Kronos银行木马最早是在2014年被发现的，再此之后直到消失，Kronos都在威胁图谱中稳定的占有一席之地。近日，研究人员发现一个新的Kronos变种，发起至少三起攻击活动分别攻击了德国、日本、波兰。

更多Kronos银行木马信息参见：http://www.4hou.com/web/12145.html。

2018年4月，Kronos新变种的第一个样本出现。其最有名的特征就是C2机制使用Tor匿名网络了进行重构。有证据证明变种被重新包装为Osiris在黑市售卖。本文对针对德国、日本和波兰的攻击活动进行分析。

攻击活动分析

德国（2018年6月27-30日）

2018年6月27日，研究人员发现一起针对德国用户的邮件攻击。邮件显示是来自德国经济公司，主题为：Aktualisierung unsere AGBs（条款更新)

Mahnung: 9415166 (通知单号：9415166)

邮件附件主题与文件名类似，如agb_9415166.doc、Mahnung_9415167.doc：

图1:攻击德国的邮件示例

Word文档含有宏文件，开启宏后，就会下载和执行Kronos银行木马的变种。在一些例子中，攻击还会使用中间的Smoke Loader。Kronos的配置内容为使用http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php作为C&C URL，并下载攻击5家德国金融机构的webinject（即Web注入）。

图2: 德国攻击的webinject示例

日本（2018年7月13日）

根据安全研究人员的tweet，研究人员调查了将受害者发送到含有恶意JS注入的站点的恶意广告链。JS会将受害者重定向到RIG利用套件，RIG是用来传播SmokeLoader下载器的。下载的C2为：

hxxp://lionoi.adygeya[.]su
hxxp://milliaoin[.]info

根据对该攻击活动的威胁单元的追踪，研究人员认为恶意广告链可能会传播Zeus Panda银行木马（图3），但本例中，最后的payload为Kronos的新变种 (图4)。

图3: 传播SmokeLoader和Zeus Panda的威胁单元

图4: 7月14日来自威胁单元的新Kronos攻击活动

在本攻击活动中，Kronos配置的C2为http://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php，webinjects攻击的目标是13个日本金融机构。图5是针对日本的攻击活动中的webinject示例。

图5: 针对日本的攻击活动中的webinject示例

波兰（2018年7月15-16日）

2018年7月15日起，研究人员发现一起针对波兰用户的含有恶意附件的邮件攻击活动。邮件使用虚假发表相关的主题，如Faktura 2018.07.16，附件名与主题相关faktura 2018.07.16.doc(图6)。文档利用CVE-2017-11882 (公式编辑器漏洞)从http://mysit[.]space/123//v/0jLHzUW处下载和执行kronos新变种。

图6:针对波兰攻击中使用的恶意文档

该Kronos实例的C2被配置为http://suzfjfguuis326qw[.]onion/kpanel/connect.php，截止发稿，该C2未发回任何webinject。

正在进行的攻击（2018年7月20日）

2018年7月20日，研究人员发现一起正在开发和测试中的攻击活动。攻击活动中Kronos实例的C2配置为hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php，可以通过点击GET IT NOW按钮（伪装成流音乐播放器）来下载。

图7: 正在进行中的攻击使用的Kronos

目前，该攻击活动的测试webinject如图8所示。

图8: 正在进行中的攻击使用的Webinject

恶意软件分析

Kronos恶意软件是一款使用基于浏览器的中间人攻击和webinject规则来修改金融机构web页面、窃取用户身份凭证、账户信息和其他用户信息甚至金钱的银行木马。Kronos还有keylogging和隐藏VNC功能来帮助其银行攻击活动。

Kronos新变种与之前的版本有很多相似之处：

· 扩展代码覆盖；

· 相同的Windows API哈希技术；

· 相同的字符串加密技术；

· 相同的C2加密机制；

· 相同的C2协议和加密；

· 相同的webinject格式（Zeus格式）；

· 相同的C2面板文件布局。

该恶意软件是Kronos变种的最明显表示应该是含有自识别的字符串（图9）：

图9: 自识别的Kronos字符串

新变种与之前版本最大的不同之处在于使用.onion C2 URL和Tor来使通信匿名化。C2也是加密保存的，可以用图11中的过程解密。

图10: 加密的C2

图11: 用python解密C2示例

Osiris银行木马

几乎同时，Kronos的新变种也出现了，一款名为Osiris的银行木马广告出现在地下黑客论坛：

图12: Osiris银行木马广告

广告中的内容强调了的一些特征与Kronos新变种是相同的，比如C++语言编写、银行木马、使用Tor、keylogger功能、使用Zeus格式webinject等。广告中提到僵尸的大小是350k，与之前解压的Kronos新变种样本大小也差不多（351k）；而且该样本的名称为os.exe，很可能是Osiris的简写。

针对日本攻击活动中的一些文件名也使用的是Osiris：

hxxp://fritsy83[.]website/Osiris.exe
hxxp://oo00mika84[.]website/Osiris_jmjp_auto2_noinj.exe

结论

Kronos是一款臭名昭著的银行木马恶意软件，在威胁图谱中一直占有稳定地位。本文是对新出现的Kronos变种的一个综合分析，虽然使用的名字是Osiris，但证据显示就是Kronos银行木马的变种。