言 C+窃取信息类型 本

55、地文件 浏览器保存的密码、cookie等 主动安全 36 邮箱凭据相关 加密货币钱包地址 回传方式 http 关键行为分析 1.防御规避 样本自身无反分析调试、反沙箱机制，运营人员建议使用第三方工具 GreenCrypt 来检查反病毒产品、防止检测和分析，经过处理的样本会多次调用没有实际意义的 API 以干扰分析。字符串和 C2 经过 RC4、异或加密，避免检测和过早暴露，早期样本会通过谷歌网盘获取真正 C2，后期C2 被加密硬编码在样本中。主动安全 37 为缩减初始载荷的体积，木马在运行后向 C2 发送请求，可以获取配置信息，其中包含依赖 DLL 的下载链接和需要窃取的数据类型，木马会根据这

56、些信息进行后续操作，v1 版本的配置信息为 json 格式，v2 版本则将信息简单整理在一起。2.区域检查 在窃密前，Raccoon 的 2 个版本都会检测区域信息。在 v1 版本中，若区域在 Russian，Ukrainian，Belarusian，Kazakh，Kyrgyz，Armenian，Tajik，Uzbek 中则退出，而 v2 版本仅判断了区域信息是否包含“ru”，实际并不影响运行。主动安全 38 3.收集加密货币钱包 除了对常规的大量浏览器、邮箱相关数据的收集，Raccoon 会特别搜索加密货币钱包相关的文件，攻击者利用此类数据更容易产生直接收益。4.数据回传 Raccoon 的

57、 2 个版本将窃取数据外发的逻辑略有不同。v1 版本会将所有信息打包为 zip 压缩包一次性发送，而 v2 版本在收集完一类数据后，就会即时将数据外发，不会保存到文件。主动安全 39 6.5 Lokibot 家族简介 Lokibot 也称为 Loki、LokiPWS 和 Loki-bot，是一款被广泛使用的商业窃密木马，由 C/C+语言编写。Lokibot 于 2015 年首次出现在地下论坛上，是由一个名为“lokistov”（又名“Carter”）的用户宣传出售，起初售价为 400 美金。2018 年后，由于源码遭到泄露，网上逐渐出现很多变体版本，平均售价在 80 美金左右。价格大跌也助推了

58、 Lokibot 窃密木马的流行上升，至今依然是最流行的窃密木马之一。Lokibot 主要通过钓鱼邮件附件、伪装成其他实用软件的方式传播，恶意载荷多以 zip 文件、iso 文件及包含恶意宏的Office 文档形式出现。发展至今，Lokibot 也增加了许多新功能和特性，如加密货币的钱包凭证信息获取，以及更复杂的混淆和 shellcode 加载执行技术等。除了核心的信息窃取功能外，Lokibot 还包含可用于其他目的的模块。例如，Lokibot 内置的后门功能可允许攻击者使用它来下载运行其他恶意插件程序。家族画像 Lokibot 首次出现时间 2015-05 传播方式 钓鱼邮件、伪装其他实用软

59、件 针对平台 Windows 编写语言 C/C+窃取信息类型 浏览器登录凭证及其他数据 电子邮件账户密码 FTP服务器登录凭证 密码管理软件 其他软件登录凭证 回传方式 http 关键行为分析 1.数据窃密 Lokibot 为每个目标软件创建了一个函数来实现数据窃取，构成了一个函数数组，依次执行。主动安全 40 2.C2 通信 Lokibot 的 C2 信息加密保存在程序中，运行时解密使用。3.下载执行其他载荷 Lokibot 根据 C2 指令可允许攻击者使用它来下载运行其他恶意载荷。主动安全 41 6.6 Vidar 家族简介 Vidar 是一款典型的商业窃密木马，于 2018 年 11 月

60、首次在某黑客论坛上推出，用户可根据订阅期限来支付 130750 美元不等的费用。Vidar 使用 C/C+语言编写，最初由 Arkei Stealer 窃密木马家族派生而来，通常被认为是多个窃密木马家族的“模板”，如 Lumma、Mars Stealer 和 Oski 均是由其派生而来。Vidar 的载荷投递方法多种多样，主要包括钓鱼邮件、虚假破解软件、冒充官方网站如 AnyDesk、SEO 投毒以及通过 YouTube 视频，至今仍是最受欢迎和使用最多的窃密木马之一。图 22 Vidar 窃密木马宣传页面 家族画像 Vidar 首次出现时间 2018-11 传播方式 钓鱼邮件/网站、伪装其他

61、合法软件、SEO投毒 主动安全 42 针对平台 Windows 编写语言 C/C+窃取信息类型 加密货币钱包 浏览器数据 2FA软件凭据 Telegram数据 屏幕截图 特定文件 回传方式 http 关键行为分析 1.C2 通信 早期，Vidar 窃密木马通过样本中硬编码的 C2 与远程服务器进行通信。但从 2021 年起，Vidar 窃密木马新增了一项功能从某些常规站点中动态获取 C2 服务器信息进行通信，以此增加持久性。一个典型的例子是，Vidar 滥用名为 Faceit 的游戏平台来存放 C2 服务器的 URL，这种做法不仅巧妙地隐蔽自身更能躲避流量检测。此外，包括 Mastodon、T

62、elegram、Steam 和 TikTok 在内的各大平台也曾被 Vidar 以各种方式利用。图 23 Vidar 滥用 Faceit 的行为流程 主动安全 43 2.数据窃密 作为商业窃密木马，Vidar 具备一定的定制化服务能力，窃密攻击者可以通过修改配置来调整想要窃取的数据类型。从 C2 服务器获取到配置信息后，根据配置信息中不同字段执行不同操作，如激活特定功能，窃取特定类型数据，如下图。3.数据回传 Vidar 将窃取到的数据内容打包成 zip 格式，通过 http 协议以 POST 方式发送到 C2 服务器。成功窃取数据后，Vidar 会删除创建的临时目录并在本地进行自删除。 Copyright 2022 新华三集团 保留一切权利 免责声明:虽然新华三集团试图在本资料中提供准确的信息，但不保证本资料的内容不含有技术性误差或印刷性错误，为此新华三集团对本资料中信息的准确性不承担任何责任，新华三集团保留在没有任何通知或提示的情况下 对本资料的内容进行修改的权利。CN-170X30-20220422-BR-HZ-V1.0 主动安全 新华三以主动安全理念为核心 致力于成为客户业务数字化转型的助力者 融绘数字未来 共享美好生活