Jeet-Bandhara/FormBook-Malware-Analysis-Report-Threat-Intelligence-Malware-Analysis
GitHub: Jeet-Bandhara/FormBook-Malware-Analysis-Report-Threat-Intelligence-Malware-Analysis
本项目通过对2023年捕获的FormBook恶意软件网络流量进行深入分析,揭示了其C2通信模式和数据窃取技术,提供了威胁情报和防御策略。
Stars: 0 | Forks: 0
# FormBook恶意软件分析报告-威胁情报与恶意软件分析
📌本项目记录了对2023年6月23日网络流量中捕获的真实FormBook恶意软件感染的分析。
## 执行摘要
FormBook是一种商业信息窃取型恶意软件,通常通过钓鱼活动传播。该恶意软件专注于:
- 凭证窃取
- 键盘记录
- 屏幕截图捕获
- 命令与控制(C2)通信
- 持久化机制
本次分析的目标是:
- 调查恶意软件的网络行为
- 识别受感染主机
- 分析C2通信
- 理解数据窃取技术
- 设计针对FormBook感染的防御策略
## 事件概述
恶意软件类型:信息窃取程序 / 键盘记录器
恶意软件家族:FormBook
事件日期:2023年6月23日
分析类型:PCAP恶意软件流量分析
严重性:高
分析时长:2.5小时
PCAP大小:2.5 MB
## 关键发现
- 单台Windows主机感染了FormBook恶意软件
- 恶意软件联系了多个外部C2域名
- 观察到每1-30秒的信标活动
- HTTP POST请求用于加密数据窃取
- 识别出RC4加密并使用Base64编码
- 存在以下证据:
- 凭证窃取
- 键盘记录
- 屏幕截图窃取
## 分析方法论
```
flowchart LR
A[Background Research] --> B[PCAP Analysis]
B --> C[Victim Identification]
C --> D[C2 Mapping]
D --> E[Traffic Analysis]
E --> F[Threat Intelligence]
F --> G[Defensive Strategy]
```
## PCAP信息
文件名:2023-06-23-Formbook-infection-traffic.pcap
来源:malware-traffic-analysis.net
捕获时长:约2小时
受害主机:10.6.23.101
主机名:DESKTOP-AB5CQ1C
域名:DESKTOP-AB5CQ1C.local
MAC地址:00:11:2f:6e:72:f5
## 恶意软件研究
**什么是FormBook?**
FormBook是一种信息窃取型恶意软件,首次发现于2016年。
该恶意软件在地下论坛上以恶意软件即服务(MaaS)形式出售,并被广泛用于钓鱼活动。
主要能力
- 凭证窃取
- 键盘记录
- 屏幕截图捕获
- 浏览器数据窃取
- 命令执行
- 下载其他载荷
为何危险:FormBook针对敏感用户信息,可在用户不知情的情况下悄无声息地窃取凭证。
## 受害者识别
**受感染主机:**
IP地址:10.6.23.101
主机名:DESKTOP-AB5CQ1C
**检测方法:**
使用的Wireshark过滤器:
`http.request.method == "POST"`
观察结果:一台Windows主机持续向可疑的外部域发送出站HTTP POST请求。
重要性:频繁的出站POST流量是恶意软件信标活动和数据窃取的强指标。
## 命令与控制分析(C2)
**识别的C2域名:**
- riabanker.com
- getkani.com
- 188judi.xyz
- herbologyhive.com
- soul2be.academy
- antflying.com
- seiyut.xyz
使用的HTTP方法:POST
观察到的路径:`/p1a4`
Wireshark过滤器:`http.request.method == "POST"`
`dns.qry.name`
为何可疑:
- 重复的POST请求
- 编码的流量
- 随机域名
- 随机域名
这些行为在恶意软件C2通信中很常见。
## 信标行为
**信标频率:**
观察到的通信间隔:每1-30秒
**分析方法:**
- 查看POST请求之间的时间戳
- 测量与同一域名的通信间隔
信标的重要性:
信标允许攻击者:
- 维持远程控制
- 接收命令
- 窃取信息
## 加密与数据窃取分析
**加密技术:**
- RC4加密
- Base64编码
**为何无法直接读取有效载荷:**
窃取的流量在传输前已加密。
没有RC4密钥:
- 数据包内容保持不可读
- 无法直接从PCAP中提取凭证数据
## 数据窃取分析
**可能窃取的信息:**
基于数据包大小和流量模式,FormBook可能窃取了:
- 浏览器凭证
- 用户键盘输入
- 屏幕截图
- 表单提交数据
**流量模式分析:**
| 数据包大小 | 数据类型 |
| :------- | :------: |
| <1KB | 凭证 |
| 1-50 KB | 表单数据 |
| >50 KB | 屏幕截图 |
重要性:即使加密阻止了直接的有效载荷检查,流量大小分析也有助于推断恶意软件行为。
## 恶意流量指标
**观察到的可疑指标:**
- 重复的POST请求
- 随机/非业务域名
- 编码的有效载荷流量
- 频繁的信标间隔
- 异常的出站HTTP流量
重要性:这些行为与已知的恶意软件C2通信模式高度一致。
## 基础设施与归因研究
**域名分析:**
许多识别的域名:
- 可疑
- 新近注册
- 与恶意软件活动相关
一些域名已被下线,而其他域名仍然活跃。
## 与其他恶意软件家族的比较
| 特征 | FORMBOOK | REDLINE | DEERSTEALER |
| :------- | :------: | :------: | :------: |
|**开发时间** | 2016 | 2020 | 2022 |
|**交付方式** | 钓鱼邮件 | 伪造下载 | 恶意广告 |
|**主要目标** | 凭证 | 浏览器数据 | 钱包 |
|**C2协议** | HTTP POST | SOAP/XML HTTP | HTTP POST |
|**加密方式** | RC4+Base64 | AES/SSL | 自定义RC4 |
## FormBook的演变(2023–2025)
**观察到的演变:**
近期的FormBook变种引入了:
- 基于隐写术的有效载荷隐藏
- 仅限内存的有效载荷解密
- 鱼叉式钓鱼活动
- 伪造的Visual Basic脚本附件
- 改进的规避技术
重要性:
现代恶意软件越来越关注:
- 规避检测
- 无文件执行
- 绕过检测
## 检测方法论
**电子邮件安全控制**
建议的保护措施:
- 高级电子邮件网关
- 附件沙箱
- 宏阻止
- DMARC / DKIM / SPF
## 终端检测与加固
**应用程序白名单**
限制从以下位置执行:
- `%Temp%`
- `%UserProfile%`
- `%AppData%`
**禁用LOLBins**
限制:
- `mshta.exe`
- `regsvr32.exe`
- `wscript.exe`
**PowerShell安全**
启用:
- 脚本块日志记录
- 受限语言模式
**EDR检测规则**
对以下情况发出警报:
- 进程注入
- 键盘记录API
- 可疑的Office子进程
重要性:行为检测至关重要,因为FormBook经常绕过传统的基于签名的防病毒软件。
## 网络层防护策略
**防火墙与代理控制**
阻止:
- 已知的恶意域名
- 随机化的PHP端点
- 加密的出站HTTP POST流量
实施:
- Geo-IP过滤
- 出站过滤
- 出站流量限制
## DNS安全控制
**建议的防御措施**
DNS沉洞:
- 安全地重定向恶意域名。
DGA检测:
- 随机域名生成
- 异常的DNS请求频率
## 事件响应剧本
**立即采取的行动**
- 隔离受感染主机
- 阻止恶意域名/IP
- 重置受损凭证
- 识别持久化机制
**取证分析**
执行:
- 内存分析
- 注册表检查
- PCAP审查
- 持久化分析
## MITRE ATT&CK 映射
| 阶段 | 技术 |
| :------- | :------: |
| 初始访问 | 钓鱼 |
| 执行 | 命令与脚本解释器 |
| 持久化 | 注册表运行键 |
| 凭证访问 | 输入捕获 |
| 发现 | 系统信息发现 |
| 命令与控制 | 应用层协议 |
| 数据窃取 | 通过Web服务窃取 |
| 防御规避 | 进程注入 |
## 关键学习要点
- 钓鱼仍然非常有效
- 加密隐藏了窃取的数据,使其无法通过简单检查发现
- 信标行为是一个强检测指标
- DNS和出站流量监控是关键的防御措施
- 快速的事件响应可以减少恶意软件的影响
## 使用的工具
- Wireshark
- VirusTotal
- DomainTools
- PCAP分析技术
- 威胁情报研究
## 调查问答
1. 什么是FormBook恶意软件?
答:FormBook恶意软件是于2016年发现的信息窃取型恶意软件。它从系统中窃取各种类型的数据,如浏览器缓存的凭证、屏幕截图和键盘输入。它还可以在受感染的系统上下载并启动新的恶意软件。
2. FormBook的三个主要能力是什么?
答:FormBook的三个主要能力是:
- 凭证窃取
- 键盘记录
- 屏幕截图捕获
3. FormBook通常如何传递给受害者?
答:FormBook恶意软件主要通过钓鱼邮件、恶意文档和漏洞利用工具包传递给受害者。
4. 受感染Windows主机的IP地址是什么?
答:10.6.23.101
方法:
- 使用的Wireshark过滤器:`http.request.method == "POST"`
- 只有一个IP地址持续向外服务器发送POST请求。
5. 受感染Windows系统的主机名是什么?
答:DESKTOP-AB5CQ1C
方法:
- 使用的Wireshark过滤器:`nbns`,即NetBIOS名称服务。
- 在NBNS流量中查找“名称查询”数据包。
6. 识别至少两个FormBook联系过的C2服务器域名。
答:C2服务器域名:
- getkani.com
- herbologyhive.com
- riabanker.com
- antflying.com
方法:
- 使用的Wireshark过滤器:`http.request.method == "POST"` 和DNS查询过滤器 `dns.qry.name`。
- HTTP POST请求接收到不可读的明文加密数据。
7. FormBook用于C2通信的HTTP方法和路径是什么?
答:HTTP方法 = POST
路径 = `/p1a4`
方法:
- 使用的Wireshark过滤器:`http.request.method == "POST"`
- 查看请求URL路径,并检查路径是否一致。
8. FormBook多久与C2服务器联系一次?
答:每1-30秒。
方法:
- 查看发往同一域名的POST请求的时间戳,并计算它们之间的时间差。
9. 描述FormBook用于C2数据的加密方法。
答:FormBook恶意软件使用RC4加密方法,该方法的数据经Base64编码用于C2通信。
10. 通过查看PCAP,你能读取FormBook正在窃取的实际数据吗?
答:不能,我无法读取FormBook正在窃取的实际数据,因为数据是RC4加密的,我没有密钥,并且数据还经过了Base64编码。
11. 根据流量模式,FormBook可能窃取了哪些类型的数据?
答:主要是屏幕截图、键盘记录和凭证。
方法:
- 在HTTP POST方法中,查看POST请求的频率和数据包大小。
- 如果大小<1KB = 键盘记录/凭证,1-50KB = 表单数据,>50KB = 屏幕截图。
12. 识别恶意C2流量的潜在指标。
答:指标包括:
- 一致的POST请求。
- 域名不是商业网站。
- POST数据是加密/编码的。
13. 研究C2基础设施。这些域名是否仍然活跃或已被下线?
答:许多FormBook恶意软件C2域名已被下线,但FormBook仍在演变,新的域名仍在不断出现。
14. FormBook尝试联系了多少个C2域名?哪些成功解析了?
答:FormBook尝试联系了八个C2域名,所有域名都成功解析了。
15. 为这次FormBook感染创建一个完整的攻击链总结。
答:1. 感染向量:
- FormBook通过钓鱼邮件传递。
- 用户从ZIP文件中解压出EXE文件。
- 用户执行了EXE文件。
2. 执行阶段:
- FormBook恶意软件自动启动。
- FormBook通过DNS解析C2域名。
3. 收集阶段:
- FormBook开始窃取凭证、记录键盘输入并捕获屏幕截图。
4. 窃取阶段:
- 每1-30秒,FormBook连接到C2域名。
- FormBook发送加密的窃取数据。
5. 持久化与控制:
- 攻击者接收数据并发送命令。
- 感染持续存在,直到手动移除。
## 参考文献
https://www.domaintools.com/
https://www.virustotal.com/gui/domain/seiyut.xyz
https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/what-is-formbook-malware/
https://www.fortinet.com/blog/threat-research/deep-analysis-new-formbook-variant-delivered-phishing-campaign-part-I
https://www.vmray.com/glossary/formbook/
https://thehackernews.com/2023/02/formbook-malware-spreads-via.html
## 作者
**Jeet Bandhara**
5. 受感染Windows系统的主机名是什么?
答:DESKTOP-AB5CQ1C
方法:
- 使用的Wireshark过滤器:`nbns`,即NetBIOS名称服务。
- 在NBNS流量中查找“名称查询”数据包。
6. 识别至少两个FormBook联系过的C2服务器域名。
答:C2服务器域名:
- getkani.com
- herbologyhive.com
- riabanker.com
- antflying.com
方法:
- 使用的Wireshark过滤器:`http.request.method == "POST"` 和DNS查询过滤器 `dns.qry.name`。
- HTTP POST请求接收到不可读的明文加密数据。
7. FormBook用于C2通信的HTTP方法和路径是什么?
答:HTTP方法 = POST
路径 = `/p1a4`
方法:
- 使用的Wireshark过滤器:`http.request.method == "POST"`
- 查看请求URL路径,并检查路径是否一致。
8. FormBook多久与C2服务器联系一次?
答:每1-30秒。
方法:
- 查看发往同一域名的POST请求的时间戳,并计算它们之间的时间差。
9. 描述FormBook用于C2数据的加密方法。
答:FormBook恶意软件使用RC4加密方法,该方法的数据经Base64编码用于C2通信。
10. 通过查看PCAP,你能读取FormBook正在窃取的实际数据吗?
答:不能,我无法读取FormBook正在窃取的实际数据,因为数据是RC4加密的,我没有密钥,并且数据还经过了Base64编码。
11. 根据流量模式,FormBook可能窃取了哪些类型的数据?
答:主要是屏幕截图、键盘记录和凭证。
方法:
- 在HTTP POST方法中,查看POST请求的频率和数据包大小。
- 如果大小<1KB = 键盘记录/凭证,1-50KB = 表单数据,>50KB = 屏幕截图。
12. 识别恶意C2流量的潜在指标。
答:指标包括:
- 一致的POST请求。
- 域名不是商业网站。
- POST数据是加密/编码的。
13. 研究C2基础设施。这些域名是否仍然活跃或已被下线?
答:许多FormBook恶意软件C2域名已被下线,但FormBook仍在演变,新的域名仍在不断出现。
14. FormBook尝试联系了多少个C2域名?哪些成功解析了?
答:FormBook尝试联系了八个C2域名,所有域名都成功解析了。
15. 为这次FormBook感染创建一个完整的攻击链总结。
答:1. 感染向量:
- FormBook通过钓鱼邮件传递。
- 用户从ZIP文件中解压出EXE文件。
- 用户执行了EXE文件。
2. 执行阶段:
- FormBook恶意软件自动启动。
- FormBook通过DNS解析C2域名。
3. 收集阶段:
- FormBook开始窃取凭证、记录键盘输入并捕获屏幕截图。
4. 窃取阶段:
- 每1-30秒,FormBook连接到C2域名。
- FormBook发送加密的窃取数据。
5. 持久化与控制:
- 攻击者接收数据并发送命令。
- 感染持续存在,直到手动移除。
## 参考文献
https://www.domaintools.com/
https://www.virustotal.com/gui/domain/seiyut.xyz
https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/what-is-formbook-malware/
https://www.fortinet.com/blog/threat-research/deep-analysis-new-formbook-variant-delivered-phishing-campaign-part-I
https://www.vmray.com/glossary/formbook/
https://thehackernews.com/2023/02/formbook-malware-spreads-via.html
## 作者
**Jeet Bandhara**