当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!
基本情况概述
最近,我们关注到一起APT攻击事件,攻击者通过钓鱼邮件的方式投递含有恶意代码的附件,此附件包含一个名叫“Kaskitya”的木马。
我们对木马进行深入分析后,发现此木马主要针对中国区(包括繁体用户等)用户攻击。该木马除了常规的数据窃取功能外,还会对特定文档进行破坏。
攻击过程还原
该样本使用office图标伪装自己,并将自己命名为“京卡-互助服务卡”的介绍文档,欺骗用户点击。
此样本被点击运行后,会释放恶意DLL后门,通过解密配置文件,回连远程服务器并等待接受黑客指令。
主要样本分析
主程序分析(京卡-互助服务卡)
我们分析该样本,发现它是使用NSIS进行打包的可执行程序,并使用了Word图标的进行伪装。
双击运行后,它会在“前台”打开一个《京卡•互助服务卡简介》的文档欺骗用户。
实际上,它还会在后台偷偷的加载一个叫“zbquq.dll’的恶意dll文件,通过安恒APT攻击预警平台自动化分析结果,可以清晰的发现其运行流程:
通过上图,我们可以发现它是通过Rundll32.exe加载恶意Dll文件中的输出函数DLLEntry。
zbquq.dll分析
我们观察该DLL文件,可发现它包含多个输出函数供其他程序调用:
通过分析后,可确定每个输出表函数大概功能如下:
由此发现大部分操作都和LNK文件有关系,最核心的功能全在DllEntry函数里面。
解密机制分析
该DLL文件大部分字符串都是加密存储,内部有2套解密机制。
通过分析,发现2套解密算法类似,解密代码如下:
解密效果如下:
自启动机制分析:
该样本没有直接写启动行为(例如:写自启动注册表或自启动目录),而是采取迂回的方式,修改正常LNK文件的指向。
具体功能的实现在输出表函数DllInstall(备注:DllUninstall和DllInstall相同代码)中,它会查找如下目录中包含的LNK文件:
- %USERPROFILE%\Desktop
- %USERPROFILE%\桌面
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch
- %APPDATA%\Microsoft\Windows\Start Menu
- %ALLUSERSPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
- %USERPROFILE%\「開始」功能表
- %ALLUSERSPROFILE%\「開始」功能表
- %USERPROFILE%\「开始」菜单
- %ALLUSERSPROFILE%\「开始」菜单
并写入批处理文件“aecom.bat”,批处理文件是通过调用输出函数DllSetClassObject进行LNK修改:
具体实现是调用com接口感染LNK文件的 “Command Line”字段:
由于被感染的目录是我们日常办公时习惯使用的目录,当日常办公时,我们习惯点击相关快捷方式,从而导致恶意DLL被动加载。
回连指令分析
主恶意程序会从自身释放加密的配置文件“aecom.dat”,它会第4个字节开始读取6个字节长度与密钥“\x7c\x18\x95\x47\x69\x13\x68”进行异或。
再经过2次解密算法后得到回连地址:45.79.81.116
通过安恒威胁分析平台可以分析,该IP属于vps服务商Llinode所有。
虽然远程黑客C&C服务器暂时不能连接,但我们通过分析还是能确认回连的功能。当恶意软件接收到恶意服务器反馈的“!HELLO”指令后,会进入接收控制指令阶段。
其接收的指令具体含义如下:
数据搜集主要来自“!CAB”功能函数,通过构造ddf配置文件后,使用系统自带的makecab程序进行压缩:
除了搜集数据功能,它还具有破坏功能。
它会从C盘到Z盘进行文件遍历,查找固定硬盘和可移动硬盘中包含特定文件后缀名(后缀列表为:doc、docx、ppt、pptx、xls、xlsx、txt)的文件,并按照指定的时间查找删除。
另外样本还会调用del命令删除WPS升级相关程序:
总结
从目前的情况来看,该样本能通过恶意后门加载插件运行,后续可通过插件可以实现任意功能。
建议措施:
- 用户可通过检查系统中是否存在可疑Rundll32进程来判断是否感染。
- 建议用户打开可疑附件时,需提高警惕,不要轻易打开运行。
- 如果需要技术支持,可与我们联系。
相关IOC
文件hash:
daf8c5c5160196f8d49e6116937c83e1
57f903ccd4fdfe3bdaab4008379ab66e
461e41c760806995bfa59265875a5ddd
回连地址:
45.79.81.116