2021 年 10 月，ZeroFox Intelligence 披露了名為 Kraken 的僵尸網(wǎng)絡(luò)。Kraken 通過 SmokeLoader 進(jìn)行傳播，每次更新攻擊基礎(chǔ)設(shè)施時都會擴(kuò)大規(guī)模。盡管與 2008 年發(fā)現(xiàn)的 Kraken 僵尸網(wǎng)絡(luò)同名，但二者并沒有其他共同點(diǎn)。

功能

自從 2021 年 10 月以來，Kraken 僵尸網(wǎng)絡(luò)一直在針對 Windows 積極開發(fā)。盡管 Bot 的功能相對簡單，但攻擊者一直在持續(xù)更新。其具有的典型功能如下：

持久化

收集主機(jī)信息

下載并執(zhí)行程序

遠(yuǎn)程命令執(zhí)行

竊取加密貨幣錢包

屏幕截圖

開端

Kraken 的早期版本在 2021 年 10 月 10 日被上傳到 GitHub 上，該版本的源代碼早于在野發(fā)現(xiàn)的任何樣本。但目前尚不清楚，GitHub 上的代碼是否屬于攻擊者或者是攻擊者只是利用了該代碼進(jìn)行開發(fā)。

image

image.gif

早期版本代碼

感染

Kraken 在 SmokeLoader 下載的自解壓 RAR SFX 文件中進(jìn)行傳播。SFX 文件中包含一個 UPX 加殼的 Kraken、一個 RedLine Stealer 和一個用于刪除 Kraken 的程序。后續(xù)版本除了使用 UPX 加殼，也使用 Themida 進(jìn)行加殼。

image

image.gif

SFX 文件

持久化

Kraken 會將自身移動到 %AppData%\Microsoft處。文件名是硬編碼的，諸如 taskhost.exe、Registry.exe和 Windows Defender GEO.exe等。

為了持久化隱藏，Kraken 運(yùn)行以下兩個命令：

powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft

attrib +S +H %APPDATA%\Microsoft\

PowerShell 命令控制 Microsoft Defender 不掃描 Kraken 所在目錄，而 attrib 控制文件隱藏。

Kraken 利用注冊表保持系統(tǒng)啟動時自啟動。

image

image.gif

注冊表項

注冊表鍵值的名稱是另一個硬編碼值，早期版本名為 Networking Service，后期使用 Networking5 Servic1e、Networking5r Servirc1er等。

image

image.gif

注冊表項

每個版本中都保持不變的是：

ID：混淆的 UUID

INSTALL：安裝時間戳

LAST：空

NAME：混淆的文件和運(yùn)行密鑰

REMASTER：nil

VERSION：0.5.6

特征

Kraken 的功能相對其他僵尸網(wǎng)絡(luò)仍然是十分簡單的，主要將失陷主機(jī)的相關(guān)信息回傳給 C&C 服務(wù)器。收集信息如下所示：

主機(jī)名

用戶名

構(gòu)建 ID（TEST_BUILD_+第一次運(yùn)行的時間戳）

CPU 信息

GPU 信息

操作系統(tǒng)和版本

Kraken 最初用于更新 Bot、執(zhí)行 Payload 以及接收文件等功能的下載文件功能，在最新版本中已經(jīng)合并為一個。

攻擊者曾經(jīng)也增加了 SSH 爆破功能，但很快就被刪除了。C&C 服務(wù)器發(fā)送 ScreenShot命令，樣本就會截取系統(tǒng)的屏幕截圖。

最近添加的功能是竊取加密貨幣錢包：

%AppData%\Zcash

%AppData%\Armory

%AppData%\bytecoin

%AppData%\Electrum\wallets

%AppData%\Ethereum\keystore

%AppData%\Exodus\exodus.wallet

%AppData%\Guarda\Local Storage\leveldb

%AppData%\atomic\Local Storage\leveldb

%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb

目前支持的命令有：

Position

ScreenShot

SHELL

UPLOAD

image

image.gif

命令解析代碼

控制面板

自從 2021 年 10 月以來，控制面板已經(jīng)更新了很多版本。盡管 GitHub 上的源碼包含 C&C 服務(wù)器的代碼，但是并不包含控制面板。

Kraken

最初的面板是 Kraken面板，提供了基本的數(shù)據(jù)統(tǒng)計、上傳下載 Payload 以及與批量受控主機(jī)交互等功能。

image

image.gif

控制面板

Anubis

當(dāng)前的控制面板為 Anubis面板，提供的信息比原有面板多得多?？梢圆榭礆v史命令記錄與有關(guān)受害者的相關(guān)信息。

image

image.gif

控制面板

Anubis面板在后續(xù)更新中增加了選擇目標(biāo)執(zhí)行的能力，這樣可以更精細(xì)地控制攻擊目標(biāo)。

image

image.gif

指定運(yùn)行

image

image.gif

歷史記錄

隨著 Kraken 僵尸網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，也在部署其他信息竊密程序和挖礦程序，僵尸網(wǎng)絡(luò)挖礦每月的收入大概在 3000 美元左右。

image

image.gif

礦池信息

結(jié)論

Kraken 的活動曾經(jīng)一度減弱，但在短時間內(nèi)就會啟用新端口或者新的 C&C 服務(wù)器。通過對命令的監(jiān)控，攻擊者專注于部署信息竊密程序，特別是 RedLine Stealer。

IOC

65.21.105.85
91.206.14.151
95.181.152.184
185.112.83.22
185.112.83.96
185.206.212.165
213.226.71.125
1d772f707ce74473996c377477ad718bba495fe7cd022d5b802aaf32c853f115
d742a33692a77f5caef5ea175957c98b56c2dc255144784ad3bade0a0d50d088
ddf039c3d6395139fd7f31b0a796a444f385c582ca978779aae7314b19940812
dcaaef3509bc75155789058d79f025f14166386cec833c2c154ca34cfea26c52
54d36e5dce2e546070dc0571c8b3e166d6df62296fa0609a325ace23b7105335
095c223b94656622c81cb9386aefa59e168756c3e200457e98c00b609e0bb170
0f0cabb24d8cc93e5aed340cfc492c4008509f1e84311d61721a4375260a0911
2ced68e4425d31cca494557c29a76dfc3081f594ff01549e41d2f8a08923ef61
3215decffc40b3257ebeb9b6e5c81c45e298a020f33ef90c9418c153c6071b36
ef3e0845b289f1d3b5b234b0507c554dfdd23a5b77f36d433489129ea722c6bb
7c76ca5eb757df4362fabb8cff1deaa92ebc31a17786c89bde55bc53ada43864
48c2f53f1eeb669fadb3eec46f7f3d4572e819c7bb2d39f22d22713a30cc1846
43f46a66c821e143d77f9311b24314b5c5eeccfedbb3fbf1cd484c9e4f537a5d
8c4294e3154675cd926ab6b772dbbe0e7a49cae16f4a37d908e1ca6748251c43