Kimsuky样本攻击手段分析

背景

Kimsuky最早由卡巴斯基于2013年公开披露并命名，攻击活动最早可追溯至2012年，是疑似具有东亚国家背景的APT组织。该组织主要攻击目标为韩国，涉及国防、教育、能源、政府、医疗以及智囊团等领域，以机密信息窃取为主。Kimsuky至今一直处于活跃状态，从2018年开始频繁开展了多起针对韩美两国特定领域人员的攻击活动。

本篇研究文章针对Kimsuky所使用的几个具有代表性的恶意软件样本进行分析，对Kimsuky组织所使用的常用攻击手段进行总结。

样本1

样本基本信息

样本放入threatbook云沙箱观察它的基本信息，发现这个样本源文件是韩文为标题的.doc文件，所以可以推测是宏病毒。

提取其样本基本信息：

样本分析

在threatbook中下载样本进行分析。下载下来的文件先更改一下文件名为.doc(这里解释一下，当将文件放入二进制编辑工具进行查看的时候发现存在PK标志，这其实是微软在Office 2007中推出的基于XML的文件格式，可以将后缀名改为.zip查看文件的结构。)尝试在office打开文件，打开一张图片提示我们打开宏，并且安全警告中提醒用户程序尝试执行宏指令被制止。所以基本可以推测这是攻击者用来引诱用户打开宏执行宏指令所伪造的主页面。

尝试打开宏，文件执行宏后出现了伪造的文档页面

按alt + f11进入VBA页面，打开宏发现程序被加密，这个加密是伪加密，有两种方法可以绕过密码打开宏代码

方法一：

使用二进制编辑工具打开样本，文本搜索"DPB"，改为"DPX"，保存后再次打开VBA页面可以读取代码

方法二：

使用oletools里的olevba工具提取宏代码，直接使用命令即可

olevba 0.60.1 on Python 3.8.5 - http://decalage.info/python/oletools
===============================================================================
FILE: .\1fcd9892532813a27537f4e1a1c