FavoriteLoading
0

多功能Kasidet家族病毒解剖

事件描述

一、?背景介紹

近日,深信服安全團隊在云查記錄中捕獲到一款高度活躍的病毒,并對其進行了深入分析后確定該病毒為Kasidet家族,此次分析的病毒主要通過竊取系統信息然后連接服務器根據攻擊者分發不同的命令執行不同的功能,攻擊者可以利用受感染的計算機作為攻擊平臺實施各種網絡攻擊,如DDoS攻擊、局域網感染、散布蠕蟲病毒、竊取機密資料等,其隱秘性、破壞性和威脅程度都遠大于單一的網絡攻擊模式。

二、?樣本信息

病毒名稱:Trojan.Win32.Kasidet

病毒性質:遠控

危害等級:高級

傳播方式:主要通過電子郵件附件、局域網、USB、可移動磁盤等方式進行傳播。

該病毒的圖標及詳細信息,如下:

1.jpg

三、?樣本分析

1.?該病毒的核心代碼經過加密處理,運行后首先會調用VirtualAlloc申請空間在內存進行PE文件解密,然后再執行到PE文件入口點,如下:

2.png

2.?解密后的PE文件分析,調用函數SetUnhandledExceptionFilter設置異常捕獲,獲取當前進程句柄,提升自身權限為Debug權限,如下:

3.png

3.?創建互斥體變量“4ZBR19116-NNIF”,為避免程序重復運行,如果存在該變量則退出,如下:

4.png

4.?創建文件夾%APPDATA%\4ZBR19116-NNIF\,并將自身重命名為{隨機名}.exe復制到該目錄下,判斷當前用戶是否為管理組成員,設置注冊表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,達到開機自啟動的目的,復制explorer.exe的創建時間修改為自身文件的創建時間,然后啟動進程復制后的文件{隨機名}.exe,如下:

5.png

5.?創建線程,監視注冊表活動狀態使應用程序可以接收事件通知指定的注冊表項及其子項的更改,如下:

6.png

6.?獲取系統的安裝時間RegId,判斷系統的版本號,獲取系統安裝的殺毒軟件信息,掃描獲取本地局域網內的IP地址,獲取受感染機的安裝密鑰,動態解密上線地址,發送上線驗證數據,等待遠控命令。檢查%APPDATA%,%TEMP%和%ALLUSERSPROFILE%中的所有可執行文件,代碼如下:

7.png

8.png

該病毒對于發送的每一個請求,都會檢查其中的驗證密鑰,建立連接后,發送驗證密鑰“21232f297a57a5a743894a0e4a801fc3”,等待接收遠控指令,如下:

9.png

7.?調用CreateToolhelp32Snapshot函數遍歷系統進程,查找瀏覽器進程firefox.exe、chrome.exe?、iexplore.exe?、Opera.exe,然后選擇對應的瀏覽器以POST請求的方式發送受感染機的數據,如下:

10.png

11.png

12.png

13.png

8.?數據以“getcmd=1&uid=%s?=%s&av=%s&nat=%s&version=%s&serial=%s&quality=%i”字符串的形式進行發送,其中uid表示受感染的計算機guid,os表示操作系統上的數據,av表示已安裝的防病毒軟件, nat表示本地IP地址信息,version表示安裝的版本,quality 是檢測到的病毒數量,如下:

14.png

9.?如果連接服務器成功,可接收執行的遠控命令,如下:

表.png

接收可執行的遠控命令,相關代碼如下:

15.png

16.png

17.png

10.?反調試技術分析:

a.?通過IsDebuggerPresent和CheckRemoteDebuggerPresent檢查程序是否為調試狀態。

b.?通過獲取系統用戶名及模塊用于檢查沙箱和虛擬機,受檢查的用戶名“MALTEST、TEQUILABOOMBOOM、SANDBOX、VIRUS、MALWARE、SAMPLE、VIRUS、SANDBOX”。

c.?通過kernel32.dll檢查是否有導出函數”wine_get_unix_file_name”來檢測wine軟件。

d.?通過注冊表來檢查VMware虛擬機、VirtualBox虛擬機、QEMU模擬器,相關注冊表及值如下:

SOFTWARE\\VMware, Inc.\\VMware Tools

HARDWARE\\DEVICEMAP\\Scsi\\ScsiPort0\\ScsiBus0\\TargetId0\\Logical Unit Id 0 ,值:“Identifier”、“VBOX”。

HARDWARE\\Description\\System,值:“SystemBiosVersion”、“VBOX”

SOFTWARE\\Oracle\\VirtualBox Guest Additions HARDWARE\\Description\\System,值:“VideoBiosVersion”、“VIRTUALBOX”

HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0,值:“Identifier”、“QEMU”

"HARDWARE\\Description\\System,值:“SystemBiosVersion”、“QEMU”

如果其中有一項條件滿足,則彈出錯誤對話框,啟動自我刪除,退出程序,代碼如下:

18.png

四、?相關IOC

MD5

原始樣本:99F5AD74262E5CD0509D5DCE82262D02

解密后的PE:C6530B4293D79D73D4FF0822A5DB98A8

DNS

nutqss123a10cc.com

nutqss123a2cc.com

nutqss123a3cc.com

nutqss123a4cc.com

nutqss123a5cc.com

nutqss123a6cc.com

nutqss123a9cc.com

nutqss123a1cc.com

nutqss123a11cc.com

nutqss123a12cc.com

nutqss123a13cc.com

URL

http://nutqss123a10cc.com/newfiz5/tasks.php

?http://nutqss123a2cc.com/newfiz5/tasks.php

?http://nutqss123a3cc.com/newfiz5/tasks.php

?http://nutqss123a4cc.com/newfiz5/tasks.php

?http://nutqss123a5cc.com/newfiz5/tasks.php

?http://nutqss123a6cc.com/newfiz5/tasks.php

?http://nutqss123a9cc.com/newfiz5/tasks.php

?http://nutqss123a1cc.com/newfiz5/tasks.php

?http://nutqss123a11cc.com/newfiz5/tasks.php

?http://nutqss123a12cc.com/newfiz5/tasks.php

?http://nutqss123a13cc.com/newfiz5/tasks.php

原文鏈接:http://hack-sec.top/?post=208

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。