NOKKI恶意软件分析与防御指南

NOKKI恶意软件分析与防御指南 一、NOKKI恶意软件概述 NOKKI是2018年初发现的新型恶意软件家族，与已知的KONNI恶意软件存在关联但又有显著区别。该恶意软件主要针对欧亚地区政府组织，特别是东南亚地区。 主要特征： 与KONNI恶意软件在代码和基础设施上有重叠 使用被入侵的合法服务器作为C2基础设施 主要分布在韩国的服务器 2018年发现两波攻击活动 诱饵文件的创建者和修改者均为"zeus" 二、NOKKI变种分析 2.1 第一变种（2018年1月-5月） 通信方式 ：FTP协议 执行流程 ： 检查 %TEMP%\ID56SD.tmp 文件是否存在 不存在则生成10位大写字母随机字符串作为受害者ID 创建 %TEMP%\stass 文件并写入值 创建网络通信线程，通过FTP连接C2服务器 上传操作： 将stass文件写入C2的 public_html 目录 上传 uplog.tmp 文件后删除本地副本 检查并下载 [id]-down 文件 保存为 %TEMP%\svchostav.exe 并执行 执行后删除C2服务器上的文件 休眠15分钟 2.2 第二变种（2018年6月后） 通信方式 ：HTTP协议 执行流程 ： 提取并释放嵌入式DLL到 %LOCALAPPDATA%\MicroSoft UpdateServices\Services.dll 根据CPU架构选择32位或64位版本 通过rundll32加载DLL： 设置持久化注册表项： 使用 SetWindowsHookEx 注入到所有GUI进程 识别 explorer.exe 进程并执行 HTTPStart 函数 创建文件： ID56SD.tmp ：包含10字节随机ID stass ：单字节'a'文件 15分钟循环执行： 上传base64编码的stass文件 检查并上传 uplog.tmp 和 upfile.tmp 后删除本地文件 检查并下载执行远程文件： down → %TEMP%\wirbiry2jsq3454.exe [id]-down → %TEMP%\weewyesqsf4.exe 三、信息收集模块 下载的远程模块会收集以下信息并写入 %LOCALAPPDATA%\MicroSoft UpdateServices\uplog.tmp ： IP地址 主机名 用户名 驱动器信息 操作系统信息 已安装程序列表 四、NOKKI与KONNI的对比 相似点： 代码共享和基础设施重叠 信息收集模块功能相似 2018年1-5月样本使用相同的释放器函数 差异点： | 特征 | NOKKI | KONNI | |-------------|--------------------------------|------------------------| | 通信协议 | 初期FTP，后期HTTP | 自有协议 | | C2基础设施 | 主要使用被入侵的合法服务器 | 自有基础设施 | | 模块化程度 | 高度模块化 | 相对集中 | | URI结构 | /pds/down和/pds/data/[ id ]-down | 不同URI模式 | 五、防御建议 5.1 检测指标 文件系统指标： %TEMP%\ID56SD.tmp %TEMP%\stass %LOCALAPPDATA%\MicroSoft UpdateServices\ 目录 svchostav.exe 、 wirbiry2jsq3454.exe 等非常规进程 注册表指标： HKCU\Software\Microsoft\Windows\CurrentVersion\Run\qivService 网络指标： 对韩国服务器的FTP/HTTP连接 特定URI路径的请求 base64编码的POST数据 5.2 防护措施 应用白名单： 限制rundll32.exe执行非常规DLL 监控临时目录的可执行文件创建 网络防护： 拦截对已知恶意域名的访问 监控异常FTP/HTTP外连行为 终端防护： 启用行为检测监控进程注入 定期扫描注册表自动启动项 安全意识： 警惕"zeus"创建或修改的文档 培训识别社会工程攻击 六、取证分析要点 内存分析： 查找注入到explorer.exe的恶意代码 检查SetWindowsHookEx调用记录 磁盘分析： 检查临时目录的异常文件 分析MicroSoft UpdateServices目录内容 日志分析： 检查FTP/HTTP外连日志 分析进程创建日志 网络捕获： 解码base64传输数据 追踪文件下载行为 七、总结 NOKKI是高度模块化的恶意软件，与KONNI存在关联但采用不同的传播策略。其使用被黑服务器作为C2基础设施的特点增加了检测难度。防御需要结合行为检测、网络监控和多层防护策略。