欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kutaki恶意软件绕过网关窃取用户凭证

来源:本站整理 作者:佚名 时间:2019-02-01 TAG: 我要投稿

这是一个恶意软件在用户眼皮底下进行攻击的案例。最近我们发现了一起网络钓鱼攻击活动,该活动通过将Kutaki恶意软件隐藏在合法的应用程序中来绕过电子邮件网关,从而获取用户凭据信息。
虽然Kutaki窃密软件使用的反沙箱和反调试技术略显落后,但不要小看它。它对未硬件化虚拟机及其他一些分析工具具有很好的对抗性。可以绕过很多常规的检测手段。
可以通过点击这里了解Cofense Intelligence的IT团队如何在诸如此次活动在内的网络钓鱼活动和恶意软件威胁方面处于行业领先地位。
 
细节
Cofense Intelligence最近发现了一起小范围的网络钓鱼活动,这起活动在合法的Visual Basic应用中隐藏Kutaki窃取软件和键盘记录器,将其作为OLE包放置在Offic文档中来完成分发。
Kutaki使用了一系列反虚拟化和反分析技术,但看起来这些技术都是从2010年至2011年的一些博客中借鉴而来。Kutaki 窃密软件可以从键盘,鼠标,剪贴板,麦克风和屏幕(以屏幕截图形式)等途径来收集用户输入的信息。我们还发现 Kutaki通过在Windows中执行cURL来检索目标主机是否带有SecurityXploded推出的BrowserPasswordDump工具。
虽然它使用的逃避检测技术不够先进,但在对抗检测和分析方面,仍有不少亮点。
 
藏在眼皮底下:混淆
这个Kutaki变种将恶意内容隐藏在Visual Basic培训应用中。试图通过隐藏在看似正常的Visual Basic培训应用中这种手段来使自己处于白名单,并且轻而易举的绕过静态签名检测。

图1:项目详情

图2:项目代码块
即使不是专业的程序员,也看的出这里有些程序看起来似乎放在了错误的分支下,除此之外还可以看到到表单(GUI元素)和控制它们的程序之间存在紧密关联。图3展现了他们的映射关系。

图3:表单元素与其代码相对应
通过对程序进行检查,可以发现应用被安装了后门。如图4,将合法程序结构和被注入了后门的程序进行了对比。

图4:”ff”和”frmLogin”是原生程序,而”chee”、”saamneao”、”dewani”以及”ende”是注入的后门
我们不仅看出命名上的差异(大部分合法程序以”frm“开头),还可推断出注入程序采用的随机命名的方式。除此之外,那些被注入了后门的函数,函数名无法解析,只是由解码器临时分配。
注入这种后门时使用了混淆技术,通过 rtcStrReverse函数可以解码经反转的二进制字符串。如图5,即为一个混淆实例。

图5:3个使用rtcStrReverse对混淆字符串进行解码的实例
在隐藏可疑API调用时,使用了很多类似的字符串混淆。图6展示了对于Sleep和 ShellExecuteA字符串的混淆。

图6:Sleep和ShellExecuteA字符串
这些字符串是DllFunctionCall(Visual Basic应用中,一种可以特定DLL文件从检索函数地址的方法)中一个很小的结构体。如下所示:
typedef struct _DllFunctionCallDataStruct {
void * lpLibName;
void * lpExportName;
} DllFunctionCallDataStruct;
在图6中,我们可以看到这些结构是如何进行映射的。对于DLLFunctionCall的调用,封装在类似的代码段中,如图7所示。

图7:典型封装:DllFunctionCall调用
通过仔细分析,我们找到了18个以这种方法进行混淆的API,详见图8:

图8:对Kutaki执行恶意行为时调用的API进去去混淆
 
反虚拟化
Kutaki使用了一些基本的检测和对比来验证自身是否运行在虚拟化环境中。首先它会读取注册表值HKLMSystemCurrentControlSetServicesDiskEnum,并将返回结果与“undesirable”字符串进行比较。图9为读取注册表代码。

图9:Kutaki从注册表读取磁盘信息
这个注册表表值中包含了当前计算机的磁盘信息。第一个磁盘对应的值为“0”,第二个磁盘对应的值为“1”,依此类推。在该分析VM的实例中,值0包含图10中观察到的数据。如图10,为分析反VM功能时,该计算机注册表值为0的实例。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载