奥斯基窃贼

-------背景-------

-------分析-------

这个是个48.4版本的奥司机窃贼样本，昨天凌晨从网上捡到，unpack后看编译时间是2021/11/14 2:38:09，这个样本从发布到被捕确实有点神速。

包裹体比较简单，使用了注入子进程的方式执行，可以在第三次申请到的内存领空中对ZwWriteVirtualMemory下断点，取buffer内容就是完整的奥斯基窃贼。

奥斯基窃贼执行后首先会判断是否在虚拟环境中，与之间不同的是，这个版本使用了Numa机制来验证工作环境的有效性，并且依旧验证了Windows Defender虚拟机环境的用户名和计算机名。

图1 对抗检测

图2 对抗检测

奥斯基窃贼开始工作首先解密字符串，这个与老版本使用的base64编码 并不一样，这个版本使用了Xor方式加密字符串。

图3 解密字符串

奥斯基窃贼的行窃目标主要有：

1、打包桌面文件与截图用户桌面全屏

2、行窃浏览器历史记录（非常危险）、Cookies等信息，并在在这个版本中针对中国的浏览器进行了扩充

3、窃取加密货币、钱包类信息

4、窃取邮件客户端用户、密码等信息

5、窃取计算机软硬件信息

图4 被窃取数据

-------IOC-------

rule ADV_Oski_A{    meta:        description = "Oski Stealer"        thread_level = 10        in_the_wild = true    strings:    $a = {41 8A 14 02 8B 44 24 1C 32 14 30 88 16}    $b = "JohnDoe"    $c = "HAL9TH"    $d = {84 DB 74 08 6A 00 FF 15}    condition:        (uint16(0) == 0x5A4D) and  (uint32(uint32(0x3C)) == 0x00004550) and $a and $b and $c and $d}

参考：

Meet Oski Stealer: An In-depth Analysis of the Popular Credential Stealer (cyberark.com)