欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kronos恶意软件研究(part 1)

来源:本站整理 作者:佚名 时间:2017-09-04 TAG: 我要投稿

2014年6月,一个用户名为VinnyK的人用俄语在某暗盘网站上初次售卖Kronos歹意软件:
 

材料起源:https://twitter.com/x0rz/status/893191612662153216
该帖子的全文曾经被翻译成英文,并收录在IBM的平安智能文章中。
咱们发明Kronos 歹意软件经由进程各类收集进击包流传,比方Sundown(概况点击这里)。停止今朝,该歹意软件仍旧在猖狂的流传,一个月前咱们还捕捉了经由进程Rig EK流传的一些最新的样本。
如今,Kronos常常用于下载其余歹意软件。Proofpoint文章中描写了收集进击者若何应用Kronos作为下载器停止收集进击运动。
阐发样本
2014年捕捉到的样本:
01901882c4c01625fd2eeecdd7e6745a 初次察看到的Kronos样本(感激Kevin Beaumont)
f085395253a40ce8ca077228c2322010 从Lexsi文章中获得到的样本
a81ba5f3c22e80c25763fe428c52c758 Kronos(终极有用载荷)
6c64c708ebe14c9675813bf38bc071cf injlib-client.dll(Kronos模块)
样本#1(2016年)
2452089b4a9d889f94843430a35fa34f  (加壳的)
9818958e65a0a71e29a2f5e7ffa650ca Kronos(终极有用载荷)
样本#2(2017年)
de9ab737905e09b69b28dc0999d08894 - 加壳的
4f5006835669d72c6ce121e66b3034d7 加载器(第二阶段)
b8986fe9e40f613804aee29b34896707 Kronos(终极有用载荷)
cb7e33e5ede49301e7cd9218addd5c29 - DLL模块
行动阐发
运转后,Kronos歹意软件主动装置在一个新的文件夹中(%APPDATA%/Microsoft/[machine-specific GUID]),以下图所示:
 

歹意软件支撑开机自启动,该功效是经由进程注册表中一个简略的Run键来实现的,以下图所示:
 

在开端履行阶段,歹意软件会改动Firefox的配置文件,应用上面的内容笼罩user.js文件中的内容:
user_pref(“network.cookie.cookieBehavior”,0);
user_pref(“privacy.clearOnShutdown.cookies”,false);
user_pref(“security.warn_viewing_mixed”,false);
user_pref(“security.warn_viewing_mixed.show_once”,false);
user_pref(“security.warn_submit_insecure”,false);
user_pref(“security.warn_submit_insecure.show_once”,false);
user_pref(“app.update.auto”,false);
user_pref(“browser.safebrowsing.enabled”,false);
user_pref(“network.http.spdy.enabled”,false);
user_pref(“network.http.spdy.enabled.v3”,false);
user_pref(“network.http.spdy.enabled.v3-1”,false);
user_pref(“network.http.spdy.allow-push”,false);
user_pref(“network.http.spdy.coalesce-hostnames”,false);
user_pref(“network.http.spdy.enabled.deps”,false);
user_pref(“network.http.spdy.enabled.http2”,false);
user_pref(“network.http.spdy.enabled.http2draft”,false);
user_pref(“network.http.spdy.enforce-tls-profile”,false);
user_pref(“security.csp.enable”,false);
这个新的设置可以或许使歹意软件更好地节制浏览器的行动并低落平安设置。而后,歹意软件主动注入到svchost进程当中,并从那里继承运转。值得留意的是,Kronos安排了一个简略的用户级rootkit,它将被沾染的进程从监督对象中暗藏起来。因此,运转主模块的进程不能被监督到。但是,该rootkit没有以异常可靠的办法实现,并且暗藏后果并欠好。一旦发明受沾染机械上装置了浏览器,Kronos歹意软件便会将其模块注入到浏览器进程当中,并将注入的模块与运转在svchost进程内中的主模块树立衔接。应用监督对象(比方ProcessExplorer)检查由特定进程树立的TCP衔接,咱们可以或许看到浏览器与受沾染的svchost进程成对呈现:
 

银行木马常常应用这个技能来盗取浏览器中的数据。注入到浏览器中的歹意软件经由进程hook API函数来盗取数据。以后,将盗取到的数据发送到其余模块停止阐发处置,并将处置的成果发送给C&C服务器。
收集通讯
从样本数据中找到以下两个C&C服务器的地点:
http://springalove.at:80/noix/connect.php
http://springahate.at:80/noix/connect.php
在阐发的进程当中咱们发明,这两个个C&C服务器都曾经无奈拜访,然则咱们仍旧可以或许发明这个歹意软件家属的典范特性。
 

起首,歹意软件发送长度为74字节的标识:
 

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载