2023年,安全圈第一次注意到BlankGrabber。两年过去,它没死,反而学会了更隐蔽的渗透手法——把Windows系统自带的证书工具,改造成恶意软件的"快递车"。
Splunk安全团队最近扒出一起新样本:攻击者把恶意代码伪装成证书安装脚本,上传到Gofile.io文件分享平台。用户一旦运行,后台会悄然启动一条多层感染链,全程不触发常规安全软件的警报。
证书工具怎么成了"帮凶"
BlankGrabber的加载器盯上了certutil.exe——这个Windows内置的证书管理工具,正常用途是处理SSL证书和加密文件。攻击者让它解码一段"证书数据",实际内容却是一个用Rust编写的stager(暂存程序)。
这个stager的设计相当谨慎。它先检查系统环境,把驱动列表、用户名、计算机名和一份硬编码名单比对。名单里列着"Triage""Zenbox""Sandbox"等常见沙箱标识,一旦发现匹配,立刻退出,避免被安全研究人员捕获。
确认环境"干净"后,stager向%TEMP%文件夹投放一个自解压RAR压缩包。里面藏着两个恶意程序:XWorm远程控制客户端(host.exe)和BlankGrabber本体(Knock.exe)。为了蒙混过关,文件会被随机重命名为OneDriveUpdateHelper.exe或SteamService.exe这类看似正常的系统进程名。
Python木马的"打包"生意
BlankGrabber的核心是用Python写的,但用户看到的却是.exe可执行文件。攻击者用了PyInstaller把脚本打包成独立程序,里面还塞了一个加密文件叫"blank_aes"。运行时会动态解密,把敏感操作藏在内存里执行,硬盘上几乎不留痕迹。
这种"即抛即用"的设计,让BlankGrabber的迭代速度极快。模块化架构允许攻击者按需组合功能——要浏览器密码就加对应模块,要加密货币钱包就换另一个。传统基于特征码的杀毒软件往往跟不上它的更新节奏。
BlankGrabber的窃取清单很长:浏览器保存的账号密码、会话令牌、剪贴板内容、Wi-Fi密码、加密货币钱包数据,还能偷偷截图和调用摄像头。更麻烦的是,它每次行动都会把XWorm一起带进来,让攻击者既能偷数据,又能长期遥控受害机器。
传播渠道:Discord、GitHub和"破解版"陷阱
BlankGrabber不靠技术漏洞,专攻人性弱点。它的主要传播路径有三条:伪装成破解软件的下载链接、Discord群里分享的恶意压缩包、以及假冒知名开源项目的GitHub仓库。
GitHub那条路尤其隐蔽。攻击者会fork(复制)热门工具仓库,把README和界面做得和原版几乎一样,只在release里替换掉安装包。开发者搜索工具时,稍不留神就会点到"李鬼"链接。
Discord则更直接。游戏MOD群、软件分享频道里,攻击者上传带密码的压缩包,密码写在消息里,营造出"内部资源"的错觉。解压运行,感染链就启动了。
Splunk分析师指出,BlankGrabber的证书加载器手法并非孤例。把合法系统工具武器化,已经成为地下市场的显学——因为白名单里的程序,往往是安全监控的盲区。
一个值得注意的细节是:BlankGrabber的Rust stager会专门检测中文用户名环境。某些变体甚至会跳过特定地区的机器,暗示攻击者可能有明确的地理目标偏好,或者单纯想减少被特定安全团队追踪的风险。
如果你最近在非官方渠道下载过"破解版"工具,或者从Discord群文件里解压过带密码的压缩包——你的机器现在是否还在你完全掌控之中?
热门跟贴