瞄准Windows的新兴僵尸网络：Kraken

2021 年 10 月，ZeroFox Intelligence 披露了名为 Kraken 的僵尸网络。Kraken 通过 SmokeLoader 进行传播，每次更新攻击基础设施时都会扩大规模。尽管与 2008 年发现的 Kraken 僵尸网络同名，但二者并没有其他共同点。

功能

自从 2021 年 10 月以来，Kraken 僵尸网络一直在针对 Windows 积极开发。尽管 Bot 的功能相对简单，但攻击者一直在持续更新。其具有的典型功能如下：

持久化

收集主机信息

下载并执行程序

远程命令执行

窃取加密货币钱包

屏幕截图

开端

Kraken 的早期版本在 2021 年 10 月 10 日被上传到 GitHub 上，该版本的源代码早于在野发现的任何样本。但目前尚不清楚，GitHub 上的代码是否属于攻击者或者是攻击者只是利用了该代码进行开发。

image.png-423.9kB

早期版本代码

感染

Kraken 在 SmokeLoader 下载的自解压 RAR SFX 文件中进行传播。SFX 文件中包含一个 UPX 加壳的 Kraken、一个 RedLine Stealer 和一个用于删除 Kraken 的程序。后续版本除了使用 UPX 加壳，也使用 Themida 进行加壳。

image.png-327.6kB

SFX 文件

持久化

Kraken 会将自身移动到 %AppData%\Microsoft处。文件名是硬编码的，诸如 taskhost.exe、Registry.exe和 Windows Defender GEO.exe等。

为了持久化隐藏，Kraken 运行以下两个命令：

powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft

attrib +S +H %APPDATA%\Microsoft\

PowerShell 命令控制 Microsoft Defender 不扫描 Kraken 所在目录，而 attrib 控制文件隐藏。

Kraken 利用注册表保持系统启动时自启动。

image.png-82.7kB

注册表项

注册表键值的名称是另一个硬编码值，早期版本名为 Networking Service，后期使用 Networking5 Servic1e、Networking5r Servirc1er等。

image.png-102.2kB

注册表项

每个版本中都保持不变的是：

ID：混淆的 UUID

INSTALL：安装时间戳

LAST：空

NAME：混淆的文件和运行密钥

REMASTER：nil

VERSION：0.5.6

特征

Kraken 的功能相对其他僵尸网络仍然是十分简单的，主要将失陷主机的相关信息回传给 C&C 服务器。收集信息如下所示：

主机名

用户名

构建 ID（TEST_BUILD_+第一次运行的时间戳）

CPU 信息

GPU 信息

操作系统和版本

Kraken 最初用于更新 Bot、执行 Payload 以及接收文件等功能的下载文件功能，在最新版本中已经合并为一个。

攻击者曾经也增加了 SSH 爆破功能，但很快就被删除了。C&C 服务器发送 ScreenShot命令，样本就会截取系统的屏幕截图。

最近添加的功能是窃取加密货币钱包：

%AppData%\Zcash

%AppData%\Armory

%AppData%\bytecoin

%AppData%\Electrum\wallets

%AppData%\Ethereum\keystore

%AppData%\Exodus\exodus.wallet

%AppData%\Guarda\Local Storage\leveldb

%AppData%\atomic\Local Storage\leveldb

%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb

目前支持的命令有：

Position

ScreenShot

SHELL

UPLOAD

image.png-220.7kB

命令解析代码

控制面板

自从 2021 年 10 月以来，控制面板已经更新了很多版本。尽管 GitHub 上的源码包含 C&C 服务器的代码，但是并不包含控制面板。

Kraken

最初的面板是 Kraken面板，提供了基本的数据统计、上传下载 Payload 以及与批量受控主机交互等功能。

image.png-234.2kB

控制面板

Anubis

当前的控制面板为 Anubis面板，提供的信息比原有面板多得多。可以查看历史命令记录与有关受害者的相关信息。

image.png-447.7kB

控制面板

Anubis面板在后续更新中增加了选择目标执行的能力，这样可以更精细地控制攻击目标。

image.png-84.5kB

指定运行

image.png-436.5kB

历史记录

随着 Kraken 僵尸网络规模的不断扩大，也在部署其他信息窃密程序和挖矿程序，僵尸网络挖矿每月的收入大概在 3000 美元左右。

image.png-214.8kB

矿池信息

结论

Kraken 的活动曾经一度减弱，但在短时间内就会启用新端口或者新的 C&C 服务器。通过对命令的监控，攻击者专注于部署信息窃密程序，特别是 RedLine Stealer。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。