概述

近期，笔者在浏览网络中威胁情报信息的时候，发现了最新Kimsuky组织木马下载站点（截至发稿时仍存活），尝试简单分析，发现其为Kimsuky组织攻击链条中的PowerShell脚本和加密Xeno-RAT远控程序，相关截图如下：

进一步尝试对其站点进行分析，笔者又在此站点的其他目录下发现了不同的资源文件及用于发送钓鱼邮件的发件页面，相关截图如下：

为了能够详细的对此站点进行剖析，笔者准备尝试从如下几个角度对其进行分析：

• 尝试对此站点/xrat/路径下的文件进行分析，梳理木马攻击链；
• 尝试对此站点/send/、/accounts/路径下的文件进行分析，梳理钓鱼邮件发件原理及详情；
• 通过对/kakao/路径下的文件进行分析，梳理钓鱼邮件日志，提取疑似被钓鱼IP、疑似被钓鱼邮箱详情；

木马攻击链分析

尝试对此站点/xrat/路径下的view.txt、xeno.bin样本进行分析，梳理发现：

• view.txt：powershell脚本，运行后将从站点的“xrat/xeno.bin”路径下载加密的xeno.bin文件，解密并动态加载xeno.bin文件；
• xeno.bin：加密文件，解密后为.NET环境下的xeno-rat远控木马；

同源对比

通过将此木马的攻击链特征进行网络调研，发现此站点的view.txt、xeno.bin样本与深信服2024-01-30发布的《【高级持续威胁(APT)】Kimsuky组织利用Dropbox云端实施行动分析》报告中提到的部分内容同源。

• 脚本注释内容基本相同

网络中报告截图：

view.txt脚本中的注释代码截图：

• 使用相同的xeno-rat远控程序

外联下载加密xeno.bin文件

通过分析，发现view.txt为powershell脚本，运行后将外联下载加密xeno.bin文件，相关代码截图如下：

解密xeno.bin文件

通过分析，发现view.txt脚本成功下载加密xeno.bin文件后，将调用解密函数对xeno.bin文件进行解密，相关代码截图如下：

为了能够更便捷的直接提取解密后的程序文件，笔者尝试对其powershell脚本进行了简单修改，实现了对本地xeno.bin文件的解密及保存至本地，相关修改后的powershell脚本片段代码如下：

$path = "C:\\Users\\admin\\Desktop\\xeno.bin";
$bytes = [System.IO.File]::ReadAllBytes($path);

$length = $bytes.Length

$length = Decode-Binary ($bytes) ($length)

Set-Content -Path "output.bin" -Value $bytes -Encoding Byte

相关代码截图如下：

动态加载解密后的xeno.bin文件

通过分析，发现view.txt脚本成功解密xeno.bin文件后，将动态加载解密后的xeno.bin文件，动态加载逻辑如下：

• setServerIp函数：动态调用解密后xeno.bin程序的setServerIp函数，用于配置外联地址为“152.32.243.152:4444”；
• Main函数：动态调用解密后xeno.bin程序的Main函数，用于加载解密后的xeno.bin文件；

相关代码截图如下：

xeno.bin程序的setServerIp函数代码截图如下：

xeno.bin程序的Main函数代码截图如下：

xeno.bin配置信息

通过分析，发现xeno.bin程序实际即为“https://github.com/moom825/xeno-rat”开源项目生成的远控木马程序，提取默认配置信息截图如下：

xeno.bin通信加解密

通过分析，梳理xeno-rat木马的通信加解密逻辑如下：

• 通信加密
  • 调用AES算法对数据进行加密
  • 调用ntdll.dll的RtlCompressBuffer函数对数据进行压缩
• 通信解密
  • 调用ntdll.dll的RtlDecompressBuffer函数对数据进行解压缩
  • 调用AES算法对数据进行解密

通信加解密整体框架代码截图如下：

AES加解密代码截图如下：

导入ntdll.dll文件的RtlCompressBuffer、RtlDecompressBuffer函数代码截图如下：

xeno.bin远控功能

通过分析，发现xeno-rat的远控功能主要是通过动态加载插件DLL程序实现的，相关代码截图如下：

钓鱼邮件分析

尝试对此站点/send/路径下的文件进行分析，梳理发现此路径下为Kimsuky组织发送钓鱼邮件的相关文件，详细情况如下：

• 发现此站点中存在两个库：
  • composer：PHP中最流行的依赖管理工具；
  • phpmailer：用于发送电子邮件的PHP类库；
• test.php、test1.php、test2.php：发送钓鱼邮件的发件页面；

相关截图如下：

phpmailer

通过对phpmailer库进行分析，发现PHPMailer是一个用于发送电子邮件的PHP类库（https://github.com/PHPMailer/PHPMailer）。进一步分析，发现此站点使用的PHPMailer版本为6.9.1，是目前PHPMailer类库的最新版本。相关截图如下：

PHPMailer类库截图如下：

发件页面

通过对/send/路径下的test.php、test1.php、test2.php文件进行分析，发现此系列文件即为调用PHPMailer类库构建的发件页面。进一步分析，梳理发现：

• 默认邮件服务器地址：mail.naver.com
• 默认伪装发件邮箱：no-reply@sisileae.com
• 邮件主题（翻译后）：[Naver] 关于电子邮件发送和接收功能限制的通知。
• 内置URL：
  • nid.oksite.eu/nidlogin.login?mode=form&url=https%3A%2F%2Fwww.naver.com&otp=&rtnurl=aHR0cHM6Ly9uaWQub2tzaXRlLmV1L3VzZXIyL2hlbHAvbXlJbmZvP209dmlld0NoYW5nZVBhc3N3ZCZsYW5nPWtv
  • 解码：nid.oksite.eu/user2/help/myInfo?m=viewChangePasswd&lang=ko
• 默认发件时间：使用GMT+1时区

尝试对URL进行分析，发现nid.oksite.eu站点已经失效，推测此钓鱼邮件的功能为：钓鱼naver邮箱账号密码。

备注：naver.com网站是韩国最大的搜索引擎、门户网站、邮件服务、市值最大的互联网公司，也是世界第五大搜索引擎网站。

相关截图如下：

时区对比截图如下：

钓鱼页面

通过对/accounts/路径下的文件进行分析，发现deletegoogle.html、deletekakao.html文件疑似钓鱼页面。访问deletegoogle.html、deletekakao.html文件时，网页将跳转至https://nid.naver.com/nidlogin.login?url=https://mail.naver.com/页面。

相关截图如下：

deletekakao.html页面内容如下：

deletegoogle.html页面内容如下（翻译后）：

跳转后页面内容如下：

钓鱼邮件日志分析

通过对/kakao/路径下的文件进行分析，发现此系列文件疑似用于记录HTTP网络请求会话，相关IP疑似被钓鱼IP。

相关截图如下：

疑似被钓鱼IP

使用纯真数据库对被钓鱼IP归属地进行梳理，发现被钓鱼IP主要以美国、韩国为主，详细情况如下：

疑似被钓鱼邮箱

尝试对相关日志信息进行梳理，发现日志文件中存在被钓鱼邮箱密码信息，详细情况如下：

相关日志截图如下：

进一步分析，发现使用https://accounts.kakao.com/进行邮箱登录时，网站将对密码进行编码发送，相关数据包截图如下：