2021年10月,ZeroFoxIntelligence披露了一个名为Kraken的僵尸网络。Kraken通过SmokeLoader传播,每次攻击基础设施更新时SmokeLoader的大小都会增加。尽管与2008年发现的Kraken僵尸网络同名,但两者几乎没有其他共同点。特点自2021年10月以来,Kraken僵尸网络一直在积极针对Windows进行开发。尽管该僵尸网络的功能相对简单,但攻击者不断对其进行更新。其典型功能如下:持续收集主机信息下载并执行程序远程命令执行窃取加密货币钱包截图开始Kraken早期版本于2021年10月10日上传至GitHub,该版本源代码早于任何样本在野外发现。但目前尚不清楚GitHub上的代码是属于攻击者的还是攻击者只是将代码用于开发。早期版本的代码感染Kraken在SmokeLoader下载的自解压RARSFX文件中传播。SFX文件包含一个UPX打包的Kraken、一个RedLineStealer和一个用于删除Kraken的程序。除了使用UPX进行打包外,后续版本还使用Themida进行打包。SFX文件持久性Kraken会将自身移动到%AppData%\Microsoft。文件名是硬编码的,例如taskhost.exe、Registry.exe和WindowsDefenderGEO.exe。为了持久化隐藏,Kraken运行以下两条命令:powershell-CommandAdd-MpPreference-ExclusionPath%APPDATA%\Microsoftattrib+S+H%APPDATA%\Microsoft\PowerShell该命令控制MicrosoftDefender不扫描Kraken所在目录,而attrib控制文件隐藏。Kraken使用注册表来保持自身在系统启动时启动。Registrykey注册表项的名称是另一个硬编码的值,早期版本被命名为NetworkingService,后来版本使用Networking5Servic1e、Networking5rServirc1er等。每个版本保持不变的注册表项是:ID:obfuscatedUUIDINSTALL:installationtimestampLAST:emptyNAME:混淆文件和运行密钥REMASTER:nilVERSION:0.5.6特点Kraken相对于其他僵尸网络的功能还是很简单的,主要是将被攻陷主机的相关信息返回给C&C服务器。收集到的信息如下:HostnameUsernameBuildID(TEST_BUILD_+Timestampofthefirstrun)CPU信息GPU信息操作系统和版本在最新版本中已经合并为一个。攻击者还一次性添加了SSH暴力破解功能,但很快就被删除了。C&C服务器发送ScreenShot命令,样本对系统进行截图。最近添加的功能是窃取加密货币钱包:%AppData%\Zcash%AppData%\Armory%AppData%\bytecoin%AppData%\Electrum\wallets%AppData%\Ethereum\keystore%AppData%\Exodus\exodus.wallet%AppData%\Guarda\LocalStorage\leveldb%AppData%\atomic\LocalStorage\leveldb%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb目前支持的命令有:PositionScreenShotSHELLUPLOAD命令分析代码控制面板自2021年10月起,控制面板已更新多个版本。虽然GitHub上的源代码包括C&C服务器的代码,但不包括控制面板。(1)Kraken初始面板为Kraken面板,提供基础数据统计、上传下载Payload、与批控主机交互等功能。控制面板(2)Anubis目前的控制面板是AnubisPanel,比原来的面板提供了更多的信息。可以查看历史命令记录和受害者的相关信息。控制面板Anubis面板增加了选择目标以在后续更新中执行的功能,这允许对攻击目标进行更细粒度的控制。具体操作历史随着Kraken僵尸网络不断扩大,它也在部署其他信??息窃取程序和挖矿程序。僵尸网络挖矿月收入约3000美元。矿池信息总结Kraken的活跃度已经减弱了一段时间,但新的端口或新的C&C服务器将在短时间内被激活。通过命令监控,攻击者专注于部署信息窃取程序,特别是RedLineStealer。
