FormBook 恶意软件

什么是 FormBook 恶意软件?

FormBook恶意软件(又名xLoader)被归类为窃取程序(间谍软件),顾名思义,它以直接从网站HTML表单中提取数据的表单抓取技术而闻名,还能从击键、浏览器自动填充功能和复制粘贴剪贴板中窃取数据。通过这些技术,FormBook 可以直接从浏览器中有效捕获未明确键入的数据,包括信用卡号和多因素身份验证令牌。

FormBook 也被归类为恶意软件即服务(MaaS),因为它在出售时已预先编译好,可在网络攻击中使用。FormBook 的 MaaS 平台可让攻击者访问在线指挥和控制(C2)界面,远程控制被入侵的系统并收集窃取的数据。该恶意软件和服务包在暗网论坛上销售,价格从29美元的一周许可证到299美元的完整 "专业 "许可证不等。 

FormBook 可以从 90 多种不同的软件应用程序中窃取数据,包括所有主流浏览器和一长串不那么流行的浏览器、电子邮件客户端和消息应用程序、文件管理工具(包括 Windows Explorer 和 Total Commander)以及一长串 FTP 客户端。2020 年,FormBook 出现了一个新的跨平台变种,被称为 xLoader,使用 Java 编程,能够从运行 Windows 或 macOS 操作系统的设备上窃取数据。 

最新的 FormBook 新闻

FormBook 如何工作

FormBook 可以通过各种第一阶段策略进行传播,这在很大程度上取决于传播它的各个威胁行为体。不过,其默认配置还是使用自解压 Roshal Archive (RAR) 通过嵌入的 AutoIt 脚本感染目标。

执行后,FormBook 会对被入侵系统进行广泛监控,然后根据其系统权限级别以及是否检测到调试工具和安全产品(表明存在恶意软件分析环境)制定动态行动方案。 

FormBook 还通过混淆有效载荷中的硬编码字符串来进一步隐藏其活动。硬编码的路径和函数名被分解成小字符集,并在运行时进行连接,或者在执行前立即进行乱码和解码。FormBook 还在运行时导入动态链接库 (DLL) 模块,方法是手动映射所有可用的模块名称,并将它们与硬编码到有效负载中的 BZip2 CRC32 哈希值进行比较,以避免使用可能暴露其意图的明文字符串。

为了在受感染的系统中保持持久性,FormBook 将其文件安装到一个随机命名的目录中,经常更改其路径、文件名和文件扩展名,并轮换 Windows 自动加载注册表键值。FormBook 还预装了许多 C2 域名,以便在一个 C2 服务器被识别和阻止时进行交换。 

不过,FormBook 规避检测的最有效方法是一种被称为 "进程空洞化"的技术。这种技术允许 FormBook 从合法的 Windows 应用程序中生成一个新进程,这样它就可以伪装成合法进程,骗过扫描流氓进程的安全产品。

Xloader 是 FormBook 的变种,专门用于感染苹果的 macOS,但其成功率很低,原因有两个:

  1. MacOS 没有预装 Java 运行时环境 (JRE)
  2. 其内置的安全机制会在软件未经作者数字签名时向用户发出警告,用户必须明确授权从互联网下载的软件。

尽管 FormBook 能从大量应用程序中窃取已保存的数据,但它还能感染浏览器,使恶意软件能直接访问被感染浏览器加载的任何网页的文档对象模型(DOM)。这种感染方法允许 FormBook 在 DOM 被修改时立即直接从网页表单中抓取数据--即使用户自己没有输入密码。

FormBook 攻击的迹象

FormBook 通过网络钓鱼活动传播,通常以发票付款为主题,诱骗受害者执行主要有效载荷。这些网络钓鱼活动通常使用电子邮件.zip附件,其中包含一个内嵌宏的 Microsoft Office.doc.xls文件、一个扩展名为.exe的可移植可执行文件 (PE),或者最近出现的一个扩展名为.jar的 Java 可执行文件,目的是破坏 Windows 和 macOS 系统。FormBook 攻击在以.exe文件形式发送时还可能使用自定义文件图标,使恶意文件看起来像 PDF 文件。 

如果使用高级系统权限执行,FormBook 会在Program Files目录中创建一个随机命名的目录。如果使用标准用户级权限,执行时会将有效载荷存储在特定用户的AppData目录或 WindowsTemp目录中。

如何防止 FormBook 攻击

防止 FormBook 攻击主要依靠用户意识培训,让员工做好识别潜在恶意文件的准备,并提供处理这些文件的标准操作程序 (SOP)。不过,企业应部署全方位的防御性安全措施,不仅要防止 FormBook 攻击的发生,还要最大限度地减少攻击可能造成的损失,并在攻击发生时迅速检测和恢复。 

可防止 FormBook 攻击成功的更全面的防御策略包括

  • 考虑开展用户意识培训,让员工了解网络钓鱼技术,制定处理可疑电子邮件和文件的标准操作程序 (SOP),并配置电子邮件客户端,在电子邮件来自组织外部时通知用户
  • 认识到加密文件带来的更大风险,并在打开此类文件前彻底核实其来龙去脉
  • 确保 Office 应用程序配置了 "在没有通知的情况下禁用所有宏 " "禁用除数字签名宏以外的所有宏 " 设置
  • 安装和配置端点安全产品,这些产品可在加密文件解密后立即对其进行扫描,检测入侵迹象 (IOC),并采取防御措施阻止恶意文件的执行
  • 尽可能实施零信任解决方案,优先考虑关键系统 
  • 维护所有安全产品上的最新防病毒签名和引擎
  • 确保所有端点只安装经授权的数字签名软件;定期扫描并阻止任何未经授权的软件执行
  • 利用提供远程验证功能的端点安全产品提高远程工作人员系统的可见性
  • 在构建网络时使用最小权限原则,除非需要,否则避免将用户添加到本地管理员组中
  • 使用内容代理监控互联网使用情况,限制用户访问可疑或有风险的网站

CylanceOPTICS 防止 FormBook

CylanceOPTICS®利用人工智能(AI)提供设备上的威胁检测和修复,通过根源分析、智能威胁捕猎以及自动检测和响应功能来防止安全事件的发生。我们的端点检测和响应 (EDR) 方法可有效消除响应延迟。这可能是轻微安全事件与大范围失控事件之间的区别。
观看视频

相关资源:

资源图标 数据丢失防护(DLP) 资源图标 端点安全 资源图标 端点防护平台(EPP) 资源图标 端点检测和响应 (EDR) 资源图标 扩展检测和响应 (XDR) 资源图标 身份和访问管理(IAM) 资源图标 托管检测和响应 资源图标 托管 XDR 资源图标 MITRE ATT&CK 框架 资源图标 移动威胁防御(MTD) 资源图标 用户和实体行为分析 (UEBA) 资源图标 零信任架构 资源图标 零信任网络接入(ZTNA) 资源图标 零信任安全 资源图标 安全信息与事件管理(SIEM) 资源图标 安全接入服务边缘 (SASE)
更多资源