ProHoster > Blog > podávání > RATKing: Nová kampaň s trojským koněm pro vzdálený přístup
RATKing: Nová kampaň s trojským koněm pro vzdálený přístup
Na konci května jsme objevili kampaň na distribuci malwaru Remote Access Trojan (RAT) – programů, které útočníkům umožňují vzdáleně ovládat infikovaný systém.
Námi zkoumaná skupina se vyznačovala tím, že nevybírala žádnou konkrétní rodinu RAT pro infekci. Při útocích v rámci kampaně bylo zaznamenáno několik trojských koní (všechny byly široce dostupné). Tímto rysem nám skupina připomněla krysího krále – bájné zvíře, které se skládá z hlodavců s propletenými ocasy.
Originál je převzat z monografie K. N. Rossikova „Myši a myší podobní hlodavci, hospodářsky nejvýznamnější“ (1908)
Na počest tohoto tvora jsme skupinu, o které uvažujeme, pojmenovali RATKing. V tomto příspěvku se podrobně podíváme na to, jak útočníci provedli útok, jaké nástroje použili, a také se podělíme o naše myšlenky na atribuci pro tuto kampaň.
Průběh útoku
Všechny útoky v této kampani proběhly podle následujícího algoritmu:
Uživatel obdržel phishingový e-mail s odkazem na Disk Google.
Pomocí odkazu si oběť stáhla škodlivý skript VBS, který specifikoval knihovnu DLL pro načtení konečného datového obsahu do registru Windows a spustil PowerShell, aby jej provedl.
Knihovna DLL vložila poslední užitečné zatížení - ve skutečnosti jednu z RAT používaných útočníky - do systémového procesu a zaregistrovala skript VBS do automatického spouštění, aby získala oporu v infikovaném počítači.
Konečné užitečné zatížení bylo provedeno v systémovém procesu a poskytlo útočníkovi možnost ovládat infikovaný počítač.
Schematicky to lze znázornit takto:
Dále se zaměříme na první tři fáze, protože nás zajímá mechanismus doručování malwaru. Mechanismus fungování samotného malwaru nebudeme podrobně popisovat. Jsou široce dostupné – buď se prodávají na specializovaných fórech, nebo dokonce distribuují jako projekty s otevřeným zdrojovým kódem – a proto nejsou jedinečné pro skupinu RATKing.
Analýza fází útoku
Fáze 1. Phishingový e-mail
Útok začal tím, že oběť obdržela škodlivý dopis (útočníci použili různé šablony s textem; snímek obrazovky níže ukazuje jeden příklad). Zpráva obsahovala odkaz na legitimní úložiště drive.google.com, což údajně vedlo ke stažení stránky PDF dokumentu.
Příklad phishingového e-mailu
Ve skutečnosti se však vůbec nenačítal PDF dokument, ale skript VBS.
Když jste klikli na odkaz z e-mailu na snímku obrazovky výše, soubor s názvem Cargo Flight Details.vbs. V tomto případě se útočníci ani nepokusili zamaskovat soubor jako legitimní dokument.
Zároveň jsme v rámci této kampaně objevili skript jménem Cargo Trip Detail.pdf.vbs. Mohlo by to již projít za legitimní PDF, protože systém Windows ve výchozím nastavení skrývá přípony souborů. Pravda, v tomto případě by podezření ještě mohla vzbudit její ikona, která odpovídala skriptu VBS.
V této fázi by oběť mohla rozpoznat podvod: stačí se na chvíli blíže podívat na stažené soubory. V takových phishingových kampaních však útočníci často spoléhají na nepozorného nebo uspěchaného uživatele.
Fáze 2. Operace skriptu VBS
Skript VBS, který mohl uživatel neúmyslně otevřít, zaregistroval knihovnu DLL v registru Windows. Skript byl zmatený: řádky v něm byly zapsány jako bajty oddělené libovolným znakem.
Příklad zmateného skriptu
Algoritmus deobfuskace je poměrně jednoduchý: každý třetí znak byl vyloučen z obfuskovaného řetězce, načež byl výsledek dekódován z base16 do původního řetězce. Například z hodnoty 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (zvýrazněno na snímku obrazovky výše) byl výsledný řádek WScript.Shell.
K deobfuskaci řetězců jsme použili funkci Python:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Níže na řádcích 9–10 zvýrazníme hodnotu, jejíž deobfuskace vyústila v soubor DLL. Byl to on, kdo byl spuštěn v další fázi pomocí PowerShellu.
Řetězec s obfuskovanou knihovnou DLL
Každá funkce ve skriptu VBS byla provedena, když byly řetězce deobfuskovány.
Po spuštění skriptu byla funkce volána wscript.sleep — sloužil k provedení odložené exekuce.
Dále skript pracoval s registrem Windows. Využil k tomu technologii WMI. S jeho pomocí byl vytvořen jedinečný klíč a tělo spustitelného souboru bylo zapsáno do jeho parametru. Registr byl zpřístupněn přes WMI pomocí následujícího příkazu:
Ve třetí fázi záškodnická knihovna DLL načetla konečnou datovou část, vložila ji do systémového procesu a zajistila automatické spuštění skriptu VBS, když se uživatel přihlásil.
Spustit přes PowerShell
DLL byla spuštěna pomocí následujícího příkazu v PowerShell:
přijatá data hodnoty registru s názvem rnd_value_name — tato data byla souborem DLL napsaným na platformě .Net;
načetl výsledný modul .Net do paměti procesu powershell.exe pomocí funkce [System.Threading.Thread]::GetDomain().Load()(podrobný popis funkce Load(). k dispozici na webu společnosti Microsoft);
vykonával funkci GUyyvmzVhebFCw]::EhwwK() - spuštění knihovny DLL s ní začalo - s parametry vbsScriptPath, xorKey, vbsScriptName. Parametr xorKey uložen klíč pro dešifrování konečného užitečného zatížení a parametry vbsScriptPath и vbsScriptName byly přeneseny za účelem registrace skriptu VBS do automatického spouštění.
Popis knihovny DLL
V dekompilované podobě vypadal bootloader takto:
Loader v dekompilované podobě (funkce, se kterou začalo provádění knihovny DLL, je podtržena červeně)
Bootloader je chráněn chráničem .Net Reactor. Nástroj de4dot odvádí skvělou práci při odstraňování tohoto chrániče.
Tento nakladač:
vložilo užitečné zatížení do systémového procesu (v tomto příkladu to svchost.exe);
Přidal jsem skript VBS do automatického spouštění.
Vstřikování užitečného zatížení
Podívejme se na funkci, kterou volal skript PowerShell.
Funkce volaná skriptem PowerShell
Tato funkce provedla následující akce:
dešifroval dvě datové sady (array и array2 na snímku obrazovky). Původně byly komprimovány pomocí gzip a zašifrovány pomocí algoritmu XOR s klíčem xorKey;
zkopírovaná data do přidělených paměťových oblastí. Údaje z array - do oblasti paměti, na kterou ukazujete intPtr (payload pointer na snímku obrazovky); údaje z array2 - do oblasti paměti, na kterou ukazujete intPtr2 (shellcode pointer na snímku obrazovky);
volala funkce CallWindowProcA(описание Tato funkce je k dispozici na webu společnosti Microsoft) s následujícími parametry (názvy parametrů jsou uvedeny níže, na snímku obrazovky jsou ve stejném pořadí, ale s pracovními hodnotami):
lpPrevWndFunc - ukazatel na data z array2;
hWnd — ukazatel na řetězec obsahující cestu ke spustitelnému souboru svchost.exe;
Msg - ukazatel na data z array;
wParam, lParam — parametry zprávy (v tomto případě tyto parametry nebyly použity a měly hodnoty 0);
vytvořil soubor %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlKde <name> - to jsou první 4 znaky parametru vbsScriptName (na snímku obrazovky začíná fragment kódu s touto akcí příkazem File.Copy). Tímto způsobem malware přidal soubor URL do seznamu souborů automatického spouštění, když se uživatel přihlásil, a připojil se tak k infikovanému počítači. Soubor URL obsahoval odkaz na skript:
Abychom pochopili, jak byla injekce provedena, dešifrovali jsme datová pole array и array2. K tomu jsme použili následující funkci Pythonu:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
V důsledku toho jsme zjistili, že:
array byl soubor PE - toto je konečný náklad;
array2 byl kód shellu nutný k provedení injekce.
Shellcode z pole array2 předán jako funkční hodnota lpPrevWndFunc do funkce CallWindowProcA. lpPrevWndFunc — funkce zpětného volání, její prototyp vypadá takto:
Takže když spustíte funkci CallWindowProcA s parametry hWnd, Msg, wParam, lParam je spuštěn shell kód z pole array2 s argumenty hWnd и Msg. hWnd je ukazatel na řetězec obsahující cestu ke spustitelnému souboru svchost.exea Msg — ukazatel na konečné užitečné zatížení.
Shellcode přijal adresy funkcí od kernel32.dll и ntdll32.dll na základě hodnot hash z jejich názvů a vložil konečné užitečné zatížení do paměti procesu svchost.exepomocí techniky Process Hollowing (více si o tom můžete přečíst v tomto článku článek). Při vstřikování shell kódu:
vytvořil proces svchost.exe v pozastaveném stavu pomocí funkce CreateProcessW;
pak skryl zobrazení sekce v adresovém prostoru procesu svchost.exe pomocí funkce NtUnmapViewOfSection. Program tak uvolnil paměť původního procesu svchost.exepak alokovat paměť pro užitečné zatížení na této adrese;
alokovaná paměť pro užitečné zatížení v adresovém prostoru procesu svchost.exe pomocí funkce VirtualAllocEx;
Začátek procesu vstřikování
zapsal obsah užitečného zatížení do adresového prostoru procesu svchost.exe pomocí funkce WriteProcessMemory (jako na obrázku níže);
proces obnovil svchost.exe pomocí funkce ResumeThread.
Dokončení procesu vstřikování
Malware ke stažení
V důsledku popsaných akcí byl do infikovaného systému nainstalován jeden z několika malwarů třídy RAT. Níže uvedená tabulka uvádí malware použitý při útoku, který můžeme s jistotou připsat jedné skupině útočníků, protože vzorky přistupovaly ke stejnému příkazovému a řídicímu serveru.
Příklady distribuovaného malwaru se stejným řídicím serverem
Zde stojí za zmínku dvě věci.
Za prvé, samotný fakt, že útočníci použili několik různých RAT rodin najednou. Toto chování není typické pro známé kybernetické skupiny, které často používají přibližně stejnou sadu nástrojů, které znají.
Za druhé, RATKing používal malware, který se buď prodává na specializovaných fórech za nízkou cenu, nebo jde dokonce o open source projekt.
Úplnější seznam malwaru použitého v kampani – s jedním důležitým upozorněním – je uveden na konci článku.
O skupině
Popsanou škodlivou kampaň nemůžeme připsat žádným známým útočníkům. Prozatím se domníváme, že tyto útoky provedla zásadně nová skupina. Jak jsme psali na začátku, říkali jsme tomu RATKing.
K vytvoření skriptu VBS skupina pravděpodobně použila nástroj podobný tomuto nástroji VBS-Crypter od vývojáře NYAN-x-CAT. Naznačuje to podobnost skriptu, který tento program vytváří, se skriptem útočníků. Konkrétně oba:
provést zpožděné spuštění pomocí funkce Sleep;
používat WMI;
zaregistrovat tělo spustitelného souboru jako parametr klíče registru;
spustit tento soubor pomocí prostředí PowerShell v jeho vlastním adresním prostoru.
Pro přehlednost porovnejte příkaz PowerShell ke spuštění souboru z registru, který používá skript vytvořený pomocí VBS-Crypter:
Všimněte si, že útočníci použili další nástroj z NYAN-x-CAT jako jeden z užitečných zatížení - LimeRAT.
Adresy C&C serverů ukazují na další charakteristický rys RATKingu: skupina preferuje dynamické DNS služby (viz seznam C&C v tabulce IoC).
IoC
Níže uvedená tabulka poskytuje úplný seznam skriptů VBS, které lze s největší pravděpodobností připsat popsané kampani. Všechny tyto skripty jsou podobné a provádějí přibližně stejnou sekvenci akcí. Všechny vkládají malware třídy RAT do důvěryhodného procesu Windows. Všechny mají adresy C&C registrované pomocí služeb Dynamic DNS.
Nemůžeme však tvrdit, že všechny tyto skripty byly distribuovány stejnými útočníky, s výjimkou vzorků se stejnými adresami C&C (například kimjoy007.dyndns.org).