Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

码农 • 2023年8月25日 15:50 • 投稿

微软近期对 Windows Defender 的排除权限进行更新，只要不具备管理员权限就无法查阅被指定排除的文件夹与文件，这个重要的改变使恶意人士无法将恶意软件的负载塞进被排除的文件夹中来绕过扫描。不过这也不是万灵丹，近日安全公司披露的 Kraken 就能够钻进这个规则的漏洞轻松绕过。
Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

安全研究单位ZeroFox从2021年10月以来一职在追踪一款名为Kraken的未知新僵尸网络，攻击目标是Windows系统，且目前正在积极演化开发中。之所以它能够避开 Windows Defender 的扫描是因为他将自己简单地加入成为一个排除项目，而不是如其他恶意软件一样将自己塞进其他排除项中，相比之下，这个方法可说是既简单又有效。
Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

它是怎么运作的呢？在安装阶段时，Kraken 为了保持隐身状态运行两个指令，试图把自己移到「%AppData%/Microsoft.Net」中。 Kraken 主要是一款以窃取用户资产为目的的恶意软件，与近期发现的假 Windows 11 官网欺诈网站类似。 ZeroFox 补充道，Kraken 的能力现在包含窃取与用户加密货币钱包相关的信息，直接使人联想到近期的假 KMSPico Windows 恶意软件。 Karaken 迭代的作用包含可持续性、收集相关主机的注册信息、下载并执行档案、运行 Shell 指令、窃取各种加密货币钱包、屏幕截图等。
Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

Kraken 最初是在 SmokeLoader 下载的自解压 RAR SFX 文件中传播。这些 SFX 文件包含一个 UPX 包装版本的Kraken、RedLine Stealer 和另一个用于删除 Kraken 的二进制文件。 Kraken 目前版本由 SmokeLoader 直接下载。 Kraken 二进制文件则仍以 UPX 封装，但现在还加上 Themida 进一步保护。
Kraken 僵尸网络轻松骗过Windows Defender窃取加密货币数据

在演进过程中，Kraken C2 似乎经常消失。 ZeroFox 已经多次观察到服务器的活动减少，只是在短时间内使用全新 IP 出现另一个服务器。透过使用 SmokeLoader 传播，Kraken 每次操作更改 C2 时都会快速获得数百个新机器人。从2021年10月到2021年12月向Kraken受害者发送的监控命令显示，该开发者完全专注于推动信息盗窃，特别是ReedLine Stealer。目前尚不清楚开发者打算如何处理已收集的被盗信息，或者创建此新僵尸网络的最终目标到底是什么。