KoiStealer窃密木马最新攻击链样本详细分析
字数 1370 2025-08-24 20:49:22

KoiStealer窃密木马最新攻击链分析报告

1. 概述

KoiStealer是一种新型的窃密类木马,主要通过钓鱼邮件进行传播。该木马能够获取受害者屏幕截图、浏览器存储的密码、Cookie等敏感数据,攻击者利用这些数据进行进一步的诈骗活动。

2. 攻击链分析

2.1 初始感染阶段

  1. 钓鱼样本伪装

    • 解压缩后伪装成PDF图标的快捷方式文件
    • 通过快捷方式执行恶意命令行

  2. 持久化机制

    • 创建计划任务启动项
    • 从远程服务器下载恶意脚本文件到%temp%目录

2.2 恶意脚本执行

  1. 脚本行为

    • 下载第二个恶意脚本
    • 删除初始创建的计划任务
    • 将自身拷贝到%ProgramData%目录并重命名

  2. PowerShell利用

    • 从远程服务器下载恶意PowerShell脚本并执行
    • 请求Payload数据(编译时间:2024年2月21日)

2.3 内存加载执行

  1. ShellCode加载器

    • 通过ShellCode在内存中加载执行Payload
    • 获取程序资源数据(ID 47574和37252)

  2. 解密过程

    • 使用资源ID 37252的解密Key解密ID 47574的加密数据
    • 解密算法实现细节(未公开具体算法)
    • 解密后的Payload编译时间:2024年6月4日

2.4 反分析技术

  1. 环境检测

    • 检查操作系统语言版本(特定语言ID会退出)
    • 获取主机信息进行反沙箱检测
    • 检查主机用户名(黑名单检测)

  2. C2通信

    • 远程服务器URL:hxxp://176.10.111[.]71/guapen.php
    • 固定请求数据格式
    • 通过POST发送主机名等信息

2.5 最终Payload

  1. 配置获取

    • 从远程服务器下载配置文件
    • 异或解密加密数据

  2. Payload特征

    • .NET编写程序
    • 使用Obfuscar(1.0)[-]混淆
    • 代码结构与已知KoiStealer一致

  3. 信息窃取

    • 获取浏览器存储的密码、Cookie等数据
    • 获取屏幕截图

3. 威胁情报

  1. 攻击特征

    • 使用计划任务实现持久化
    • 多阶段下载执行
    • 内存加载避免文件落地

  2. C2基础设施

    • 已知C2地址:176.10.111[.]71
    • 使用.php作为通信接口

  3. 时间线

    • 早期Payload编译时间:2024年2月21日
    • 更新Payload编译时间:2024年6月4日

4. 检测与防御建议

4.1 检测指标

  1. 文件指标

    • %ProgramData%目录下的可疑脚本文件
    • 伪装成PDF的快捷方式文件

  2. 网络指标

    • 对176.10.111[.]71的访问
    • 特定格式的POST请求

  3. 行为指标

    • 异常计划任务创建
    • PowerShell下载执行远程脚本
    • 浏览器凭据访问行为

4.2 防御措施

  1. 技术措施

    • 禁用不必要的计划任务创建权限
    • 限制PowerShell执行远程脚本
    • 监控%ProgramData%目录的文件变更

  2. 管理措施

    • 员工安全意识培训(识别钓鱼邮件)
    • 定期更新终端防护软件
    • 实施网络流量监控

  3. 应急响应

    • 发现感染后立即隔离主机
    • 重置所有浏览器保存的凭据
    • 检查是否有数据外泄

5. 总结

KoiStealer展示了现代窃密木马的典型特征:多阶段加载、内存驻留、强反分析能力和模块化设计。攻击者持续更新其Payload和攻击技术,防御者需要采取多层次的安全措施来应对此类威胁。

KoiStealer窃密木马最新攻击链分析报告 1. 概述 KoiStealer是一种新型的窃密类木马,主要通过钓鱼邮件进行传播。该木马能够获取受害者屏幕截图、浏览器存储的密码、Cookie等敏感数据,攻击者利用这些数据进行进一步的诈骗活动。 2. 攻击链分析 2.1 初始感染阶段 钓鱼样本伪装 : 解压缩后伪装成PDF图标的快捷方式文件 通过快捷方式执行恶意命令行 持久化机制 : 创建计划任务启动项 从远程服务器下载恶意脚本文件到%temp%目录 2.2 恶意脚本执行 脚本行为 : 下载第二个恶意脚本 删除初始创建的计划任务 将自身拷贝到%ProgramData%目录并重命名 PowerShell利用 : 从远程服务器下载恶意PowerShell脚本并执行 请求Payload数据(编译时间:2024年2月21日) 2.3 内存加载执行 ShellCode加载器 : 通过ShellCode在内存中加载执行Payload 获取程序资源数据(ID 47574和37252) 解密过程 : 使用资源ID 37252的解密Key解密ID 47574的加密数据 解密算法实现细节(未公开具体算法) 解密后的Payload编译时间:2024年6月4日 2.4 反分析技术 环境检测 : 检查操作系统语言版本(特定语言ID会退出) 获取主机信息进行反沙箱检测 检查主机用户名(黑名单检测) C2通信 : 远程服务器URL:hxxp://176.10.111[ . ]71/guapen.php 固定请求数据格式 通过POST发送主机名等信息 2.5 最终Payload 配置获取 : 从远程服务器下载配置文件 异或解密加密数据 Payload特征 : .NET编写程序 使用Obfuscar(1.0)[ - ]混淆 代码结构与已知KoiStealer一致 信息窃取 : 获取浏览器存储的密码、Cookie等数据 获取屏幕截图 3. 威胁情报 攻击特征 : 使用计划任务实现持久化 多阶段下载执行 内存加载避免文件落地 C2基础设施 : 已知C2地址:176.10.111[ . ]71 使用.php作为通信接口 时间线 : 早期Payload编译时间:2024年2月21日 更新Payload编译时间:2024年6月4日 4. 检测与防御建议 4.1 检测指标 文件指标 : %ProgramData%目录下的可疑脚本文件 伪装成PDF的快捷方式文件 网络指标 : 对176.10.111[ . ]71的访问 特定格式的POST请求 行为指标 : 异常计划任务创建 PowerShell下载执行远程脚本 浏览器凭据访问行为 4.2 防御措施 技术措施 : 禁用不必要的计划任务创建权限 限制PowerShell执行远程脚本 监控%ProgramData%目录的文件变更 管理措施 : 员工安全意识培训(识别钓鱼邮件) 定期更新终端防护软件 实施网络流量监控 应急响应 : 发现感染后立即隔离主机 重置所有浏览器保存的凭据 检查是否有数据外泄 5. 总结 KoiStealer展示了现代窃密木马的典型特征:多阶段加载、内存驻留、强反分析能力和模块化设计。攻击者持续更新其Payload和攻击技术,防御者需要采取多层次的安全措施来应对此类威胁。