RATKing: Nova trojanska kampanja za daljinski pristup
Krajem maja otkrili smo kampanju za distribuciju trojanskog softvera za daljinski pristup (RAT) – programa koji omogućavaju napadačima da daljinski kontrolišu zaraženi sistem.
Grupa koju smo ispitali odlikovala se činjenicom da nije odabrala nijednu specifičnu RAT porodicu za infekciju. Nekoliko Trojanaca je primijećeno u napadima unutar kampanje (svi su bili široko dostupni). Ovom osobinom grupa nas je podsjetila na kralja pacova - mitsku životinju koju čine glodari isprepletenih repova.
Original je preuzet iz monografije K. N. Rossikova „Miševi i mišoliki glodari, ekonomski najvažniji“ (1908.)
U čast ovog stvorenja, grupu koju razmatramo nazvali smo RATKing. U ovom postu ćemo detaljno opisati kako su napadači izveli napad, koje su alate koristili, a također ćemo podijeliti svoja razmišljanja o atribuciji za ovu kampanju.
Napredak napada
Svi napadi u ovoj kampanji odvijali su se prema sljedećem algoritmu:
Korisnik je primio phishing email sa vezom do Google diska.
Koristeći vezu, žrtva je preuzela zlonamjernu VBS skriptu koja je specificirala DLL biblioteku za učitavanje konačnog korisnog učitavanja u Windows registrator i pokrenula PowerShell da ga izvrši.
DLL biblioteka je ubacila konačni korisni teret - u stvari, jedan od RAT-ova koje koriste napadači - u sistemski proces i registrovala VBS skriptu u automatskom pokretanju kako bi stekla uporište na zaraženoj mašini.
Konačno opterećenje je izvršeno u sistemskom procesu i dalo je napadaču mogućnost da kontroliše zaraženi računar.
Šematski se može predstaviti ovako:
Zatim ćemo se fokusirati na prve tri faze, jer nas zanima mehanizam isporuke zlonamjernog softvera. Nećemo detaljno opisivati mehanizam rada samog zlonamjernog softvera. Oni su široko dostupni – ili se prodaju na specijalizovanim forumima, ili čak distribuiraju kao projekti otvorenog koda – i stoga nisu jedinstveni za RATKing grupu.
Analiza faza napada
Faza 1. Phishing email
Napad je započeo tako što je žrtva primila zlonamerno pismo (napadači su koristili različite šablone sa tekstom; snimak ekrana ispod prikazuje jedan primer). Poruka je sadržavala vezu do legitimnog spremišta drive.google.com, što je navodno dovelo do stranice za preuzimanje PDF dokumenta.
Primjer phishing e-pošte
Međutim, u stvari, nije uopće učitan PDF dokument, već VBS skripta.
Kada ste kliknuli na vezu iz e-pošte na snimku ekrana iznad, datoteka pod nazivom Cargo Flight Details.vbs. U ovom slučaju, napadači nisu ni pokušali da prikriju dosije kao legitiman dokument.
U isto vrijeme, kao dio ove kampanje, otkrili smo skriptu pod nazivom Cargo Trip Detail.pdf.vbs. Već bi mogao proći za legitiman PDF jer Windows prema zadanim postavkama skriva ekstenzije datoteka. Istina, u ovom slučaju sumnju bi ipak mogla izazvati njegova ikona, koja je odgovarala VBS skripti.
U ovoj fazi, žrtva je mogla prepoznati prevaru: samo na trenutak bolje pogledajte preuzete datoteke. Međutim, u takvim phishing kampanjama, napadači se često oslanjaju na nepažljivog korisnika ili korisnika koji žuri.
Faza 2. Operacija VBS skripte
VBS skripta, koju je korisnik mogao nehotice otvoriti, registrovala je DLL biblioteku u Windows registru. Skripta je bila zamućena: redovi u njoj bili su napisani kao bajtovi razdvojeni proizvoljnim karakterom.
Primjer zamagljene skripte
Algoritam demaskiciranja je prilično jednostavan: svaki treći znak je isključen iz zamagljenog niza, nakon čega je rezultat dekodiran iz base16 u originalni niz. Na primjer, iz vrijednosti 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (istaknuto na snimku ekrana iznad) rezultirajući red je bio WScript.Shell.
Da bismo demaskirali nizove, koristili smo Python funkciju:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Ispod, u redovima 9–10, ističemo vrijednost čija je demaskiranje rezultiralo DLL datotekom. On je bio taj koji je pokrenut u sljedećoj fazi koristeći PowerShell.
String sa zamagljenim DLL-om
Svaka funkcija u VBS skripti je izvršena dok su stringovi demaskirani.
Nakon pokretanja skripte, funkcija je pozvana wscript.sleep — korišten je za odgođeno izvršenje.
Zatim je skripta radila sa Windows registrom. Za to je koristio WMI tehnologiju. Uz njegovu pomoć kreiran je jedinstveni ključ, a tijelo izvršne datoteke je upisano u njegov parametar. Pristupljeno je registru putem WMI-a pomoću sljedeće naredbe:
U trećoj fazi, zlonamjerni DLL je učitao konačni korisni teret, ubacio ga u sistemski proces i osigurao da se VBS skripta automatski pokrene kada se korisnik prijavi.
Pokreni preko PowerShell-a
DLL je izvršen pomoću sljedeće naredbe u PowerShell-u:
primljeni podaci o vrijednosti registra s imenom rnd_value_name — ovi podaci su bili DLL fajl napisan na .Net platformi;
učitao rezultirajući .Net modul u procesnu memoriju powershell.exe koristeći funkciju [System.Threading.Thread]::GetDomain().Load()(detaljan opis funkcije Load(). dostupno na Microsoft web stranici);
obavljao funkciju GUyyvmzVhebFCw]::EhwwK() - izvršenje DLL biblioteke je počelo sa njom - sa parametrima vbsScriptPath, xorKey, vbsScriptName. Parametar xorKey pohranjen ključ za dešifriranje konačnog tereta i parametri vbsScriptPath и vbsScriptName su prebačeni da bi se registrovala VBS skripta u autorunu.
Opis DLL biblioteke
U dekompiliranom obliku, bootloader je izgledao ovako:
Loader u dekompiliranom obliku (funkcija s kojom je započelo izvršavanje DLL biblioteke je podvučena crvenom bojom)
Bootloader je zaštićen .Net Reactor protektorom. Uslužni program de4dot radi odličan posao uklanjanja ovog zaštitnika.
Ovaj utovarivač:
ubacio korisni teret u sistemski proces (u ovom primjeru it svchost.exe);
Dodao sam VBS skriptu za automatsko pokretanje.
Ubrizgavanje tereta
Pogledajmo funkciju koju je pozvala PowerShell skripta.
Funkcija koju poziva PowerShell skripta
Ova funkcija je izvršila sljedeće radnje:
dešifrovana dva skupa podataka (array и array2 na snimku ekrana). Prvobitno su komprimirani koristeći gzip i šifrirani XOR algoritmom s ključem xorKey;
kopirali podatke u dodijeljena memorijska područja. Podaci iz array - do memorijskog područja na koje je pokazano intPtr (payload pointer na snimku ekrana); podaci iz array2 - do memorijskog područja na koje je pokazano intPtr2 (shellcode pointer na snimku ekrana);
nazvana funkcija CallWindowProcA(описание Ova funkcija je dostupna na Microsoft web stranici) sa sledećim parametrima (nazivi parametara su navedeni ispod, na snimku ekrana su istim redosledom, ali sa radnim vrednostima):
lpPrevWndFunc - pokazivač na podatke iz array2;
hWnd — pokazivač na niz koji sadrži putanju do izvršne datoteke svchost.exe;
Msg - pokazivač na podatke iz array;
wParam, lParam — parametri poruke (u ovom slučaju ovi parametri nisu korišteni i imali su vrijednosti 0);
kreirao fajl %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlgde <name> - ovo su prva 4 znaka parametra vbsScriptName (na snimku ekrana, fragment koda s ovom akcijom počinje naredbom File.Copy). Na ovaj način, zlonamjerni softver je dodao URL datoteku na listu datoteka za automatsko pokretanje kada se korisnik prijavio i tako postao vezan za zaraženi računar. URL datoteka je sadržavala link do skripte:
Da bismo razumjeli kako je izvršena injekcija, dešifrirali smo nizove podataka array и array2. Za to smo koristili sljedeću Python funkciju:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Kao rezultat toga, saznali smo da:
array je bio PE fajl - ovo je konačni teret;
array2 je shellcode potreban za izvođenje injekcije.
Shellcode iz niza array2 proslijeđena kao vrijednost funkcije lpPrevWndFunc u funkciju CallWindowProcA. lpPrevWndFunc — callback funkcija, njen prototip izgleda ovako:
Dakle, kada pokrenete funkciju CallWindowProcA sa parametrima hWnd, Msg, wParam, lParam shellcode iz niza se izvršava array2 sa argumentima hWnd и Msg. hWnd je pokazivač na niz koji sadrži putanju do izvršne datoteke svchost.exei Msg — pokazivač na konačni nosivost.
Shellcode je primio adrese funkcija od kernel32.dll и ntdll32.dll na osnovu hash vrijednosti iz njihovih imena i ubrizgali konačni korisni teret u memoriju procesa svchost.exekoristeći tehniku Process Hollowing (više o tome možete pročitati u ovom članak). Prilikom ubacivanja shell koda:
kreirao proces svchost.exe u suspendiranom stanju pomoću funkcije CreateProcessW;
zatim sakri prikaz sekcije u adresnom prostoru procesa svchost.exe koristeći funkciju NtUnmapViewOfSection. Tako je program oslobodio memoriju originalnog procesa svchost.exeda zatim dodijeli memoriju za korisni teret na ovoj adresi;
dodijeljena memorija za korisni teret u adresnom prostoru procesa svchost.exe koristeći funkciju VirtualAllocEx;
Početak procesa ubrizgavanja
napisao sadržaj korisnog učitavanja u procesni adresni prostor svchost.exe koristeći funkciju WriteProcessMemory (kao na slici ispod);
nastavio proces svchost.exe koristeći funkciju ResumeThread.
Završetak procesa ubrizgavanja
Malware koji se može preuzeti
Kao rezultat opisanih radnji, jedan od nekoliko zlonamjernih programa klase RAT instaliran je na zaraženom sistemu. Donja tabela navodi zlonamjerni softver korišten u napadu, koji sa sigurnošću možemo pripisati jednoj grupi napadača, budući da su uzorci pristupali istom komandnom i kontrolnom serveru.
Primjeri distribuiranog zlonamjernog softvera sa istim kontrolnim serverom
Ovdje su vrijedne pažnje dvije stvari.
Prvo, sama činjenica da su napadači koristili nekoliko različitih RAT porodica odjednom. Ovo ponašanje nije tipično za dobro poznate sajber grupe, koje često koriste približno isti skup alata koji su im poznati.
Drugo, RATKing je koristio zlonamjerni softver koji se ili prodaje na specijalizovanim forumima po niskoj cijeni, ili je čak projekat otvorenog koda.
Potpuna lista zlonamjernog softvera koji se koristi u kampanji – uz jedno važno upozorenje – dat je na kraju članka.
O grupi
Ne možemo pripisati opisanu zlonamjernu kampanju bilo kojim poznatim napadačima. Za sada smatramo da je ove napade izvela jedna fundamentalno nova grupa. Kao što smo napisali na početku, nazvali smo ga RATKing.
Za kreiranje VBS skripte, grupa je vjerovatno koristila alat sličan uslužnom programu VBS-Crypter od programera NYAN-x-CAT. Na to ukazuje sličnost skripte koju ovaj program kreira sa skriptom napadača. Konkretno, oboje:
izvršiti odgođeno izvršenje pomoću funkcije Sleep;
koristiti WMI;
registrirati tijelo izvršne datoteke kao parametar ključa registratora;
izvrši ovu datoteku koristeći PowerShell u svom vlastitom adresnom prostoru.
Radi jasnoće, uporedite naredbu PowerShell za pokretanje datoteke iz registra, koju koristi skripta kreirana pomoću VBS-Cryptera:
Imajte na umu da su napadači koristili još jedan uslužni program iz NYAN-x-CAT kao jedan od korisnih tereta - LimeRAT.
Adrese C&C servera ukazuju na još jednu karakterističnu osobinu RATKinga: grupa preferira dinamičke DNS usluge (pogledajte listu C&C-a u tabeli IoC-a).
IoC
Tabela ispod daje kompletnu listu VBS skripti koje se najvjerovatnije mogu pripisati opisanoj kampanji. Sve ove skripte su slične i izvode približno isti slijed radnji. Svi oni ubrizgavaju zlonamjerni softver klase RAT u pouzdani Windows proces. Svi oni imaju C&C adrese registrovane koristeći Dynamic DNS usluge.
Međutim, ne možemo tvrditi da su sve ove skripte distribuirali isti napadači, sa izuzetkom uzoraka sa istim C&C adresama (na primjer, kimjoy007.dyndns.org).