安全响应

疯狂的窃密者——TEPFER

安天安全研究与应急处理中心(Antiy CERT)

发布时间:2015年09月28日16时00分



PDF报告下载

1. 概述

近期,安天CERT(安全研究与应急处理中心)研究人员发现木马家族Tepfer较为活跃,“中文名:小马(Pony)”。该家族最早出现于2011年,以窃取FTP、邮箱、网站、比特币等账号和密码为目的,至今已有数十万变种。Tepfer主要通过注册表项或子键获取FTP的账号并获取安装目录下的.dat加密文件,通过破解算法获取密码;通过自带密码表尝试破解系统开机密码并辅助用来破解chrome浏览器缓存的网站登陆账号、密码信息;通过.dat文件窃取比特币信息。

Tepfer家族可以盗取60种以上的FTP客户端软件所保存的密码;10种以上的浏览器保存的密码;31种比特币信息;还能获取多个邮件客户端所保存的密码,可推测恶意代码作者熟练掌握各种密码的存储方案和破解方法。该家族是一个无需交互、自动窃密并上传的木马家族,主要利用垃圾邮件进行传播,并将窃取的这些信息加密后上传到指定的网站。

2. 样本标签

病毒名称

Trojan[PSW]/Win32.Tepfer

原始文件名

blow.exe

MD5

D8C177781BA316966CE0567253C67CE1

处理器架构

X86-32

文件大小

84.5 KB (86,528 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2015-05-27 22:44:00

数字签名

NO

加壳类型

编译语言

Borland Delphi v6.0 - v7.0

VT首次上传时间

2015-06-19

VT检测结果

39/57

3.代码分析

Tepfer使用Push/Retn来代替正常跳转call[地址],这种方法在Tepfer代码中使用的次数非常多。如下图,将地址0040F310压入栈中,使用retn跳转到地址0040F310处;而正常程序通常直接使用call 0040F310。

图 1使用Push/Retn来代替正常跳转call[地址]
Tepfer具有对抗卡巴斯基启发式的功能:

图 2 对抗卡巴斯基启发式
Tepfer检查自身是否运行在调试环境中,如果是,则退出。获取系统SID后,提升自身权限,如果不成功则遍历系统进程,查找explorer.exe进程,模拟用户登陆操作,如果成功则直接获取系统用户名,同时获取系统版本及操作系统类型及用户所在的国家。同时向注册表项HKEY_CURRENT_USER\Software\WinRAR中,添加键"HWID",值为{70D82799-6E6E-483B-B515-DF854CEB107F}。"HWID"键及键值用于回传的信息中。

图 3 添加注册表键值

Tepfer在检测系统中安装了哪些FTP软件、浏览器、工具,以及窃取密码所用的方法上非常具体,可以看出恶意代码作者进行了大量的信息收集、资料整理、账号密码存放位置的研究等工作,熟悉各种网页、数据库、邮箱、其他工具的密码存储方案。

oftware\_hisler\Total Commander

oftware\_hisler\Windows Commander

oftware\AceBIT

oftware\Adobe\Common

oftware\BPFTP

oftware\BPFTP\Bullet Proof FTP\Main

oftware\BPFTP\Bullet Proof FTP\Options

oftware\BulletProof Software\BulletProof FTP Client\Main

oftware\BulletProof Software\BulletProof FTP Client\Options

oftware\ChromePlus

OFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}

OFTWARE\Classes\TypeLib\{F9043C88-F6F2-101A-A3C9-08002B2F49FB}\1.2\0\win32

oftware\CoffeeCup Software

oftware\CoffeeCup Software\Internet\Profiles

oftware\Cryer\WebSitePublisher

oftware\ExpanDrive\Sessions

oftware\Far Manager\Plugins\FTP\Hosts

oftware\Far Manager\SavedDialogHistory\FTPHost

oftware\Far2\Plugins\FTP\Hosts

oftware\Far2\SavedDialogHistory\FTPHost

oftware\Far\Plugins\FTP\Hosts

oftware\Far\SavedDialogHistory\FTPHost

oftware\FileZilla

oftware\FileZilla Client

oftware\FlashFXP

oftware\FlashFXP\3

oftware\FlashFXP\4

oftware\FlashPeak\BlazeFtp\Settings

oftware\FTP Explorer\FTP Explorer\Workspace\MFCToolBar-224

oftware\FTP Explorer\Profiles

oftware\FTPClient\Sites

oftware\FTPWare\COREFTP\Sites

oftware\GlobalSCAPE\CuteFTP 6 Home\QCToolbar

oftware\GlobalSCAPE\CuteFTP 6 Professional\QCToolbar

oftware\GlobalSCAPE\CuteFTP 7 Home\QCToolbar

oftware\GlobalSCAPE\CuteFTP 7 Professional\QCToolbar

oftware\GlobalSCAPE\CuteFTP 8 Home\QCToolbar

oftware\GlobalSCAPE\CuteFTP 8 Professional\QCToolbar

oftware\GlobalSCAPE\CuteFTP 9\QCToolbar

OFTWARE\LeapWare

oftware\LeechFTP

oftware\Martin Prikryl

oftware\MAS-Soft\FTPInfo\Setup

oftware\Microsoft\Internet Explorer\IntelliForms\Storage2

oftware\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

oftware\Mozilla

oftware\NCH Software\ClassicFTP\FTPAccounts

OFTWARE\NCH Software\Fling\Accounts

oftware\Nico Mak Computing\WinZip\FTP

oftware\Nico Mak Computing\WinZip\mru\jobs

OFTWARE\Robo-FTP 3.7\FTPServers

OFTWARE\Robo-FTP 3.7\Scripts

oftware\SimonTatham\PuTTY\Sessions

oftware\SoftX.org\FTPClient\Sites

oftware\Sota\FFFTP

oftware\Sota\FFFTP\Options

oftware\South River Technologies\WebDrive\Connections

oftware\TurboFTP

oftware\VanDyke\SecureFX

上表是Tepfer查询的注册表项,Tepfer使用指定的注册表项或键值、指定的.ini文件、指定的.dat文件、指定的目录及文件等方式窃取账号和密码。下图为使用指定注册表项查询:

图 4 查询指定注册表项

图 5 获取FTP用户名和密码
通过.ini文件获取用户名密码:

图 6通过.ini文件获取用户名密码

可以通过以下.ini获取对应的FTP软件的用户名和密码:

wcx_ftp.ini

sites.ini

32BitFtp.ini

wiseftpsrvs.ini

wiseftp.ini

profiles.ini

NDSites.ini

ftpsite.ini

project.ini

Accounts.ini

还可以通过sm.dat文件获取CuteFTP软件的用户名和密码。
Tepfer内部包含一个加密的密码表,解密算法是异或1,解密后的密码表用于暴力破解系统开机密码。密码表见附录一。破解代码如下图所示:

图 7 使用密码表暴力破解系统开机密码
Tepfer还可以通过浏览器窃取用户已保存的网站登陆账号和密码,以Chrome浏览器举例,Chrome将用户保存的网站密码存储在本机目录中:
%Application Data%\Google\Chrome\User Data\Default\Login Data
该文件是SQLite数据库文件,并使用系统账户密码进行了加密。Tepfer通过暴力破解系统开机密码,可以间接解密用户使用Chrome浏览器保存在本机中的网站登陆账号和密码。
其他软件的账号和密码这里不进行具体的介绍。

Tepfer将收集到的信息保存到SQLite数据库中,并使用RC4算法加密,发送至远程服务器:

http://obiheros.com/prod/panel/gate.php


图 8 信息回传

图 9 回传的加密信息

4.Tepfer窃取的密码类型

据统计,Tepfer家族可以盗取60多种FTP客户端所保存的密码信息,种类见下图:

32bit FTP

Cyberduck

FreshFTP

FTPShell

sherrod FTP

3D-FTP

DeluxeFTP

Frigate3 FTP

GoFTP

Sitemapper

AceFTP

DirectFTP

FTP Commander

LeachFTP

SmartFTP

ALFTP

Easy FTP

FTP Control

LeapFTP

Staff-FTP

BitKinex

ExpanDrive

FTP Explorer

LinasFTP

Turbo FTP

BlazeFTP

FastTrackFTP

FTP Now

MyFTP

UltraFTP

BulletProof FTP

FFFTP

FTP Surfer

NetDrive

WebDrive

ClassicFTP

FileZilla

FTP Voyager

NovaFTP

WinFTP

CoffeeCup FTP

FireFTP

FTPGetter

Xftp

WinSCP

CoreFTP

FlashFTP

FTPInfo

Robo-FTP

WiseFTP

CuteFTP

FreeFTP

FTPRush

SecureFX

WS_FTP

OdinSecure FTP Expert

 

 

 

 

Tepfer尝试窃取邮件客户端敏感信息

Becky!

IncredMail

Outlook

Pocomail

The Bat!

Thunderbird

Windows Live Mail

Windows Mail

 


Tepfer尝试窃取浏览器敏感信息:

ChromePlus

Mozilla

Comodo Dragon

Chromium SRWare Iron

K-Meleon

FireFox

SeaMonkey

Internet Explorer

Yandex Internet

CoolNovo

Oprea

RockMelt

Goole Chrome

FastStore Browser

 


Tepfer对文件进行暴力搜索,收集31种类型的比特币:

Anoncoin

Digitalcoin

I0coin

Megacoin

Primecoin

BBQcoin

Fastcoin

Infinitecoin

Mincoin

Quarkcoin

Bitcoin

Feathercoin

Ixcoin

Namecoin

Tagcoin

Bytecoin

Florincoin

Junkcoin

NovaCoin

Terracoin

Craftcoin

Freicoin

Litecoin

Phoenixcoin

Worldcoin

Devcoin

GoldCoin

Luckycoin

PPCoin

Yacoin

Zetacoin

 

 

 

 

 

Tepfer尝试窃取其他工具的敏感信息:

Adobe Common SiteServers

CoffeeCup Vissual

Centificate

NET File

Fling

Bromium(Yandex Chrome)

Directory Opus

Dreamweaver

Putty

Flock

Total Commander

Site Designer

NexusFile

RDP

WinZip

WebSitePublisher

FAR Manager

Nichrome

Epic

 

5. 总结

安天CERT研究人员发现, Tepfer家族至今活跃范围仍然很广泛, 且Tepfer家族的信息接收服务器数量在近期仍在增长。Tepfer家族的作者对FTP的兴趣极大,制作了相当繁杂的账号及密码的窃取方法,想必一定花费了作者不少的时间和精力。Tepfer的自我更新能力不强,因其作者更注重代码的质量和细节。Tepfer家族的作者在全球范围内收集密码信息,以备它用。

安天CERT提醒广大用户,及时修改FTP软件的默认密码保存位置,不要使用简单的开机密码。

 

附录一:关于安天


安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

关于安天反病毒引擎更多信息请访问:

https://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

https://www.antiy.cn

 

 

微信扫描关注 安天