安全分析与研究

专注于全球恶意软件的分析与研究

原文首发出处：

https://xz.aliyun.com/t/14900

先知社区 作者：熊猫正正

KoiStealer是一种新型的窃密类木马，攻击者主要通过钓鱼邮件进行传播，该窃密木马能获取受害者屏幕截图、浏览器中储者的密码、Cookie等数据，然后利用盗取的这些数据，对受害者进行更进一步的诈骗攻击活动，笔者最近捕获到该木马最新的攻击活动，对该攻击活动攻击链样本进行了详细分析，供大家参考学习。

1.钓鱼样本解压缩之后，伪装成PDF图标的快捷方式，如下所示：

2.快捷方式执行的命令行参数，如下所示：

3.创建计划任务启动项，如下所示：

4.从远程服务器上下载计划任务启动项对应的恶意脚本文件并存放到%temp%目录下，下载的恶意脚本，从远程服务器上下载另外一个恶意脚本，并删除之前的计划任务启动项，如下所示：

5.下载的恶意脚本，如下所示：

6.恶意脚本将自身拷贝到%ProgramData%目录下并重命名，如下所示：

7.从远程服务器上下载恶意PowerShell脚本并执行，恶意PowerShell脚本内容，如下所示：

8.恶意PowerShell脚本从远程服务器上请求PayLoad数据，PayLoad的编译时间为2024年2月21日，如下所示：

9.然后通过ShellCode在内存中加载执行PayLoad数据，如下所示：

10.ShellCode加载器代码，如下所示：

11.PayLoad代码，如下所示：

12.获取程序资源数据，如下所示：

13.获取的资源数据ID为47574存储到分配的内存空间当中，如下所示：

14.获取的资源数据ID为37252存储到分配的内存空间当中，如下所示：

15.利用资源数据ID为37252的解密Key，解密资源数据ID为47574的加密数据，如下所示：

16.将加密的资源数据，拷贝到内存中，如下所示：

17.解密加密的资源数据，解密算法，如下所示：

18.解密之后的资源数据，如下所示：

19.然后分配内存，将解密的PayLoad加载到该内存中，如下所示：

20.最后跳转执行到PayLoad代码入口点，如下所示：

21.解密之后的PayLoad编译时间为2024年6月4日，如下所示：

22.PayLoad代码，会判断机器操作系统语言版本，如果为以下语言ID版本，则直接退出程序，如下所示：

23.获取主机相关信息，如果不满足，则退出程序，主要是为了反沙箱操作，如下所示：

24.通过获取主机的文件信息，用户名等信息反沙箱，例如获取主机用户名，判断是否为列表中的用户名，如下所示：

25.获取远程服务器URL连接地址hxxp://176.10.111.71/guapen.php，并创建临时文件，如下所示：

26.获取%ProgramData%目录下的恶意脚本文件，并设置计划任务，如下所示：

27.设置的计划任务，如下所示：

28.从远程服务器上获取相应的配置文件数据，如下所示：

29.通过固定的请求数据格式，向远程服务器发起请求，如下所示：

30.请求数据格式内容，如下所示：

31.获取主机名等信息，然后以固定格式向远程服务器发送POST请求，如下所示：

32.从远程服务器下载恶意PowerShell脚本并执行，如下所示：

33.下载的恶意脚本，如下所示：

34.从远程服务器上下载配置数据，如下所示：

35.恶意文件配置数据，如下所示：

36.异或解密上面的加密数据，并加载执行，如下所示：

37.解密出来的最后PayLoad是一个NET编写的程序，使用Obfuscar(1.0)[-]混淆，如下所示：

38.解混淆之后，与此前分析的KoiStealer代码结构一致，如下所示：

39.获取到相关的配置信息，如下所示：

40.获取浏览器相关信息，如下所示：