当心,Kaskitya木马伪装成“京卡-互助服务卡”欺骗用户!

基本情况概述

最近,我们关注到一起APT攻击事件,攻击者通过钓鱼邮件的方式投递含有恶意代码的附件,此附件包含一个名叫“Kaskitya”的木马。

我们对木马进行深入分析后,发现此木马主要针对中国区(包括繁体用户等)用户攻击。该木马除了常规的数据窃取功能外,还会对特定文档进行破坏。

攻击过程还原

该样本使用office图标伪装自己,并将自己命名为“京卡-互助服务卡”的介绍文档,欺骗用户点击。

此样本被点击运行后,会释放恶意DLL后门,通过解密配置文件,回连远程服务器并等待接受黑客指令。

主要样本分析

主程序分析(京卡-互助服务卡)

我们分析该样本,发现它是使用NSIS进行打包的可执行程序,并使用了Word图标的进行伪装。

双击运行后,它会在“前台”打开一个《京卡•互助服务卡简介》的文档欺骗用户。

实际上,它还会在后台偷偷的加载一个叫“zbquq.dll’的恶意dll文件,通过安恒APT攻击预警平台自动化分析结果,可以清晰的发现其运行流程:

通过上图,我们可以发现它是通过Rundll32.exe加载恶意Dll文件中的输出函数DLLEntry。

zbquq.dll分析

我们观察该DLL文件,可发现它包含多个输出函数供其他程序调用:

通过分析后,可确定每个输出表函数大概功能如下:

由此发现大部分操作都和LNK文件有关系,最核心的功能全在DllEntry函数里面。

解密机制分析

该DLL文件大部分字符串都是加密存储,内部有2套解密机制。

通过分析,发现2套解密算法类似,解密代码如下:

解密效果如下:

自启动机制分析:

该样本没有直接写启动行为(例如:写自启动注册表或自启动目录),而是采取迂回的方式,修改正常LNK文件的指向。

具体功能的实现在输出表函数DllInstall(备注:DllUninstall和DllInstall相同代码)中,它会查找如下目录中包含的LNK文件:

  • %USERPROFILE%\Desktop
  • %USERPROFILE%\桌面
  • %APPDATA%\Microsoft\Internet Explorer\Quick Launch
  • %APPDATA%\Microsoft\Windows\Start Menu
  • %ALLUSERSPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
  • %USERPROFILE%\「開始」功能表
  • %ALLUSERSPROFILE%\「開始」功能表
  • %USERPROFILE%\「开始」菜单
  • %ALLUSERSPROFILE%\「开始」菜单

并写入批处理文件“aecom.bat”,批处理文件是通过调用输出函数DllSetClassObject进行LNK修改:

具体实现是调用com接口感染LNK文件的 “Command Line”字段:

由于被感染的目录是我们日常办公时习惯使用的目录,当日常办公时,我们习惯点击相关快捷方式,从而导致恶意DLL被动加载。

回连指令分析

主恶意程序会从自身释放加密的配置文件“aecom.dat”,它会第4个字节开始读取6个字节长度与密钥“\x7c\x18\x95\x47\x69\x13\x68”进行异或。

再经过2次解密算法后得到回连地址:45.79.81.116

通过安恒威胁分析平台可以分析,该IP属于vps服务商Llinode所有。

虽然远程黑客C&C服务器暂时不能连接,但我们通过分析还是能确认回连的功能。当恶意软件接收到恶意服务器反馈的“!HELLO”指令后,会进入接收控制指令阶段。

其接收的指令具体含义如下:

数据搜集主要来自“!CAB”功能函数,通过构造ddf配置文件后,使用系统自带的makecab程序进行压缩:

除了搜集数据功能,它还具有破坏功能。

它会从C盘到Z盘进行文件遍历,查找固定硬盘和可移动硬盘中包含特定文件后缀名(后缀列表为:doc、docx、ppt、pptx、xls、xlsx、txt)的文件,并按照指定的时间查找删除。

另外样本还会调用del命令删除WPS升级相关程序:

总结

从目前的情况来看,该样本能通过恶意后门加载插件运行,后续可通过插件可以实现任意功能。

建议措施:

  • 用户可通过检查系统中是否存在可疑Rundll32进程来判断是否感染。
  • 建议用户打开可疑附件时,需提高警惕,不要轻易打开运行。
  • 如果需要技术支持,可与我们联系。

相关IOC

文件hash:

daf8c5c5160196f8d49e6116937c83e1

57f903ccd4fdfe3bdaab4008379ab66e

461e41c760806995bfa59265875a5ddd

回连地址:

45.79.81.116

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-07-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Android源码框架分析

Android模拟器识别技术

Android模拟器常常被用来刷单,如何准确的识别模拟器成为App开发中的一个重要模块,目前也有专门的公司提供相应的SDK供开发者识别模拟器。 目前流行的And...

4044
来自专栏FreeBuf

无文件Powershell恶意程序使用DNS作为隐蔽信道

思科Talos安全团队最近发现一款Powershell恶意程序,用DNS进行双向通信。 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域...

2709
来自专栏JackeyGao的博客

Django小技巧03: 优化数据库查询

本文介绍一个非常简单的技巧, 能够帮助你在使用 Django ORM 时优化数据库查询.

1332
来自专栏有趣的Python

程序员装机必备爆款软件推荐与配置(windows版)

做机也要做一只全能的机哦 值此新年来临之即,面对两百多个G的c盘。忍痛割爱将电脑系统重装,版本为(win10:1079)之后的所有电脑环境更新,专业软件安装均会...

4253
来自专栏皮振伟的专栏

[linux][memory]balloon技术分析

前言: 我大天朝人觉得什么东西含量不够,叫做有“水份”。内存的含量不足,叫“balloon”。作者是外语专业毕业的,感觉不同国度的人虽然语言不同,但是表达出来的...

5058
来自专栏琯琯博客

awesome-php

收集整理一些常用的PHP类库, 资源以及技巧. 以便在工作中迅速的查找所需… 这个列表中的内容有来自 awesome-php 的翻译, 有来自开发者周刊以及个人...

9069
来自专栏小白课代表

Autodesk Revit 2018安装教程

Revit是Autodesk公司一套系列软件的名称。Revit系列软件是专为建筑信息模型(BIM)构建的,可帮助建筑设计师设计、建造和维护质量更好、能效更高的建...

1052
来自专栏FreeBuf

CVE-2018-4878 Flash 0day漏洞攻击样本解析

背景 2018年1月31日,韩国CERT发布公告称发现Flash 0day漏洞的野外利用,攻击者执行针对性的攻击;2月1日Adobe发布安全公告,确认Adobe...

2568
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

2519
来自专栏小白课代表

Ansoft maxwell(Ansoft maxwell EM)16 安装教程。

2972

扫码关注云+社区