技术细节

上周，联邦调查局与国防部和国土安全部联合发布了一份备忘录，详细介绍了Kimsuky的技术细节。

(1) 初始访问

大多数情况下，Kimsuky利用鱼叉式网络钓鱼和社会工程学的技巧来获得对受害者网络的初步访问。此外，还会利用以安全警报为主题的网络钓鱼电子邮件、水坑攻击，通过torrent共享站点分发恶意软件，以及指示受害者安装恶意浏览器扩展程序等获取访问权限的手段。

(2) 执行

获得初始访问权限后，Kimsuky使用BabyShark恶意软件和PowerShell或Windows Command Shell执行。其中，BabyShark是基于Visual Basic脚本(VBS)的恶意软件，往往通过包含链接或附件的电子邮件传递。

(3) 维持权限

Kimsuky通过使用恶意浏览器扩展，修改系统进程，操纵执行，使用远程桌面协议(RDP)以及更改应用程序的默认文件关联等手段，从而获取登录名和密码信息，或在某些应用程序允许列表解决方案之外启动恶意软件。

(4) 特权提升

在特权提升方面，Kimsuky使用的是众所周知的方法：将脚本放入Startup文件夹，创建和运行新服务，更改默认文件关联以及注入恶意代码。

(5) 防御规避

包括禁用安全工具，删除文件以及使用Metasploit等。

(6) 凭证访问

Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录器中收集相关凭证。