1 概述

2019年8月，安天CERT监测到了多起利用KPOT木马进行窃密的事件。安天CERT判定这些窃密事件是由Magecart第五小组发起的，攻击者利用KPOT窃取用户加密货币钱包信息、应用账户信息以及浏览器cookies等多种信息。攻击者主要利用了垃圾邮件以及RIG和Fallout漏洞利用工具包来传播木马。

Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合，根据公开情报描述，Magecart至少有12个不同的小组，这些小组具有不同的运作方式、技术配置，成员水平也参差不齐。

Magecart的第五小组最早出现于2016年，主要利用供应链进行攻击。攻击者将窃密脚本注入到第三方服务提供商的组件库中，在线零售商在使用第三方服务提供商的服务时，可能会加载攻击者注入的窃密脚本。当用户进行在线支付时，窃密脚本运行并尝试窃取用户的支付信息。在本次发现的窃密事件中，Magecart第五小组的攻击行为和目的都发生了改变，舍弃了以往使用的专用窃密脚本而改用KPOT木马，窃取了更多的用户信息。

经验证，安天智甲终端防御系统可实现对KPOT木马的有效防御。

2 KPOT木马的传播方式

2.1 利用垃圾邮件传播KPOT

攻击者通过购买现成的邮件地址库、根据自定义规则自动生成邮件地址、从网络上收集邮件地址等方法获取到大量邮件地址，发送大量带有恶意附件的垃圾邮件。

攻击者将KPOT木马制作成压缩包添加在邮件附件中，使用PowerPoint等正常软件的图标作为KPOT木马的图标，将KPOT木马伪装成PPT等正常文件，若用户未设置“显示文件后缀名”，则不能发现该文件实为EXE文件，当用户双击打开该伪装PPT时，就会运行KPOT木马，被窃取各种信息。

攻击者构造漏洞利用文档，将该文档添加在邮件附件中，在邮件正文中书写诱惑性文字，诱使用户打开附件中的文档。当用户打开文档时，便会触发漏洞利用代码，下载KPOT并执行，致使用户多种信息被窃取。

图 2-1 传播KPOT木马的钓鱼邮件

2.2利用RIG和Fallout漏洞利用工具包传播KPOT

攻击者攻击某网站并在网页中嵌入网页重定向代码，用户访问被攻陷的网站后，经过多次重定向，获得漏洞利用工具的着陆页（引导页），触发漏洞利用代码，从服务器下载KPOT木马到用户主机上并运行该木马，窃取用户多种信息。

图 2 2 漏洞利用工具包作业过程

2.3可能利用钓鱼网站传播KPOT

攻击者为一款名为G-Cleaner的Windows垃圾清理工具构建了官网。G-Cleaner是一个伪装成Windows垃圾清理工具的Azorult木马。当用户在搜索引擎上搜索清理工具时，有可能搜索G-Cleaner并下载该工具，在进行垃圾清理时运行该木马，导致信息被窃取。

虽然目前还未出现利用钓鱼网站传播KPOT的事件，但是从近期出现的构建虚假G-Cleaner官网和BleachBit官网传播Azorult木马的事件来看，利用这种方法传播KPOT是极有可能发生的。【1】

图 2-3 构建虚假G(arbage)Cleaner传播Azorult木马

图 2-4 构建虚假BleachBit官网传播Azorult木马

3 KPOT域名与Magecart第五小组联系密切

分析人员通过KPOT木马的回传数据所使用的域名关联到了多个公开的Magecart第五小组域名，如下图所示。在关联过程中发现的脚本文件init.js，经对比也与Magecart第五小组使用的窃密脚本一致。

图 3-1 通过域名关联到Magecart第五小组

关联到的脚本的结构与Magecart第五小组使用的窃密脚本结构一致。脚本的功能是为页面中所有的表单和可单击元素设置监听器，确保用户提交支付信息之前可以调用CLK函数，从表单和输入字段中提取支付信息，提取信息成功后，使用Base64算法将信息进行编码，通过HTTP POST方式将支付信息、主机名和用户ID发送到C2服务器。功能也与Magecart第五小组的一致。

图 3-2 Magecart第五小组脚本和关联脚本的对比

4 Magecart——多个窃取支付信息的组织集合

Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合，根据公开情报描述，Magecart至少有12个不同的小组，这些小组具有不同的运作方式、技术配置，成员水平也参差不齐。【2】组织信息如下表所示（暂无第十小组的相关信息）。

表 4-1 第一小组（第二小组）

表 4-2 第三小组

表 4-3 第四小组

表4-4 第五小组

表 4-5 第六小组

表4-6 第七小组

表 4-7 第八小组

表 4-8 第九小组

表 4-9 第十一小组

表 4-10 第十二小组

5 KPOT木马分析

表 5-1 KPOT木马

5.1 KPOT运行流程

KPOT运行后会从C2服务器获取控制指令，根据控制指令窃取指定信息，将信息加密后回传到C2服务器。KPOT会获取系统语言版本并判断当前语言所对应的国家是否为“独立国家联合体”成员国（详见5.5小节），若是则不进行窃密操作。

图 5-1 KPOT流程图

5.2 规避反病毒程序检测

5.2.1 在内存中释放两段shellcode躲避检测

样本运行后会通过两段shellcode来执行窃密程序。

表 5-2 shellcode功能

图 5-2 通过两段shellcode执行窃密程序

5.2.2 异或加密字符串

样本为了规避反病毒程序检测，将重要字符串进行了异或加密，每个字符串对应不同的密钥。

表 5-3 字符串解密举例

图 5-3 EXE文件中加密的字符串

5.3 创建互斥量，保证只有一个实例运行

窃密程序会根据磁盘序列号生成互斥量名称，并创建互斥量，若创建失败，则退出程序。

图 5-4 互斥量生成算法

5.4 连接C2获取控制指令

5.4.1 控制指令解密算法

样本会连接C2服务器获取控制指令，通过Base64解码和XOR解密后得到控制指令。

图 5-5 数据解密流程

表 5-4 解密模块的异或算法伪代码

5.4.2 控制指令格式和功能

由于C2服务器已失活，不能得到具体的控制指令，但是KPOT是一个在地下论坛中公开售卖的信息窃取恶意软件，因此可以通过其他事件中所暴露的控制指令格式来分析本样本功能。

1111111111111110__DELIMM__IP地址

__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

控制指令之间通过“__DELIMM__”进行分割。【3】上述代码中共包含了4组信息。

表 5-5 控制指令格式举例码

GRABBER规则指定要搜索和窃取的文件。

表 5-6 GRABBER规则说明

第一组数据是一个16字节大小的字符串，“1111111111111110”，每个字节都对应一个功能的开启和关闭，1代表开启，0代表关闭。

1.窃取账户和浏览器cookies信息

表 5-7 16字节字符串代表的功能

除了控制指令中声明的信息外，该样本还会窃取Microsoft Outlook账户信息、VPN账户信息以及从“default.rdp”文件中获取rdp配置信息。

图 5-6 窃取Microsoft Outlook账户信息

2.第二组数据是C2服务器的IP地址。

3.GRABBER规则：['appdata', '*.log,*.txt,', '%appdata%', '0', '1024']

在“C:\Users\用户名\AppData\Roaming\”文件夹中搜索文件大小在0到1024字节之间，后缀名为“.log”和“.txt”的文件，窃取软件的日志信息。

4.GRABBER规则：['desktop_txt', '*.txt,', '%userprofile%', '0', '150']

在“C:\Users\用户名\”文件夹中搜索文件大小在0到150字节之间，后缀名为“.txt”的文件。用户可能会将一些账户口令信息保存在该目录下，攻击者可以通过在这些目录下搜索txt文件窃取账户口令信息。

5.5 收集系统信息回传到C2服务器

样本会收集系统信息，并以HTTP POST方式回传到C2服务器。回传的数据经过了异或加密，加密密钥和控制指令的解密密钥相同，都为“LfB9zNRyztyNDcgN”，但异或方法不同，控制指令异或方法详见表3-4，数据加密是直接使用该密钥进行异或。样本发送给服务器的数据详见表2-9。这些数据以SYSINFORMATION或_CRED_DATA_FFFILEE为起始分隔符，以_SYSINFORMATION_CRED_DATA_或_FFFILEE_为结束分隔符。

图 5-7 以POST方式回传数据

表 5-8 回传到服务器的数据

图 5-8 起始分隔符和结束分隔符

5.6 删除自身

1.若样本获取控制指令失败，则退出程序，删除自身。

2.控制指令中包含是否删除自身的选项，若该选项设置为1，则删除自身。

图 5-9 控制指令中指定是否删除自身

6 总结

Magecart第五小组使用木马KPOT开展窃密活动，该木马一直都在地下论坛售卖，木马作者也一直持续进行更新。在之前的窃密活动中，Magecart第五小组一直在窃取支付信息，并未出现窃取其他信息的行为，并且一直专用窃密脚本进行窃密操作，然而在此次窃密活动中，Magecart第五小组不仅使用KPOT木马完成窃密活动，还窃取了用户多种类型的信息，攻击形式和目的都发生了改变。

附录一：IoCs

附录二：参考资料

[1]攻击者通过虚假BleachBit官网分发AZORult恶意软件

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=83509&extra=page%3D1

[2]RiskIQ-Flashpoint Inside Magecart Report

https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf

[3]New KPOT v2.0 stealer brings zero persistence and in-memory features to silently steal credentials

https://www.proofpoint.com/us/threat-insight/post/new-kpot-v20-stealer-brings-zero-persistence-and-memory-features-silently-steal

[4]Ar3s Avoids Lengthy Prison Term After Cooperating With Authorities

https://www.recordedfuture.com/ar3s-prison-release/