KoiStealer窃密木马最新变种分析

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

KoiStealer是一种新型的窃密类木马，攻击者主要通过钓鱼邮件进行传播，该窃密木马能获取受害者屏幕截图、浏览器中储者的密码、Cookie等数据，然后利用盗取的这些数据，对受害者进行更进一步的诈骗攻击活动。

该窃密木马整个攻击链还算是比较复杂的，笔者曾完整分析过该窃密木马的攻击链，相关的报告：

《伪装成花旗银行对帐单的窃密攻击活动》

《KoiStealer窃密木马最新攻击链样本详细分析》

有兴趣的可以去参考学习一下，下面笔者给大家分享一个最新的KoiStealer的变种样本，样本可以从https://malware-traffic-analysis.net/网站下载，如下所示：

样本分析

1.样本采用C/C++语言编写，如下所示：

2.入口函数代码，如下所示：

3.获取样本资源加密数据，如下所示：

4.将获取的资源加密数据加载到内存当中，如下所示：

5.将加密数据拷贝到另外一块分配的内存空间，如下所示：

6.然后解密加密数据，如下所示：

7.解密之后获得PayLoad，如下所示：

8.PayLoad主程序入口代码，如下所示：

9.里面有一些反沙箱操作，如下所示：

10.下载执行后面的PS恶意脚本，与此前笔者分析的基本一样了，如下所示：

其他分析过程省略，笔者只对其中的一个Bin文件进行了分析，里面就包含很多功能分析点，完整攻击链的样本比较复杂，可以自行下载研究，有不懂的参考笔者之前的文章。

总结结尾

对高级恶意软件分析和研究感兴趣的，可以加入笔者的全球安全分析与研究专业群，一起共同分析和研究全球流行恶意软件家族，笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族，这些恶意软件家族都是全球最流行的，也是黑客攻击活动中最常见的恶意软件家族，被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究