欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

为逃避检测而取消持久性:KPOT v2.0信息窃取恶意软件分析

来源:本站整理 作者:佚名 时间:2019-05-15 TAG: 我要投稿

概述
KPOT Stealer是一种信息窃取类型的恶意软件,该恶意软件可以从Web浏览器、即时通信、电子邮箱、VPN、RDP、FTP、加密货币软件和游戏中提取帐户信息和其他数据。
Proofpoint的研究人员从2018年8月开始,发现有攻击者开始通过电子邮件活动和漏洞利用工具包分发KPOT Stealer(如下图所示)。此外,Flashpoint Intel的研究人员在2018年9月发现了针对Javv加密货币钱包用户的恶意软件。
2018年11月至2019年5月期间,分发KPOT Stealer的漏洞利用工具包动:

最近,攻击者开始提供更新版本的恶意软件,本文分析了其中一起恶意活动及在恶意活动中使用的恶意软件。这一较新版本的恶意软件,正在各种地下黑客论坛中出售,其名称被标注为“KPOT v2.0”,价格约为100美元。
在俄罗斯的某地下黑客论坛中,我们找到了KPOT v2.0的商品,同时还包含标明其价格变化的历史信息:

恶意活动分析
我们在各种电子邮件恶意活动中,都观察到了KPOT的存在。例如,下面的内容体现了攻击者所使用的策略、技术和过程(TTP),其中包括使用文档和相同Payload域名的另一个恶意软件家族——Agent Tesla的活动。
KPOT恶意活动发送的恶意邮件:

· 发件人:ernandes
· 主题: payment-Bank transfer(付款 – 银行转账)
· 日期:2019年4月30日(星期二)
· 附件:“Bank transfer copy.doc”(银行转账复制版本)
利用CVE-2017-11882漏洞(公式编辑器漏洞)的RTF文档附件:

在上述示例中,附件是一个LCG Kit变种RTF文档,它利用CVE-2017-11882公式编辑器漏洞,通过bit.ly短地址链接服务下载中间下载工具:· hxxps://bit[.]ly/2GK79A4 -> hxxp://internetowe[.]center/get/udeme.png
随后,下载工具从各种paste.ee链接中获取包含经过Base64编码后Payload的部分PowerShell脚本:
· hxxps://paste[.]ee/r/BZVbl (在PowerShell脚本中,包含用于反射DLL注入的附加二进制文件)
· hxxps://paste[.]ee/r/mbQ6R (经过Base64编码后的Payload)
· hxxps://paste[.]ee/r/OsQra (PowerShell脚本的后半部分)
其中,Payload是KPOT Stealer配置:
· C2:hxxp://5.188.60[.]131/a6Y5Qy3cF1sOmOKQ/gate.php
· XOR密钥:Adx1zBXByhrzmq1e
恶意软件分析
KPOT Stealer是一个使用C/C++语言编写的信息窃取类型恶意软件,专注于窃取各种软件应用程序和服务的帐户信息以及其他数据。该名称来源于早期版本恶意软件中使用的命令与控制(C&C)面板:

本文着重对较新版本的C&C面板进行分析,下图为登录屏幕截图。可以看出,可供识别的标志已经被删除。
新的命令与控制面板:

字符串
在大多数恶意软件中,重要的字符串都会被加密。在这里,每个加密的字符串都存储在一个8字节结构的数组中,每个结构包含:
1. 异或密钥(WORD)
2. 字符串长度(WORD)
3. 指向加密字符串的指针(DWORD)
每个加密的字符串都可以通过XOR密钥与其进行异或操作来实现解密。在参考中,[1]是一个IDA Python的片段,可用于解密分析样本中的字符串,在[2]中则包含解密字符串列表。
Windows API调用
KPOT Stealer通过哈希运算,解析它在运行时使用的大多数Windows API函数。该恶意软件所使用的散列算法被称为MurmurHash[3]。在我们所分析的样本中,使用0x5BCFB733作为种子(Seed)。下表包括使用的一些哈希值列表,以及其对应的Windows API名称:
· 0xEC595E53 GetModuleFileNameW
· 0x68CCF342 CreateStreamOnHGlobal
· 0xCF724FBB GetVolumeInformationW
· 0xB6B1AD4A InternetOpenW
· 0x6EAB51D socket
命令与控制
KPOT使用HTTP进行命令与控制。URL组件存储为加密字符串。在我们分析的样本中,URL为hxxp://bendes[.]co[.]uk/lmpUNlwDfoybeulu/gate.php。该恶意软件还支持.bit的C&C域名,这些域名目前被越来越普遍地使用。
有两种类型的请求会被发送到C&C服务器中。第一个是对C&C服务器的GET请求,如下图所示:

来自C&C的响应内容经过Base64编码,并且使用硬编码密钥进行XOR异或操作,改密要被存储为加密字符串。在我们分析的样本中,密钥为“4p81GSwBwRrAhCYK”。其明文响应内容的示例如下:
1111111111111100__DELIMM__A.B.C.D__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载