微软近期对 Windows Defender 的排除权限进行更新,只要不具备管理员权限就无法查阅被指定排除的资料夹与文件,这个重要的改变使恶意人士无法将恶意软体的负载塞进被排除的资料夹中来绕过扫描。不过这也不是万灵丹,近日安全公司披露的 Kraken 就能够钻进这个规则的漏洞轻松绕过。
Kraken 殭屍网路轻松骗过Windows Defender窃取加密货币数据
安全研究单位 ZeroFox 从 2021 年 10 月以来一职在追踪一款名为 Kraken 的未知新僵屍网路,攻击目标是 Windows 系统,且目前正在积极演化开发中。之所以它能够避开 Windows Defender 的扫描是因为他将自己简单地加入成为一个排除项目,而不是如其他恶意软体一样将自己塞进其他排除项中,相比之下,这个方法可说是既简单又有效。
它是怎麽运作的呢?在安装阶段时,Kraken 为了保持隐身状态运行两个指令,试图把自己移到「%AppData%/Microsoft.Net」中。Kraken 主要是一款以窃取用户资产为目的的恶意软体,与近期发现的假 Windows 11 官网欺诈网站类似。ZeroFox 补充道,Kraken 的能力现在包含窃取与用户加密货币钱包相关的资讯,直接使人联想到近期的假 KMSPico Windows 恶意软体。Karaken 反覆运算的作用包含可持续性、收集相关主机的注册资讯、下载并执行档案、运行 Shell 指令、窃取各种加密货币钱包、萤幕截图等。
Kraken 最初是在 SmokeLoader 下载的自解压 RAR SFX 档中传播。这些 SFX 档包含一个 UPX 包装版本的Kraken、RedLine Stealer 和另一个用於删除 Kraken 的二进位档案。Kraken 目前版本由 SmokeLoader 直接下载。Kraken 二进位档则仍以 UPX 封装,但现在还加上 Themida 进一步保护。
在演进过程中,Kraken C2 似乎经常消失。ZeroFox 已经多次观察到伺服器的活动减少,只是在短时间内使用全新 IP 出现另一个伺服器。透过使用 SmokeLoader 传播,Kraken 每次操作更改 C2 时都会快速获得数百个新机器人。从 2021 年 10 月到 2021 年 12 月向 Kraken 受害者发送的监控命令显示,该开发者完全专注於推动资讯盗窃,特别是 RedLine Stealer。目前尚不清楚开发者打算如何处理已收集的被盗资讯,或者创建此新殭屍网路的最终目标到底是什麽。
