以美国和韩国为目标的Kimsuky最新钓鱼活动攻击组件及木马攻击链剖析
Contents
概述
近期,笔者在浏览网络中威胁情报信息的时候,发现了最新Kimsuky组织木马下载站点(截至发稿时仍存活),尝试简单分析,发现其为Kimsuky组织攻击链条中的PowerShell脚本和加密Xeno-RAT远控程序,相关截图如下:
进一步尝试对其站点进行分析,笔者又在此站点的其他目录下发现了不同的资源文件及用于发送钓鱼邮件的发件页面,相关截图如下:
为了能够详细的对此站点进行剖析,笔者准备尝试从如下几个角度对其进行分析:
尝试对此站点/xrat/路径下的文件进行分析,梳理木马攻击链;
尝试对此站点/send/、/accounts/路径下的文件进行分析,梳理钓鱼邮件发件原理及详情;
通过对/kakao/路径下的文件进行分析,梳理钓鱼邮件日志,提取疑似被钓鱼IP、疑似被钓鱼邮箱详情;
木马攻击链分析
尝试对此站点/xrat/路径下的view.txt、xeno.bin样本进行分析,梳理发现:
view.txt:powershell脚本,运行后将从站点的“xrat/xeno.bin”路径下载加密的xeno.bin文件,解密并动态加载xeno.bin文件;
xeno.bin:加密文件,解密后为.NET环境下的xeno-rat远控木马;
同源对比
通过将此木马的攻击链特征进行网络调研,发现此站点的view.txt、xeno.bin样本与深信服2024-01-30发布的《【高级持续威胁(APT)】Kimsuky组织利用Dropbox云端实施行动分析》报告中提到的部分内容同源。
脚本注释内容基本相同
网络中报告截图:
view.txt脚本中的注释代码截图:
使用相同的xeno-rat远控程序
外联下载加密xeno.bin文件
通过分析,发现view.txt为powershell脚本,运行后将外联下载加密xeno.bin文件,相关代码截图如下:
解密xeno.bin文件
通过分析,发现view.txt脚本成功下载加密xeno.bin文件后,将调用解密函数对xeno.bin文件进行解密,相关代码截图如下:
为了能够更便捷的直接提取解密后的程序文件,笔者尝试对其powershell脚本进行了简单修改,实现了对本地xeno.bin文件的解密及保存至本地,相关修改后的powershell脚本片段代码如下:
$path = "C:\\Users\\admin\\Desktop\\xeno.bin";
$bytes = [System.IO.File]::ReadAllBytes($path);
$length = $bytes.Length
$length = Decode-Binary ($bytes) ($length)
Set-Content -Path "output.bin" -Value $bytes -Encoding Byte
相关代码截图如下:
动态加载解密后的xeno.bin文件
通过分析,发现view.txt脚本成功解密xeno.bin文件后,将动态加载解密后的xeno.bin文件,动态加载逻辑如下:
setServerIp函数:动态调用解密后xeno.bin程序的setServerIp函数,用于配置外联地址为“152.32.243.152:4444”;
Main函数:动态调用解密后xeno.bin程序的Main函数,用于加载解密后的xeno.bin文件;
相关代码截图如下:
xeno.bin程序的setServerIp函数代码截图如下:
xeno.bin程序的Main函数代码截图如下:
xeno.bin配置信息
通过分析,发现xeno.bin程序实际即为“https://github.com/moom825/xeno-rat”开源项目生成的远控木马程序,提取默认配置信息截图如下:
xeno.bin通信加解密
通过分析,梳理xeno-rat木马的通信加解密逻辑如下:
通信加密
调用AES算法对数据进行加密
调用ntdll.dll的RtlCompressBuffer函数对数据进行压缩
通信解密
调用ntdll.dll的RtlDecompressBuffer函数对数据进行解压缩
调用AES算法对数据进行解密
通信加解密整体框架代码截图如下:
AES加解密代码截图如下:
导入ntdll.dll文件的RtlCompressBuffer、RtlDecompressBuffer函数代码截图如下:
xeno.bin远控功能
通过分析,发现xeno-rat的远控功能主要是通过动态加载插件DLL程序实现的,相关代码截图如下:
钓鱼邮件分析
尝试对此站点/send/路径下的文件进行分析,梳理发现此路径下为Kimsuky组织发送钓鱼邮件的相关文件,详细情况如下:
发现此站点中存在两个库:
composer:PHP中最流行的依赖管理工具;
phpmailer:用于发送电子邮件的PHP类库;
test.php、test1.php、test2.php:发送钓鱼邮件的发件页面;
相关截图如下:
phpmailer
通过对phpmailer库进行分析,发现PHPMailer是一个用于发送电子邮件的PHP类库(https://github.com/PHPMailer/PHPMailer)。进一步分析,发现此站点使用的PHPMailer版本为6.9.1,是目前PHPMailer类库的最新版本。相关截图如下:
PHPMailer类库截图如下:
发件页面
通过对/send/路径下的test.php、test1.php、test2.php文件进行分析,发现此系列文件即为调用PHPMailer类库构建的发件页面。进一步分析,梳理发现:
默认邮件服务器地址:mail.naver.com
默认伪装发件邮箱:[email protected]
邮件主题(翻译后):[Naver] 关于电子邮件发送和接收功能限制的通知。
内置URL:
nid.oksite.eu/nidlogin.login?mode=form&url=https%3A%2F%2Fwww.naver.com&otp=&rtnurl=aHR0cHM6Ly9uaWQub2tzaXRlLmV1L3VzZXIyL2hlbHAvbXlJbmZvP209dmlld0NoYW5nZVBhc3N3ZCZsYW5nPWtv
解码:nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
默认发件时间:使用GMT+1时区
尝试对URL进行分析,发现nid.oksite.eu站点已经失效,推测此钓鱼邮件的功能为:钓鱼naver邮箱账号密码。
备注:naver.com网站是韩国最大的搜索引擎、门户网站、邮件服务、市值最大的互联网公司,也是世界第五大搜索引擎网站。
相关截图如下:
时区对比截图如下:
钓鱼页面
通过对/accounts/路径下的文件进行分析,发现deletegoogle.html、deletekakao.html文件疑似钓鱼页面。访问deletegoogle.html、deletekakao.html文件时,网页将跳转至https://nid.naver.com/nidlogin.login?url=https://mail.naver.com/页面。
相关截图如下:
deletekakao.html页面内容如下:
deletegoogle.html页面内容如下(翻译后):
跳转后页面内容如下:
钓鱼邮件日志分析
通过对/kakao/路径下的文件进行分析,发现此系列文件疑似用于记录HTTP网络请求会话,相关IP疑似被钓鱼IP。
相关截图如下:
疑似被钓鱼IP
使用纯真数据库对被钓鱼IP归属地进行梳理,发现被钓鱼IP主要以美国、韩国为主,详细情况如下:
ip country area
14.39.124.117 韩国 韩国KT电信
24.194.196.147 美国弗吉尼亚州 美国弗吉尼亚州
34.86.212.119 美国得克萨斯州 美国得克萨斯州
35.222.190.7 美国 美国Merit网络公司
38.53.187.1 美国华盛顿 美国华盛顿Cogent通信公司
38.100.114.76 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.100.114.121 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.100.114.222 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.132.193.133 美国 美国
38.132.193.235 美国 美国
39.17.2.221 韩国 韩国
46.232.208.229 罗马尼亚 罗马尼亚
46.232.209.102 罗马尼亚 罗马尼亚
47.185.40.166 加拿大 加拿大
50.25.217.143 美国 美国
63.174.145.72 美国 美国NIC注册机构
64.57.140.67 美国加利福尼亚州 美国加利福尼亚州
65.154.226.166 美国 美国
65.154.226.167 美国 美国
65.154.226.168 美国 美国
65.154.226.169 美国 美国
65.154.226.170 美国 美国
65.154.226.171 美国 美国
71.191.146.250 美国弗吉尼亚州劳登县阿什本地区 美国弗吉尼亚州劳登县阿什本地区Verizon Online有限公司
91.92.216.148 保加利亚 保加利亚
97.103.225.57 美国弗吉尼亚州赫恩登镇 美国弗吉尼亚州赫恩登镇Road Runner控股有限公司
98.191.207.68 美国佐治亚州亚特兰大市 美国佐治亚州亚特兰大市Cox通信公司
112.169.24.141 韩国 韩国KT电信
115.164.140.5 马来西亚 马来西亚
116.40.6.20 韩国 韩国
119.204.225.189 韩国 韩国KT电信
121.165.59.208 韩国 韩国KT电信
125.177.216.61 韩国 韩国
136.57.74.247 美国 美国Google光纤
149.19.252.142 美国 美国
152.32.243.152 韩国首尔 韩国首尔UCloud
152.39.157.173 美国 美国萧尔大学
152.39.192.61 美国 美国萧尔大学
152.39.197.231 美国 美国萧尔大学
154.30.116.1 美国 美国
154.30.116.23 美国 美国
154.30.116.83 美国 美国
154.30.116.188 美国 美国
154.30.116.235 美国 美国
156.146.57.189 美国 美国
162.40.209.90 美国 美国
168.151.135.171 美国 美国
172.98.71.17 美国 美国
174.81.215.41 美国 美国theplanet
178.33.144.179 法国 法国OVH
179.61.228.117 美国 美国
180.149.8.58 孟加拉 孟加拉
180.149.8.135 孟加拉 孟加拉
180.149.9.92 孟加拉 孟加拉
205.169.39.73 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.86 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.107 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.126 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.129 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.146 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.164 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.192 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.235 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.242 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.245 …
近期,笔者在浏览网络中威胁情报信息的时候,发现了最新Kimsuky组织木马下载站点(截至发稿时仍存活),尝试简单分析,发现其为Kimsuky组织攻击链条中的PowerShell脚本和加密Xeno-RAT远控程序,相关截图如下:
进一步尝试对其站点进行分析,笔者又在此站点的其他目录下发现了不同的资源文件及用于发送钓鱼邮件的发件页面,相关截图如下:
为了能够详细的对此站点进行剖析,笔者准备尝试从如下几个角度对其进行分析:
尝试对此站点/xrat/路径下的文件进行分析,梳理木马攻击链;
尝试对此站点/send/、/accounts/路径下的文件进行分析,梳理钓鱼邮件发件原理及详情;
通过对/kakao/路径下的文件进行分析,梳理钓鱼邮件日志,提取疑似被钓鱼IP、疑似被钓鱼邮箱详情;
木马攻击链分析
尝试对此站点/xrat/路径下的view.txt、xeno.bin样本进行分析,梳理发现:
view.txt:powershell脚本,运行后将从站点的“xrat/xeno.bin”路径下载加密的xeno.bin文件,解密并动态加载xeno.bin文件;
xeno.bin:加密文件,解密后为.NET环境下的xeno-rat远控木马;
同源对比
通过将此木马的攻击链特征进行网络调研,发现此站点的view.txt、xeno.bin样本与深信服2024-01-30发布的《【高级持续威胁(APT)】Kimsuky组织利用Dropbox云端实施行动分析》报告中提到的部分内容同源。
脚本注释内容基本相同
网络中报告截图:
view.txt脚本中的注释代码截图:
使用相同的xeno-rat远控程序
外联下载加密xeno.bin文件
通过分析,发现view.txt为powershell脚本,运行后将外联下载加密xeno.bin文件,相关代码截图如下:
解密xeno.bin文件
通过分析,发现view.txt脚本成功下载加密xeno.bin文件后,将调用解密函数对xeno.bin文件进行解密,相关代码截图如下:
为了能够更便捷的直接提取解密后的程序文件,笔者尝试对其powershell脚本进行了简单修改,实现了对本地xeno.bin文件的解密及保存至本地,相关修改后的powershell脚本片段代码如下:
$path = "C:\\Users\\admin\\Desktop\\xeno.bin";
$bytes = [System.IO.File]::ReadAllBytes($path);
$length = $bytes.Length
$length = Decode-Binary ($bytes) ($length)
Set-Content -Path "output.bin" -Value $bytes -Encoding Byte
相关代码截图如下:
动态加载解密后的xeno.bin文件
通过分析,发现view.txt脚本成功解密xeno.bin文件后,将动态加载解密后的xeno.bin文件,动态加载逻辑如下:
setServerIp函数:动态调用解密后xeno.bin程序的setServerIp函数,用于配置外联地址为“152.32.243.152:4444”;
Main函数:动态调用解密后xeno.bin程序的Main函数,用于加载解密后的xeno.bin文件;
相关代码截图如下:
xeno.bin程序的setServerIp函数代码截图如下:
xeno.bin程序的Main函数代码截图如下:
xeno.bin配置信息
通过分析,发现xeno.bin程序实际即为“https://github.com/moom825/xeno-rat”开源项目生成的远控木马程序,提取默认配置信息截图如下:
xeno.bin通信加解密
通过分析,梳理xeno-rat木马的通信加解密逻辑如下:
通信加密
调用AES算法对数据进行加密
调用ntdll.dll的RtlCompressBuffer函数对数据进行压缩
通信解密
调用ntdll.dll的RtlDecompressBuffer函数对数据进行解压缩
调用AES算法对数据进行解密
通信加解密整体框架代码截图如下:
AES加解密代码截图如下:
导入ntdll.dll文件的RtlCompressBuffer、RtlDecompressBuffer函数代码截图如下:
xeno.bin远控功能
通过分析,发现xeno-rat的远控功能主要是通过动态加载插件DLL程序实现的,相关代码截图如下:
钓鱼邮件分析
尝试对此站点/send/路径下的文件进行分析,梳理发现此路径下为Kimsuky组织发送钓鱼邮件的相关文件,详细情况如下:
发现此站点中存在两个库:
composer:PHP中最流行的依赖管理工具;
phpmailer:用于发送电子邮件的PHP类库;
test.php、test1.php、test2.php:发送钓鱼邮件的发件页面;
相关截图如下:
phpmailer
通过对phpmailer库进行分析,发现PHPMailer是一个用于发送电子邮件的PHP类库(https://github.com/PHPMailer/PHPMailer)。进一步分析,发现此站点使用的PHPMailer版本为6.9.1,是目前PHPMailer类库的最新版本。相关截图如下:
PHPMailer类库截图如下:
发件页面
通过对/send/路径下的test.php、test1.php、test2.php文件进行分析,发现此系列文件即为调用PHPMailer类库构建的发件页面。进一步分析,梳理发现:
默认邮件服务器地址:mail.naver.com
默认伪装发件邮箱:[email protected]
邮件主题(翻译后):[Naver] 关于电子邮件发送和接收功能限制的通知。
内置URL:
nid.oksite.eu/nidlogin.login?mode=form&url=https%3A%2F%2Fwww.naver.com&otp=&rtnurl=aHR0cHM6Ly9uaWQub2tzaXRlLmV1L3VzZXIyL2hlbHAvbXlJbmZvP209dmlld0NoYW5nZVBhc3N3ZCZsYW5nPWtv
解码:nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
默认发件时间:使用GMT+1时区
尝试对URL进行分析,发现nid.oksite.eu站点已经失效,推测此钓鱼邮件的功能为:钓鱼naver邮箱账号密码。
备注:naver.com网站是韩国最大的搜索引擎、门户网站、邮件服务、市值最大的互联网公司,也是世界第五大搜索引擎网站。
相关截图如下:
时区对比截图如下:
钓鱼页面
通过对/accounts/路径下的文件进行分析,发现deletegoogle.html、deletekakao.html文件疑似钓鱼页面。访问deletegoogle.html、deletekakao.html文件时,网页将跳转至https://nid.naver.com/nidlogin.login?url=https://mail.naver.com/页面。
相关截图如下:
deletekakao.html页面内容如下:
deletegoogle.html页面内容如下(翻译后):
跳转后页面内容如下:
钓鱼邮件日志分析
通过对/kakao/路径下的文件进行分析,发现此系列文件疑似用于记录HTTP网络请求会话,相关IP疑似被钓鱼IP。
相关截图如下:
疑似被钓鱼IP
使用纯真数据库对被钓鱼IP归属地进行梳理,发现被钓鱼IP主要以美国、韩国为主,详细情况如下:
ip country area
14.39.124.117 韩国 韩国KT电信
24.194.196.147 美国弗吉尼亚州 美国弗吉尼亚州
34.86.212.119 美国得克萨斯州 美国得克萨斯州
35.222.190.7 美国 美国Merit网络公司
38.53.187.1 美国华盛顿 美国华盛顿Cogent通信公司
38.100.114.76 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.100.114.121 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.100.114.222 美国得克萨斯州休斯顿 美国得克萨斯州休斯顿Cogent通信
38.132.193.133 美国 美国
38.132.193.235 美国 美国
39.17.2.221 韩国 韩国
46.232.208.229 罗马尼亚 罗马尼亚
46.232.209.102 罗马尼亚 罗马尼亚
47.185.40.166 加拿大 加拿大
50.25.217.143 美国 美国
63.174.145.72 美国 美国NIC注册机构
64.57.140.67 美国加利福尼亚州 美国加利福尼亚州
65.154.226.166 美国 美国
65.154.226.167 美国 美国
65.154.226.168 美国 美国
65.154.226.169 美国 美国
65.154.226.170 美国 美国
65.154.226.171 美国 美国
71.191.146.250 美国弗吉尼亚州劳登县阿什本地区 美国弗吉尼亚州劳登县阿什本地区Verizon Online有限公司
91.92.216.148 保加利亚 保加利亚
97.103.225.57 美国弗吉尼亚州赫恩登镇 美国弗吉尼亚州赫恩登镇Road Runner控股有限公司
98.191.207.68 美国佐治亚州亚特兰大市 美国佐治亚州亚特兰大市Cox通信公司
112.169.24.141 韩国 韩国KT电信
115.164.140.5 马来西亚 马来西亚
116.40.6.20 韩国 韩国
119.204.225.189 韩国 韩国KT电信
121.165.59.208 韩国 韩国KT电信
125.177.216.61 韩国 韩国
136.57.74.247 美国 美国Google光纤
149.19.252.142 美国 美国
152.32.243.152 韩国首尔 韩国首尔UCloud
152.39.157.173 美国 美国萧尔大学
152.39.192.61 美国 美国萧尔大学
152.39.197.231 美国 美国萧尔大学
154.30.116.1 美国 美国
154.30.116.23 美国 美国
154.30.116.83 美国 美国
154.30.116.188 美国 美国
154.30.116.235 美国 美国
156.146.57.189 美国 美国
162.40.209.90 美国 美国
168.151.135.171 美国 美国
172.98.71.17 美国 美国
174.81.215.41 美国 美国theplanet
178.33.144.179 法国 法国OVH
179.61.228.117 美国 美国
180.149.8.58 孟加拉 孟加拉
180.149.8.135 孟加拉 孟加拉
180.149.9.92 孟加拉 孟加拉
205.169.39.73 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.86 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.107 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.126 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.129 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.146 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.164 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.192 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.235 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.242 美国科罗拉多州丹佛市 美国科罗拉多州丹佛市Qwest通信有限公司
205.169.39.245 …
IoC
112.169.24.141
115.164.140.5
116.40.6.20
119.204.225.189
121.165.59.208
125.177.216.61
136.57.74.247
14.39.124.117
149.19.252.142
152.32.243.152
152.39.157.173
152.39.192.61
152.39.197.231
154.30.116.1
154.30.116.188
154.30.116.23
154.30.116.235
154.30.116.83
156.146.57.189
162.40.209.90
168.151.135.171
172.98.71.17
174.81.215.41
178.33.144.179
179.61.228.117
180.149.8.135
180.149.8.58
180.149.9.92
205.169.39.107
205.169.39.126
205.169.39.129
205.169.39.146
205.169.39.164
205.169.39.192
205.169.39.235
205.169.39.242
205.169.39.245
205.169.39.252
205.169.39.73
205.169.39.86
206.204.21.241
206.204.26.75
209.99.179.216
210.1.224.38
210.109.2.23
210.109.2.60
211.198.48.172
211.56.96.83
216.19.201.208
216.194.85.168
223.33.165.181
24.194.196.147
34.86.212.119
35.222.190.7
38.100.114.121
38.100.114.222
38.100.114.76
38.132.193.133
38.132.193.235
38.53.187.1
39.17.2.221
46.232.208.229
46.232.209.102
47.185.40.166
50.25.217.143
63.174.145.72
64.57.140.67
65.154.226.166
65.154.226.167
65.154.226.168
65.154.226.169
65.154.226.170
65.154.226.171
71.191.146.250
91.92.216.148
97.103.225.57
98.191.207.68
[email protected]
[email protected]
[email protected]
https://nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
[email protected]
[email protected]
115.164.140.5
116.40.6.20
119.204.225.189
121.165.59.208
125.177.216.61
136.57.74.247
14.39.124.117
149.19.252.142
152.32.243.152
152.39.157.173
152.39.192.61
152.39.197.231
154.30.116.1
154.30.116.188
154.30.116.23
154.30.116.235
154.30.116.83
156.146.57.189
162.40.209.90
168.151.135.171
172.98.71.17
174.81.215.41
178.33.144.179
179.61.228.117
180.149.8.135
180.149.8.58
180.149.9.92
205.169.39.107
205.169.39.126
205.169.39.129
205.169.39.146
205.169.39.164
205.169.39.192
205.169.39.235
205.169.39.242
205.169.39.245
205.169.39.252
205.169.39.73
205.169.39.86
206.204.21.241
206.204.26.75
209.99.179.216
210.1.224.38
210.109.2.23
210.109.2.60
211.198.48.172
211.56.96.83
216.19.201.208
216.194.85.168
223.33.165.181
24.194.196.147
34.86.212.119
35.222.190.7
38.100.114.121
38.100.114.222
38.100.114.76
38.132.193.133
38.132.193.235
38.53.187.1
39.17.2.221
46.232.208.229
46.232.209.102
47.185.40.166
50.25.217.143
63.174.145.72
64.57.140.67
65.154.226.166
65.154.226.167
65.154.226.168
65.154.226.169
65.154.226.170
65.154.226.171
71.191.146.250
91.92.216.148
97.103.225.57
98.191.207.68
[email protected]
[email protected]
[email protected]
https://nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
[email protected]
[email protected]