密码cuteftp

发布时间:2015年9月28日16时疯狂的窃密者——TEPFER安天安全研究与应急处理中心(AntiyCERT)疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页目录1概述.
12样本标签.
13代码分析.
14TEPFER窃取的密码类型65总结.
7附录一:关于安天.
8疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第1页1概述近期,安天CERT(安全研究与应急处理中心)研究人员发现木马家族Tepfer较为活跃,"中文名:小马(Pony)".
该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种.
Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.
dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.
dat文件窃取比特币信息.
Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法.
该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站.
2样本标签病毒名称Trojan[PSW]/Win32.
Tepfer原始文件名blow.
exeMD5D8C177781BA316966CE0567253C67CE1处理器架构X86-32文件大小84.
5KB(86,528字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2015-05-2722:44:00数字签名NO加壳类型无编译语言BorlandDelphiv6.
0-v7.
0VT首次上传时间2015-06-19VT检测结果39/573代码分析Tepfer使用Push/Retn来代替正常跳转call[地址],这种方法在Tepfer代码中使用的次数非常多.
如下图,将地址0040F310压入栈中,使用retn跳转到地址0040F310处;而正常程序通常直接使用call0040F310.
疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第2页图1使用Push/Retn来代替正常跳转call[地址]Tepfer具有对抗卡巴斯基启发式的功能:图2对抗卡巴斯基启发式Tepfer检查自身是否运行在调试环境中,如果是,则退出.
获取系统SID后,提升自身权限,如果不成功则遍历系统进程,查找explorer.
exe进程,模拟用户登陆操作,如果成功则直接获取系统用户名,同时获取系统版本及操作系统类型及用户所在的国家.
同时向注册表项HKEY_CURRENT_USER\Software\WinRAR中,添加键"HWID",值为{70D82799-6E6E-483B-B515-DF854CEB107F}.
"HWID"键及键值用于回传的信息中.
图3添加注册表键值疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第3页Tepfer在检测系统中安装了哪些FTP软件、浏览器、工具,以及窃取密码所用的方法上非常具体,可以看出恶意代码作者进行了大量的信息收集、资料整理、账号密码存放位置的研究等工作,熟悉各种网页、数据库、邮箱、其他工具的密码存储方案.
oftware\_hisler\TotalCommanderoftware\_hisler\WindowsCommanderoftware\AceBIToftware\Adobe\Commonoftware\BPFTPoftware\BPFTP\BulletProofFTP\Mainoftware\BPFTP\BulletProofFTP\Optionsoftware\BulletProofSoftware\BulletProofFTPClient\Mainoftware\BulletProofSoftware\BulletProofFTPClient\Optionsoftware\ChromePlusOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}OFTWARE\Classes\TypeLib\{F9043C88-F6F2-101A-A3C9-08002B2F49FB}\1.
2\0\win32oftware\CoffeeCupSoftwareoftware\CoffeeCupSoftware\Internet\Profilesoftware\Cryer\WebSitePublisheroftware\ExpanDrive\Sessionsoftware\FarManager\Plugins\FTP\Hostsoftware\FarManager\SavedDialogHistory\FTPHostoftware\Far2\Plugins\FTP\Hostsoftware\Far2\SavedDialogHistory\FTPHostoftware\Far\Plugins\FTP\Hostsoftware\Far\SavedDialogHistory\FTPHostoftware\FileZillaoftware\FileZillaClientoftware\FlashFXPoftware\FlashFXP\3oftware\FlashFXP\4oftware\FlashPeak\BlazeFtp\Settingsoftware\FTPExplorer\FTPExplorer\Workspace\MFCToolBar-224oftware\FTPExplorer\Profilesoftware\FTPClient\Sitesoftware\FTPWare\COREFTP\Sitesoftware\GlobalSCAPE\CuteFTP6Home\QCToolbaroftware\GlobalSCAPE\CuteFTP6Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP7Home\QCToolbaroftware\GlobalSCAPE\CuteFTP7Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP8Home\QCToolbaroftware\GlobalSCAPE\CuteFTP8Professional\QCToolbaroftware\GlobalSCAPE\CuteFTP9\QCToolbarOFTWARE\LeapWareoftware\LeechFTPoftware\MartinPrikryloftware\MAS-Soft\FTPInfo\Setupoftware\Microsoft\InternetExplorer\IntelliForms\Storage2oftware\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersoftware\Mozillaoftware\NCHSoftware\ClassicFTP\FTPAccountsOFTWARE\NCHSoftware\Fling\Accountsoftware\NicoMakComputing\WinZip\FTPoftware\NicoMakComputing\WinZip\mru\jobsOFTWARE\Robo-FTP3.
7\FTPServersOFTWARE\Robo-FTP3.
7\Scriptsoftware\SimonTatham\PuTTY\Sessionsoftware\SoftX.
org\FTPClient\Sitesoftware\Sota\FFFTPoftware\Sota\FFFTP\Optionsoftware\SouthRiverTechnologies\WebDrive\Connectionsoftware\TurboFTPoftware\VanDyke\SecureFX上表是Tepfer查询的注册表项,Tepfer使用指定的注册表项或键值、指定的.
ini文件、指定的.
dat文件、指定的目录及文件等方式窃取账号和密码.
下图为使用指定注册表项查询:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第4页图4查询指定注册表项图5获取FTP用户名和密码通过.
ini文件获取用户名密码:图6通过.
ini文件获取用户名密码可以通过以下.
ini获取对应的FTP软件的用户名和密码:wcx_ftp.
inisites.
ini32BitFtp.
iniwiseftpsrvs.
iniwiseftp.
iniprofiles.
iniNDSites.
iniftpsite.
iniproject.
iniAccounts.
ini还可以通过sm.
dat文件获取CuteFTP软件的用户名和密码.
Tepfer内部包含一个加密的密码表,解密算法是异或1,解密后的密码表用于暴力破解系统开机密码.
密码表见附录一.
破解代码如下图所示:疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第5页图7使用密码表暴力破解系统开机密码Tepfer还可以通过浏览器窃取用户已保存的网站登陆账号和密码,以Chrome浏览器举例,Chrome将用户保存的网站密码存储在本机目录中:%ApplicationData%\Google\Chrome\UserData\Default\LoginData该文件是SQLite数据库文件,并使用系统账户密码进行了加密.
Tepfer通过暴力破解系统开机密码,可以间接解密用户使用Chrome浏览器保存在本机中的网站登陆账号和密码.
其他软件的账号和密码这里不进行具体的介绍.
Tepfer将收集到的信息保存到SQLite数据库中,并使用RC4算法加密,发送至远程服务器:http://obiheros.
com/prod/panel/gate.
php疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第6页图8信息回传图9回传的加密信息4Tepfer窃取的密码类型据统计,Tepfer家族可以盗取60多种FTP客户端所保存的密码信息,种类见下图:32bitFTPCyberduckFreshFTPFTPShellsherrodFTP3D-FTPDeluxeFTPFrigate3FTPGoFTPSitemapperAceFTPDirectFTPFTPCommanderLeachFTPSmartFTPALFTPEasyFTPFTPControlLeapFTPStaff-FTPBitKinexExpanDriveFTPExplorerLinasFTPTurboFTPBlazeFTPFastTrackFTPFTPNowMyFTPUltraFTP疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第7页BulletProofFTPFFFTPFTPSurferNetDriveWebDriveClassicFTPFileZillaFTPVoyagerNovaFTPWinFTPCoffeeCupFTPFireFTPFTPGetterXftpWinSCPCoreFTPFlashFTPFTPInfoRobo-FTPWiseFTPCuteFTPFreeFTPFTPRushSecureFXWS_FTPOdinSecureFTPExpertTepfer尝试窃取邮件客户端敏感信息:Becky!
IncredMailOutlookPocomailTheBat!
ThunderbirdWindowsLiveMailWindowsMailTepfer尝试窃取浏览器敏感信息:ChromePlusMozillaComodoDragonChromiumSRWareIronK-MeleonFireFoxSeaMonkeyInternetExplorerYandexInternetCoolNovoOpreaRockMeltGooleChromeFastStoreBrowserTepfer对文件进行暴力搜索,收集31种类型的比特币:AnoncoinDigitalcoinI0coinMegacoinPrimecoinBBQcoinFastcoinInfinitecoinMincoinQuarkcoinBitcoinFeathercoinIxcoinNamecoinTagcoinBytecoinFlorincoinJunkcoinNovaCoinTerracoinCraftcoinFreicoinLitecoinPhoenixcoinWorldcoinDevcoinGoldCoinLuckycoinPPCoinYacoinZetacoinTepfer尝试窃取其他工具的敏感信息:AdobeCommonSiteServersCoffeeCupVissualCentificateNETFileFlingBromium(YandexChrome)DirectoryOpusDreamweaverPuttyFlockTotalCommanderSiteDesignerNexusFileRDPWinZipWebSitePublisherFARManagerNichromeEpic5总结安天CERT研究人员发现,Tepfer家族至今活跃范围仍然很广泛,且Tepfer家族的信息接收服务器数量在近期仍在增长.
Tepfer家族的作者对FTP的兴趣极大,制作了相当繁杂的账号及密码的窃取方法,疯狂的窃密者——TEPfer安天实验室版权所有,欢迎无损转载第8页想必一定花费了作者不少的时间和精力.
Tepfer的自我更新能力不强,因其作者更注重代码的质量和细节.
Tepfer家族的作者在全球范围内收集密码信息,以备它用.
安天CERT提醒广大用户,及时修改FTP软件的默认密码保存位置,不要使用简单的开机密码.
附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn