Lumma來襲

近期，360安全大腦監(jiān)測到一款名為Lumma Stealer的惡意軟件傳播量呈現(xiàn)出了上升態(tài)勢，而該惡意軟件的傳播方式較為特殊——它是利用了虛假的CAPTCHA驗(yàn)證發(fā)起攻擊。該惡意軟件的攻擊者采用了精心設(shè)計(jì)的社會工程學(xué)策略和多層技術(shù)規(guī)避機(jī)制，其目標(biāo)直指個(gè)人和企業(yè)用戶的敏感數(shù)據(jù)。作為一種以“惡意軟件即服務(wù)(MaaS)”進(jìn)行分發(fā)形式的惡意軟件，Lumma Stealer在暗網(wǎng)市場上以每月250~1000美元不等的價(jià)格出售，這無疑為網(wǎng)絡(luò)犯罪分子提供了一款頗具性價(jià)比的攻擊工具。?

攻擊分析

虛假的CAPTCHA驗(yàn)證

攻擊者通過虛假CAPTCHA驗(yàn)證頁面作為誘餌，利用mshta加載遠(yuǎn)端內(nèi)嵌惡意腳本的mp3文件。通過這一系列精心設(shè)計(jì)的步驟，最終實(shí)現(xiàn)對受害者設(shè)備上多種敏感信息的竊取，包括但不限于瀏覽器存儲的密碼、加密貨幣錢包密鑰、雙因素認(rèn)證種子等關(guān)鍵數(shù)據(jù)。

圖1. Lumma Stealer攻擊流程示意圖?

攻擊者精心構(gòu)造的虛假CAPTCHA驗(yàn)證頁面如下。

圖2. 虛假CAPTCHA驗(yàn)證頁面?

用戶一旦被誤導(dǎo)，便會點(diǎn)擊頁面中那個(gè)格外顯眼的“I’m not a robot”按鈕，之后頁面會彈出一個(gè)提示框，其內(nèi)容為要求受騙用戶按“Win+R”快捷鍵，之后按“Ctrl+V”，最后按回車鍵。攻擊者聲稱以上三步操作是為了進(jìn)行驗(yàn)證，然而其實(shí)際效果是引導(dǎo)用戶打開系統(tǒng)的“運(yùn)行”窗口，再將頁面提供的惡意代碼粘貼到文本框中讓系統(tǒng)執(zhí)行（惡意代碼是在用戶打開頁面時(shí)便已被偷偷植入到系統(tǒng)剪切板中的）。

圖3. 虛假頁面的提示窗及惡意代碼?

混合格式內(nèi)嵌混淆代碼

通過對頁面植入到系統(tǒng)剪切板中的惡意代碼進(jìn)行分析，發(fā)現(xiàn)mshta所加載的mp3文件內(nèi)嵌入了第一層惡意js腳本。這個(gè)被加載的dodieplay5.mp3實(shí)際上是被攻擊者創(chuàng)建出的混合格式文件：

• 文件以合法MP3文件頭開始，可以被音頻播放器正常打開；

• 同時(shí)，文件中還包含了特殊格式的HTML/JavaScript代碼；

• 惡意代碼會在文件被mshta加載時(shí)解析執(zhí)行，而在音樂播放器中則會被忽略。

圖4. 被構(gòu)造的mp3文件中包含的惡意代碼

其中的部分關(guān)鍵JavaScript代碼還經(jīng)過了多層的混淆處理：

圖5. 被混淆的JS代碼

經(jīng)過了兩輪去混淆的解碼操作后，我們得到了一段PowerShell腳本。而解碼出的這段腳本功能主要為下載遠(yuǎn)端數(shù)據(jù)到本地并執(zhí)行。

圖6. 兩輪去混淆解碼后的PowerShell腳本

而下載到的bmp文件與上述的mp3文件形式類似，同樣是帶有多輪混淆惡意代碼的一個(gè)混合格式文件。而經(jīng)過多輪去混淆和解密后，內(nèi)容如下：

圖7. 從bmp文件中多輪去混淆和解密后的惡意PowerShell腳本

經(jīng)過如此繁復(fù)的解密操作后，我們終于得到了最終的惡意功能代碼。這段代碼便是Lumma Stealer加載器代碼，其會被加載到內(nèi)存中執(zhí)行。

圖8. 最終在內(nèi)存中被加載執(zhí)行的Lumma Stealer代碼

內(nèi)存中的Lumma Stealer

而這個(gè)在內(nèi)存中被加載和執(zhí)行的Lumma Stealer惡意程序具有以下主要功能和技術(shù)特點(diǎn)：

1.??????????? 內(nèi)存操作和反分析機(jī)制

其關(guān)鍵功能為：

l? AMSI繞過
代碼搜索并修改Windows中的“AmsiScanBuffer”函數(shù)，是一種常見的AMSI(反惡意軟件掃描接口)繞過技術(shù)，目的是禁用PowerShell腳本的實(shí)時(shí)掃描功能。

l? 內(nèi)存掃描和修改
使用VirtualQuery、ReadProcessMemory和WriteProcessMemory等API掃描進(jìn)程內(nèi)存，用于搜索包含“clr.dll”的內(nèi)存區(qū)域。

其實(shí)現(xiàn)方式為：

l? 創(chuàng)建動態(tài)程序集和Win32 API PInvoke定義。

l? 獲取當(dāng)前進(jìn)程句柄并枚舉所有內(nèi)存區(qū)域。

l? 在內(nèi)存中查找并替換“AmsiScanBuffer”簽名。

2.??????????? 惡意負(fù)載加載技術(shù)

l? Base64解碼
將變量$a中存儲的Base64編碼數(shù)據(jù)解碼為PE文件。

l? 反射加載
使用[System.AppDomain]::CurrentDomain.Load()方法將PE文件直接加載到內(nèi)存中。

l? 無文件執(zhí)行
整個(gè)執(zhí)行過程不將PE文件寫入磁盤，僅在內(nèi)存中運(yùn)行。

l? 動態(tài)入口點(diǎn)調(diào)用
自動識別并調(diào)用惡意負(fù)載的入口點(diǎn)函數(shù)。

3.??????????? 隱藏技術(shù)

l? 字符串拆分
將“AmsiScanBuffer”字符串分割為多個(gè)部分($a + $b + $c + $d)以避免靜態(tài)檢測。

l? 代碼混淆
使用大量合法Windows API和復(fù)雜內(nèi)存操作來混淆真實(shí)意圖。

l? 無DLL導(dǎo)入
通過動態(tài)定義和調(diào)用Win32 API而非顯式導(dǎo)入，降低可疑性。

4.??????????? 其他技術(shù)特點(diǎn)

l? 使用IsReadable函數(shù)檢查內(nèi)存區(qū)域是否可讀。

l? 修改內(nèi)存保護(hù)屬性以啟用寫入權(quán)限。

l? 使用GetMappedFileName專門定位CLR相關(guān)的內(nèi)存區(qū)域。

l? 僅在PowerShell的 3.0及以上版本環(huán)境執(zhí)行。

關(guān)于Lumma Stealer

Lumma Stealer（又名 LummaC2 Stealer）是一款用 C 語言編寫的信息竊取程序。自 2022 年 8 月以來，它一直通過惡意軟件即服務(wù)（MaaS）的模式在某俄語論壇上發(fā)布和售賣。其具有感染率成功率高、第三方依賴項(xiàng)少、文件體積小、竊密功能強(qiáng)大、抓取文件效率高等特點(diǎn)。

圖9. Lumma Stealer在某惡意論壇的售賣頁面

此外，該軟件采用MaaS的訂閱機(jī)制，訂閱費(fèi)用分為：

l? 普通版：US$250/月

l? 專業(yè)版：US$500/月

l? 企業(yè)版：US$1000美元/月

圖10. Lumma Stealer售價(jià)

另外，我們還捕獲到了利用pdf、mov、mp4等格式進(jìn)行隱藏加載的樣本。

圖11. 其他格式的惡意文件

防護(hù)建議

基于對Lumma Stealer攻擊鏈的分析，我們提出以下防護(hù)建議來幫助組織和個(gè)人有效防范此類威脅：

對于個(gè)人用戶

l? 提高警惕性
對任何要求復(fù)制執(zhí)行命令行的網(wǎng)站保持高度警惕，尤其是看似合法的CAPTCHA驗(yàn)證頁面。

l? 使用密碼管理器
采用安全的密碼管理解決方案，避免在瀏覽器中保存敏感憑證。

l? 啟用兩步驗(yàn)證
對重要賬戶使用復(fù)雜密碼并啟用雙因素認(rèn)證

l? 定期備份
對關(guān)鍵數(shù)據(jù)進(jìn)行定期備份，并確保備份與主系統(tǒng)隔離。

l? 及時(shí)更新
確保操作系統(tǒng)和安全軟件始終保持最新狀態(tài)，以獲取最新的安全補(bǔ)丁。

對于企業(yè)及組織

l? 實(shí)施終端檢測與響應(yīng)(EDR)解決方案
部署能夠檢測內(nèi)存注入和無文件攻擊的現(xiàn)代EDR工具。

l? 應(yīng)用PowerShell約束語言模式
限制PowerShell的執(zhí)行能力，減少被惡意腳本利用的可能性。

l? 禁用不必要的組件
特別是阻止MSHTA等LOL類常被濫用的組件在無正當(dāng)業(yè)務(wù)需求的環(huán)境中運(yùn)行。

l? 加強(qiáng)網(wǎng)絡(luò)監(jiān)控
設(shè)置檢測與阻斷疑似C2通信的網(wǎng)絡(luò)監(jiān)控機(jī)制，特別關(guān)注分塊數(shù)據(jù)傳輸模式。

l? 開展安全意識培訓(xùn)
定期為員工提供有針對性的安全意識培訓(xùn)，提高對社會工程學(xué)攻擊的識別能力。

l? 實(shí)施零信任架構(gòu)
采用以身份為中心的安全模型，要求所有訪問請求進(jìn)行嚴(yán)格驗(yàn)證。?

360攔截

此外，安裝了360客戶端的用戶請確保360的正常開啟。360無需升級便可直接對該木馬進(jìn)行有效攔截。

圖12. 360安全大腦攔截mshta.exe加載惡意腳本行為?

同時(shí)，360也可通過掃描對帶有惡意代碼的混合格式文件進(jìn)行識別和查殺。

圖13. 安全衛(wèi)士掃描并識別帶有惡意代碼的混合格式文件