part1
点击上方蓝字关注我们
将二进制空间安全设为"星标⭐️"
第一时间收到文章更新
在Windows激活工具中,比较知名的一款是来自俄罗斯的KMS系列, 但已经有恶意软件将其伪装成KMS激活工具, 以针对想要破解Windows的用户。该恶意程序基本信息如下图:
powershell.exe -Command Add-MpPreference –ExclusionPath <Folder-Path>
LOLBAS/LOLBIN二进制文件, 以确保系统感染成功。LOLBAS(Living Off the Land Binaries and Scripts)或 LOLBIN(Living Off the Land Binaries)是一种攻击技术,指的是利用 Windows 或其他操作系统自带的合法程序(binaries)、脚本(scripts)或库(libraries)来执行恶意行为,而不是使用专门的恶意软件。这种方法使得攻击行为更加隐蔽,难以被传统的安全防御机制(如杀毒软件或 EDR 解决方案)检测。该恶意程序使用了以下几个系统自带的程序:
-
Wmic.exe - 详细命令: WMIC /NAMESPACE:rootMicrosoftWindowsDefender PATH MSFT_MpPreference call Add ExclusionPath=
-
Wmic.exe - 详细命令: wmic.exe path Win32_NetworkAdapter get ServiceName /value /FORMAT:List
-
Reg.exe - 详细命令: reg.exe" query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware
-
Sc.exe - 详细命令: sc query WinDefend; sc query SecurityHealthService
进一步分析可以发现加载器使用main_convert_B64_to_Str() 函数来检索和解码经过Base64编码的域名字符串, 解码出来的URL为:
kmsupdate2023.com/kms2023.zip, 解码Base64后,另一个函数main_get_zip()从解码后的 URL 下载高度混淆的恶意软件并执行Payload, 之后将恶意文件保存到:AppDataRoamingkms2023kms2023.exe 中, 并将另一个副本保存到:AppDataLocalstaticfile.exe 中。如图:
一旦成功感染系统,kms2023.exe将与onedrivepack.com/pipe_RequestPollUpdateProcessAuthwordpress.php的C2服务器进行远程通信, 该服务器极有可能由攻击者运营。恶意软件将从受害者计算机中窃取以下详细信息并将其传输到攻击者控制的命令和控制服务器:
-
设备截图。
-
受害者按键信息。
-
浏览器Cookie、历史记录和保存的凭证。
-
FTP应用程序的凭证。
-
系统信息,例如: 主机名、用户名、语言首选项设置和已安装的应用程序。
-
保存的信用卡详细信息。
除此之外, 恶意程序还会创建多个任务计划, 以保持对受害者系统的持续访问。恶意软件使用Windows内置的二进制文件schtasks.exe注册了两个不同的计划任务,分别命名为: staticfiles和staticfile, 并从C:UsersAdminAppDataLocal执行staticfile.exe,以提升权限。这种策略确保了攻击者能够在系统中保持立足点, 即使在重启或用户注销后, 恶意操作也能继续进行。如图:
Activationsmicrosoft.comkmsupdate2023.comkms-win11-update.netWindowsupdatesystem.orgratiborus2023.comOnedrivestandaloneupdater.comKalambur.netWindowsdrivepack.comakamaitechcdns.com原文始发于微信公众号(二进制空间安全):Windows盗版激活用户当心被偷家
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论