远控服务器 系统漏洞利用 木马
micropsia病毒
匿名用户 2018-08-06 14:54:38 1357人浏览

原文链接:https://blog.radware.com/security/2018/07/micropsia-malware/


micropsia是一个自2018年6月开始的网络攻击,主要针对巴基斯坦官方。

下图为其目标分布图:

1.png

该病毒的传播手段和大部分病毒类似,都是通过钓鱼邮件,传播有毒的文件。这次的文件是一个新闻报道,但当这个文件被打开时,它会自动在后台下载并打开病毒文件。

这个病毒出众的地方在于它庞大的军火库:

  • Microphone recording 麦克风录音
  • Document stealing from connected USB flash drives 从USB闪存盗取文件
  • Screen capturing 截屏
  • Keylogging 键盘记录
  • Document stealing from hard drive 从硬盘盗取文件
  • Scanning all drives – full directory listing without filters 扫描所有文件
  • Get files by specific path 通过文件路径获取文件
  • Download and execute an arbitrary executable 下载并运行其他exe文件
  • Update malware executable 病毒更新


该病毒的一些特点:

1.麦克风录音

这是一个比较高端的能力,大部分病毒都没有这个功能。

该病毒使用了Winmm.mciSendString API来控制计算机麦克风。当C2服务器发送下图命令至目标计算机时,这个API就会开始录音。

2.png

下图则是停止录音的命令:

3.png

2. USB文件盗取:

首先该病毒可以设定“USB volume insertion”事件来检测是否有USB插入该电脑。一旦该事件被触发,这个病毒就会用RAR工具来寻找文件后缀(*.xls, *.xlsx, *.csv, *.odt, *.doc, *.docx, *.ppt, *.pptx, *.pdf, *.mdb, *.accdb, *.accde, *.txt)从而盗取该USB内的文件。

3. 截屏和键盘记录

该病毒通过利用Gdi32.BitBlt API,每90秒截屏一次,并保存为未加密的jpeg格式文件,名字为截图的时间,后缀为写死的.his。

该病毒还可以利用user32.GetKeyState API来记录用户的键盘输入。它还可以在用户输入Ctrl+C时,盗取剪切板中的内容。这些记录都会配有其时间,记录在一个log文件中,后缀为.slog。

4.存储管理

大部分病毒都会把收集到的信息进行加密处理,再发送至C2服务器。而micropsia则是通过使用WinRAR对文件进行压缩。

该病毒会先在以下文件夹搜索是否有WinRAR程序:

4.png

如果没有的话,它就会自动为目标安装一个WinRAR。

5.png

然后它就会用以下命令每15分钟为每一个文件类型单独创建一个压缩包,将收集到的资料存入其中:

6.png

5.与C2服务器的交流:

病毒会自动每隔一段时间像C2服务器发送GET请求,而服务器会返回一个json文件,远程操作该病毒进行操作:

7.png

可用的命令:

8.png