剖析 KHALESI INFOSTEALER 恶意软件
字数 3352 2025-08-19 12:41:46

Khalesi Infostealer 恶意软件深度分析报告

1. 恶意软件概述

Khalesi Infostealer 是2018年8月底被发现的信息窃取类恶意软件,属于Kpot恶意软件家族的一部分。该恶意软件主要针对Windows系统,通过多种技术手段窃取用户敏感信息并发送到C2服务器。

1.1 变种类型

  • VB6编译变种:使用Visual Basic 6编译器编译
  • 常规PE编译变种:使用标准PE编译器编译

2. 技术分析

2.1 VB6编译变种分析

样本信息

  • 文件名:finalvr.exe
  • SHA1:C37B9B9FEA73C95DE363E8746FF305F4B23F0C28
  • 文件大小:786432字节
  • 编译时间:2018-08-29 15:11:00

执行流程

  1. 加载VB6运行库MSVBVM60.DLL
  2. 调用Windows API KiUserExceptionDispatcher()进行反调试检测
  3. 通过RtlRaiseException()触发异常干扰调试器
  4. 在ProgramData目录下释放副本Kip1.exe
  5. 创建计划任务"Ebrin"实现持久化(每分钟运行一次)
  6. 修改注册表项降低安全设置:
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
  7. 通过Internet Explorer与C2域seeyouonlineservice[.]com通信

2.2 常规PE编译变种分析

样本信息

  • 文件名:soft.exe
  • SHA1:FCF2918829132CD43890129B8255F1D1533E07AB
  • 文件大小:87040字节
  • 编译时间:2018-08-28 01:06:58

执行流程

  1. 调用CoInitialize初始化COM
  2. 构造C2 URL(seeyouonlineservice[.]com)
  3. 使用FCICreate创建CAB压缩文件
  4. 在%TEMP%目录创建多个.tmp临时文件存储窃取的信息
  5. 收集系统信息(进程列表、OS版本、安全标识符等)
  6. 使用CoCreateInstance创建IE COM实例
  7. 通过iexplore.exe进程进行隐蔽通信
  8. 若主C2不可用,尝试备用IP:
    • 174.138.48.29
    • 46.101.70.183
    • 91.217.137.44
    • 80.233.248.109

注册表修改

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\SecuritySafe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

3. 反分析技术

3.1 反反编译技术

  • 使用跳转指令到+1字节位置,干扰反编译工具(如IDA)的分析
  • 修改ntdll.dll中的ExitProcess函数,插入DbgBreakPoint()调用
  • 当调试器附加时强制退出进程

3.2 反虚拟机检测

检查以下虚拟机相关驱动:

  • VBoxGuest.sys
  • VBoxMouse.sys
  • VBoxVideo.sys

3.3 反沙箱检测

枚举加载模块查找分析工具相关字符串:

  • api-monitor
  • CAPE sandbox
  • 其他分析工具标识

4. 信息窃取功能

4.1 窃取目标

  • Windows凭据
  • 浏览器保存的密码和cookie
  • 信用卡信息
  • 加密货币钱包
  • Skype和Telegram等即时通讯软件数据
  • 系统信息(进程列表、OS版本等)
  • 屏幕截图

4.2 数据存储

  1. 将窃取的信息存储在%TEMP%目录的.tmp文件中
  2. 使用CAB格式压缩数据文件(命名模式:CAB[0-9A-Z]{4}.tmp)
  3. 屏幕截图命名为[0-9]{10}

4.3 数据传输

  • 通过POST请求发送到C2 URL:http://seeyouonlineservice[.]com/regbot.php
  • 传输完成后删除痕迹

5. 地域针对性

恶意软件会检测用户地域设置:

  • 使用GetUserDefaultLangID()获取默认语言
  • 使用GetKeyboardLayoutList()获取键盘布局
  • 若检测到东欧语言/布局,则不发送窃取的数据

6. C2基础设施

6.1 域名信息

  • 主C2域:seeyouonlineservice[.]com
    • 注册时间:2018年8月(与样本编译时间吻合)
    • 分析时已停用
  • 备用域:botsphere[.]biz(分析时仍活跃)

6.2 IP地址

所有备用IP均属于东欧网络托管服务:

  • 174.138.48.29
  • 46.101.70.183
  • 91.217.137.44
  • 80.233.248.109
  • 101.99.70.55
  • 77.222.40.43

7. 其他变种

类似Khalesi infostealer的其他样本:

  1. soft.exe
    • SHA1: 6ace6f3631ef8773f0af2233595ee5f8d662134c
    • 大小: 221696字节
    • 编译时间: 2018-08-29 22:58:44
  2. soft.exe
    • SHA1: 7dc34dc7936b257830477353f681bdcb6ba3313d
    • 大小: 87040字节
    • 编译时间: 2018-08-27 22:06:58
  3. soft.exe
    • SHA1: b349e41aa4303e2ec503c66da5e56791b123d11f
    • 大小: 86528字节
    • 编译时间: 2018-08-29 22:58:44
  4. go.exe
    • SHA1: C450634B90CCEAC6F7393D38FEA10453A6010DFE
    • 大小: 471120字节
    • 编译时间: 2007-10-06 14:45:00
  5. crsoft.exe
    • SHA1: 9DCADA7455205B44B5FE69F765CAECCA4F14403C
    • 大小: 146432字节
    • 编译时间: 2018-08-29 15:24:39

8. 检测与防护

8.1 检测指标(IOC)

文件特征

  • 文件名匹配:soft.exe, finalvr.exe, Kip1.exe, go.exe, crsoft.exe
  • 临时文件路径模式:
    • %APPDATA%\CAB[0-9A-Z]{4}.tmp
    • %APPDATA%\[0-9]{10}

网络特征

  • 域名:seeyouonlineservice[.]com, botsphere[.]biz
  • IP地址:见第6.2节列表

8.2 防护建议

  1. 监控和拦截对已知C2域/IP的访问
  2. 检测和阻止可疑的COM对象实例化行为
  3. 监控异常的计划任务创建
  4. 检测注册表中Internet安全设置的异常修改
  5. 监控%TEMP%目录下可疑的CAB文件创建
  6. 使用行为分析检测信息收集行为

9. 总结

Khalesi Infostealer是一个功能完善的信息窃取恶意软件,具有以下特点:

  1. 多编译方式(VB6和标准PE)
  2. 复杂反分析技术(反调试、反虚拟机、反沙箱)
  3. 隐蔽通信机制(通过IE进程)
  4. 广泛的信息窃取范围
  5. 地域针对性
  6. 短暂的C2基础设施

防护此类恶意软件需要结合静态特征检测和行为分析,特别关注COM对象滥用、异常网络通信和敏感数据收集行为。

Khalesi Infostealer 恶意软件深度分析报告 1. 恶意软件概述 Khalesi Infostealer 是2018年8月底被发现的信息窃取类恶意软件,属于Kpot恶意软件家族的一部分。该恶意软件主要针对Windows系统,通过多种技术手段窃取用户敏感信息并发送到C2服务器。 1.1 变种类型 VB6编译变种 :使用Visual Basic 6编译器编译 常规PE编译变种 :使用标准PE编译器编译 2. 技术分析 2.1 VB6编译变种分析 样本信息 : 文件名:finalvr.exe SHA1:C37B9B9FEA73C95DE363E8746FF305F4B23F0C28 文件大小:786432字节 编译时间:2018-08-29 15:11:00 执行流程 : 加载VB6运行库MSVBVM60.DLL 调用Windows API KiUserExceptionDispatcher()进行反调试检测 通过RtlRaiseException()触发异常干扰调试器 在ProgramData目录下释放副本Kip1.exe 创建计划任务"Ebrin"实现持久化(每分钟运行一次) 修改注册表项降低安全设置: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect 通过Internet Explorer与C2域seeyouonlineservice[ . ]com通信 2.2 常规PE编译变种分析 样本信息 : 文件名:soft.exe SHA1:FCF2918829132CD43890129B8255F1D1533E07AB 文件大小:87040字节 编译时间:2018-08-28 01:06:58 执行流程 : 调用CoInitialize初始化COM 构造C2 URL(seeyouonlineservice[ . ]com) 使用FCICreate创建CAB压缩文件 在%TEMP%目录创建多个.tmp临时文件存储窃取的信息 收集系统信息(进程列表、OS版本、安全标识符等) 使用CoCreateInstance创建IE COM实例 通过iexplore.exe进程进行隐蔽通信 若主C2不可用,尝试备用IP: 174.138.48.29 46.101.70.183 91.217.137.44 80.233.248.109 注册表修改 : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\SecuritySafe HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 3. 反分析技术 3.1 反反编译技术 使用跳转指令到+1字节位置,干扰反编译工具(如IDA)的分析 修改ntdll.dll中的ExitProcess函数,插入DbgBreakPoint()调用 当调试器附加时强制退出进程 3.2 反虚拟机检测 检查以下虚拟机相关驱动: VBoxGuest.sys VBoxMouse.sys VBoxVideo.sys 3.3 反沙箱检测 枚举加载模块查找分析工具相关字符串: api-monitor CAPE sandbox 其他分析工具标识 4. 信息窃取功能 4.1 窃取目标 Windows凭据 浏览器保存的密码和cookie 信用卡信息 加密货币钱包 Skype和Telegram等即时通讯软件数据 系统信息(进程列表、OS版本等) 屏幕截图 4.2 数据存储 将窃取的信息存储在%TEMP%目录的.tmp文件中 使用CAB格式压缩数据文件(命名模式:CAB[ 0-9A-Z ]{4}.tmp) 屏幕截图命名为[ 0-9 ]{10} 4.3 数据传输 通过POST请求发送到C2 URL:http://seeyouonlineservice[ . ]com/regbot.php 传输完成后删除痕迹 5. 地域针对性 恶意软件会检测用户地域设置: 使用GetUserDefaultLangID()获取默认语言 使用GetKeyboardLayoutList()获取键盘布局 若检测到东欧语言/布局,则不发送窃取的数据 6. C2基础设施 6.1 域名信息 主C2域:seeyouonlineservice[ . ]com 注册时间:2018年8月(与样本编译时间吻合) 分析时已停用 备用域:botsphere[ . ]biz(分析时仍活跃) 6.2 IP地址 所有备用IP均属于东欧网络托管服务: 174.138.48.29 46.101.70.183 91.217.137.44 80.233.248.109 101.99.70.55 77.222.40.43 7. 其他变种 类似Khalesi infostealer的其他样本: soft.exe SHA1: 6ace6f3631ef8773f0af2233595ee5f8d662134c 大小: 221696字节 编译时间: 2018-08-29 22:58:44 soft.exe SHA1: 7dc34dc7936b257830477353f681bdcb6ba3313d 大小: 87040字节 编译时间: 2018-08-27 22:06:58 soft.exe SHA1: b349e41aa4303e2ec503c66da5e56791b123d11f 大小: 86528字节 编译时间: 2018-08-29 22:58:44 go.exe SHA1: C450634B90CCEAC6F7393D38FEA10453A6010DFE 大小: 471120字节 编译时间: 2007-10-06 14:45:00 crsoft.exe SHA1: 9DCADA7455205B44B5FE69F765CAECCA4F14403C 大小: 146432字节 编译时间: 2018-08-29 15:24:39 8. 检测与防护 8.1 检测指标(IOC) 文件特征 : 文件名匹配:soft.exe, finalvr.exe, Kip1.exe, go.exe, crsoft.exe 临时文件路径模式: %APPDATA%\CAB[ 0-9A-Z ]{4}.tmp %APPDATA%\[0-9 ]{10} 网络特征 : 域名:seeyouonlineservice[ .]com, botsphere[ . ]biz IP地址:见第6.2节列表 8.2 防护建议 监控和拦截对已知C2域/IP的访问 检测和阻止可疑的COM对象实例化行为 监控异常的计划任务创建 检测注册表中Internet安全设置的异常修改 监控%TEMP%目录下可疑的CAB文件创建 使用行为分析检测信息收集行为 9. 总结 Khalesi Infostealer是一个功能完善的信息窃取恶意软件,具有以下特点: 多编译方式(VB6和标准PE) 复杂反分析技术(反调试、反虚拟机、反沙箱) 隐蔽通信机制(通过IE进程) 广泛的信息窃取范围 地域针对性 短暂的C2基础设施 防护此类恶意软件需要结合静态特征检测和行为分析,特别关注COM对象滥用、异常网络通信和敏感数据收集行为。