FortiSandbox 5.0 检测出不断演变的 Snake Keylogger(键盘记录器)新变体

　　受影响平台：Microsoft Windows

　　受影响方：Windows 用户

　　影响：静默记录击键以收集凭证、数据和其他敏感信息

　　严重程度：高

　　概述

　　FortiGuard 实验室利用 FortiSandbox v5.0(FSAv5)的高级功能，检测到 Snake Keylogger(也称为 404 Keylogger)的一个新变体。该恶意软件被识别为 AutoIt/Injector.GTY!tr，已导致超过 2.8 亿次感染尝试被阻止，显示其在全球范围内的广泛传播。在这些检测中，大多数集中在中国大陆、土耳其、印度尼西亚、中国台湾地区和西班牙，表明这些地区受影响尤为显著。如此高的检测量凸显了该恶意软件持续的全球威胁，以及其影响全球组织和用户的潜力。近期活动的激增也表明，键盘记录器恶意软件在不断进化，需要更先进的检测机制。

　　Snake Keylogger通常通过包含恶意附件或链接的网络钓鱼电子邮件传播，旨在通过记录击键、捕获凭证和监控剪贴板，窃取 Chrome、Edge 和 Firefox 等主流浏览器中的敏感信息。除数据盗窃外，Snake Keylogger还可以通过 使用SMTP电子邮件协议(电子邮件)和 Telegram 机器人将窃取的信息外传到其命令与控制(C2)服务器，使攻击者能够访问被盗凭证和其他敏感数据。

　　FSAv5 搭载了新的 AI 引擎 PAIX，这是一个先进的机器学习系统，旨在实时检测和分析未知威胁。通过结合行为分析和文件属性，PAIX 能够在可疑活动和潜在恶意软件影响环境之前识别它们。该引擎集成到 FortiSandbox 设备中，并定期更新最新的 AI 模型以确保最佳保护效果。

　　在以下章节中，我们将探讨 FSAv5 如何检测该恶意软件、用于识别的行为指标，以及 Snake Keylogger规避检测和分析的技术。我们还将分析 FortiSandbox 的高级启发式和机器学习模型如何帮助识别和缓解新兴的键盘记录器威胁。

　　FSAv5 分析概述

　　FSAv5 中的 AI 引擎提供详细的静态分析，揭示了用于键盘记录和凭证窃取的混淆字符串和嵌入 API。此外，FSAv5 的动态分析功能捕获了键盘记录器的运行时行为，包括恶意软件启动的进程以及与 C2 服务器的网络连接建立。这些洞察揭示了 Snake Keylogger在规避传统检测机制的同时外偷数据的能力，进一步强调了 FSAv5 全面恶意软件分析的重要性。

　　此外，还对分析过程中触发的可疑指标进行了记录和分类(图 3)。这种全面的文档提供了更多上下文，有助于识别潜在的恶意活动。通过 FSAv5 的增强功能，这些指标不仅记录观察到的行为，还将其与特定的 MITRE ATT&CK 技术相关联，从而深入地了解恶意软件使用的策略。

　　FSAv5 中集成的 AI 执行静态分析，能够在不执行代码的情况下检测恶意软件。如图 4 所示，AI 引擎通过分析恶意软件的代码结构、嵌入签名和其他静态属性，来有效识别潜在威胁。

　　Snake Keylogger的这个新变体采用 AutoIt(一种常用于 Windows 环境任务自动化的脚本语言)来交付和执行恶意有效负载。威胁行为者常利用 AutoIt 的多功能性及其生成独立可执行文件的能力，绕过传统防病毒解决方案。在此变种中，可执行文件是 AutoIt 编译的二进制文件，这增加了一层混淆，阻碍检测和分析。AutoIt 的使用不仅通过在编译脚本中嵌入有效负载使静态分析复杂化，还能模拟良性自动化工具的动态行为。图 5 显示了用于编译二进制文件的 AutoIt 加密脚本，FSAv5 的 AI 识别出了这些嵌入的恶意字符串和 API 调用。

　　执行与持久化机制

　　执行后，Snake Keylogger将自身副本拖放到 % Local_AppData%\supergroup 文件夹下，命名为 “ageless.exe”，并将其属性设置为隐藏。一旦在此目录中建立，它会将另一个文件放入名为 ageless.vbs 的 %Startup% 文件夹中。此脚本包含一个命令，该命令利用 WScript.Shell() 调用运行 () 方法，执行 ageless.exe，并确保恶意软件在系统启动时自动运行。由 FSAv5 捕获并备份用于分析的 ageless.vbs 脚本。

　　Snake Keylogger将 ageless.vbs 文件复制到启动文件夹作为持久化机制，确保感染系统每次重启时自动执行。这种方法之所以常用，是因为 Windows 启动文件夹允许脚本、可执行文件或快捷方式在无需管理员权限的情况下运行。通过利用此技术，即使恶意进程被终止，Snake Keylogger也能维持对受感染系统的访问并重新建立立足点。图 7 展示了 Snake Keylogger使用此持久化方法的指标，图 8 显示了放置在启动文件夹中的 ageless.vbs 文件截图。

　　进程注入与规避技术

　　ageless.exe 执行后，恶意软件将其有效负载注入合法的.NET 进程。观察到的样本使用 “进程空洞化” 技术瞄准 RegSvcs.exe 进程，该技术允许恶意软件在可信进程内执行代码以规避检测。进程空洞化的工作原理是：首先以挂起状态启动 RegSvcs.exe，阻止其执行合法代码;然后恶意软件释放原始代码段，在空洞化进程内分配新内存空间;最后将恶意有效负载写入新分配的空间。当进程恢复运行时，RegSvcs.exe 将执行注入的恶意代码。这种方法使恶意软件能够隐藏其存在，使传统安全工具检测和删除起来更加困难。通过将自身嵌入可信进程中，Snake Keylogger可以运行未被检测到的操作，并继续其恶意活动。图 9 显示了带有相应风险评分的指标，突显了威胁的严重性。

　　FSAv5 的另一个指标显示，当恶意软件访问存储浏览器登录凭证和其他敏感数据的文件夹时，能够检测到其行为(图 10)。该指标为恶意软件的意图和行为提供了关键线索，突显了恶意软件泄露用户数据的可能性。

　　数据外偷与通信

　　Snake Keylogger利用多种技术窃取被盗凭证，并收集有关受害者地更多信息。其中一种方法是使用 hxxp://checkip [.] dyndns [.] org 等网站获取受害者的地理位置，增强侦察能力。此外，此外，Snake键盘记录程序通过几个渠道上传被盗的凭据，它通过包括使用 SMTP 和 Telegram 机器人等多个渠道，使用 HTTP Post将数据安全地传输到其命令和控制服务器请求将被盗凭证上传到 C2 服务器

　　恶意功能深度分析

　　FortiSandbox 研究团队通过逆向工程和动态沙箱来分析恶意软件，揭示了该恶意软件的全部恶意功能。图 12 和图 13 显示，恶意软件使用专用模块从浏览器自动填充系统中窃取敏感数据，包括信用卡详细信息。为捕获敲击键，它利用 SetWindowsHookEx API，将第一个参数设置为 WH_KEYBOARD_LL(标志 13)，这是一种监控击键的低级别键盘钩(见图 14)。该技术允许恶意软件能够记录银行凭证等敏感输入。

　　总结

　　FortiSandbox 在检测和分析 Snake Keylogger等高级恶意软件威胁中发挥关键作用。借助其创新的静态和动态分析能力以及 PAIX 引擎的强大功能，FortiSandbox 确保对复杂威胁的全面检测。捕获详细的攻击指标(IoC)还使用户能够主动保护系统免受不断演变的恶意软件攻击，为有效缓解提供有价值的洞察。

　　MITRE ATT&CK 技术关联

　　Fortinet 防护方案

　　FortiSandbox 可识别本报告中提到的恶意软件及其任何变体。无需依赖于 FortiGuard Antivirus 的更新;相反，它利用 PAIX 引擎的机器学习技术来检测以前未知的威胁。

　　FortiGuard Antivirus 专门检测本报告中描述的恶意软件 AutoIt/Injector.GTY!tr。该服务集成到 FortiGate、FortiMail、FortiClient 和 FortiEDR 解决方案中，通过最新的防御功能为使用这些产品的客户提供保护。

　　此外，FortiGuard 网页过滤服务还可检测并阻止命令和控制 (C2) 服务器。

　　资料来源于网络，详情请点击：零信任边缘（https://www.fortinet.com/cn/resources/cyberglossary/zero-trust-edge）