RATKing: expeditionem novam cum remotis aditu Trojanis
In fine mensis Maii expeditionem ad Obvius Trojanus (RAT) malware distribuendam-investigationes quae impugnatores systematis infectivis remotius imperare sinunt, repperimus.
Coetus examinatus eo distinguebatur quod aliquem familiae RATi specificae ad infectionem non eligeret. Plures Troiani impetus in expeditione (quae omnia crees erant). Hoc pluma, coetus nos admonuit ratiunculae regis animal fabulosum quod rodentibus caudis implexis constat.
Originale sumptum est ex monographo K. N. Rossikov "Mures et mures mures similes, maximi momenti oeconomice" (1908)
In honorem huius creaturae nominavimus coetum quem RATKING consideramus. In hac statione, singillatim persequemur quomodo oppugnatores impetum, quae instrumenta utebantur, nostras cogitationes communicamus in attributione huius expeditionis.
Progressus impetus
Omnes impetus in hac expeditione fiebant secundum algorithmum sequentium;
Usor accepit hamatae inscriptionem cum nexu ad Google Coegi.
Vinculum utens, victima malevolum VBS scriptum induxit, qui bibliothecam DLL nominavit, ut ultimam payload in Fenestra subcriptio oneret et PowerShell ad exsequendum deductae essent.
Bibliotheca DLL extremum payload injecit - re vera unum e RATs ab oppugnatoribus adhibitum - in processum systematis VBS scriptorum autoruni descripserunt ut vestigium in machina infecta acquirerent.
Postrema payload consecuta est in processu systematis et percussor facultatem computatrum infectam moderandi dedit.
Schematice repraesentari potest sic:
Deinde primos tres gradus intendere volumus, cum in malware partus mechanismum versarimus. Mechanismum operationis ipsius malware non persequemur. Sunt crees available - vel in foris specialioribus venditi, vel etiam distribuuntur ut aperta principia incepta - ideoque singularia non sunt catervae RATKing.
Analysis impetus gradus
Scaena 1. Phishing inscriptio
Impugnatio incepit cum victima accepta litteras malitiosas (inimatores in diversis exemplaribus cum textu usi sunt; tortor infra unum exemplum ostendit). Haec epistula nexum legitimum reposito continebat drive.google.comquae velut ad PDF documentum paginae download induxit.
Phishing inscriptio exemplum
Attamen re vera, documentum PDF non erat, quod omnino oneratum erat, sed scriptum VBS.
Cum coniuctionem nexus ex electronica in screenshot supra iecisti, tabella nominata Cargo Flight Details.vbs. In hoc casu ne oppugnatores quidem tabellam legitimum documentum dissimulare conantur.
Eodem tempore in parte expeditionis huius scriptum invenimus nominatum Cargo Trip Detail.pdf.vbs. Iam pro legitimo PDF transire potuit quia Fenestra lima extensiones per defaltam occultat. Verum, in hoc casu, suspicio adhuc eius iconem excitari potuit, quae scripturae VBS correspondebat.
In hac scaena, victima deceptionem cognoscere potuit: vide propius ad tabulas receptas in secundo. Tamen in tantis expeditionibus hamatae, oppugnatores saepe fident segnem vel irruentem usuin.
Stage 2. VBS scriptor operatio
Scriptum VBS, quod usor imprudenter aperire potuit, bibliothecam DLL in subcriptio Windows descripserunt. Scriptum obfuscabatur: lineis in eo scripti sunt quasi bytes separati arbitrario charactere.
Exemplum de scripto obfuscato
Algorithmus deobfuscatio prorsus simplex est: omnis tertia indoles e filo obfuscato exclusa est, post quam effectus e basi in chorda originali decocta est. Nam ut ex 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (Extulit in screenshot supra) inde acies erat WScript.Shell.
Ad chordas deobfuscate, munus Pythonis usi sumus;
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Infra, ad lineas 9-10, illustramus valorem cuius deobfuscatio in tabella DLL consecuta est. Is erat qui in scenam inductus est utens PowerShell.
DLL linea cum obfuscatis
Quodlibet munus in scriptione VBS factum est ut chordae deobfuscatae essent.
Post currit scriptum, munus vocatum est wscript.sleep - exequi solebat differri.
Deinceps scriptum erat cum registro Fenestra. Usus est WMI hac technologia. Eius ope unica clavis creata est, et corpus fasciculi exsecutabilis suo modulo conscriptum est. Subcriptio est accessed per WMI utens sequenti imperio:
In tertio gradu, malitiosi DLL onerant extremum payload, illud in processum systematis injecerunt, et conservaverunt ut VBS scriptor autostarted inciperet cum in usuario initium fecit.
Curre per PowerShell
Quod DLL supplicium est utens hoc imperio in PowerShell:
accepit subcriptio valorem notitia in nomine rnd_value_name β Haec notitia fasciculus DLL in suggestu reticuli inscriptus erat;
onusta inde .Net moduli in processu memoriae powershell.exe per munus [System.Threading.Thread]::GetDomain().Load()(ENARRATIO oneris () functionis praesto in Microsoft website);
functio GUyyvmzVhebFCw]::EhwwK() - Executio bibliothecae DLL cum eo coepit - cum parametris vbsScriptPath, xorKey, vbsScriptName. Parameter xorKey clavis reposuit pro decrypting finalis payload et parametri vbsScriptPath ΠΈ vbsScriptName VBS script in autorun ut adnotatio translata sunt.
Descriptio bibliothecae DLL
In forma deformata, bootloader hoc simile;
Loader in forma decompiled (munus, quo exsecutio bibliothecae DLL incepit, rubro sublineatur)
Tabernarius munitus est .Net Reactor protectoris sui. Eximium officium de4dot utilitate tollendum hoc protectorem facit.
Hic oneratus:
injecit payload in systematis processum (hoc exemplo it svchost.exe);
VBS scriptionem addidi ad autorun.
Payload iniectio
Intueamur munus quod vocatur PowerShell script.
Munus appellatur ab PowerShell scriptor
Hoc munus fungitur sequentibus actionibus:
decrypted duo data occidit (array ΠΈ array2 in tortor). Compressi sunt primum utentes gzip et encrypted cum XOR algorithmus cum clavis xorKey;
exscriptus notitia collocari memoria elit. Data from array - ad memoriam area demonstravit intPtr (payload pointer in tortor); notitia ex * array2 - ad memoriam area demonstravit intPtr2 (shellcode pointer in tortor);
dicitur munus CallWindowProcA(ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ Hoc munus est available in Microsoft website) cum parametris sequentibus (nomina parametri infra recensentur, in screenshot eodem ordine sunt, sed cum valoribus operationibus);
lpPrevWndFunc - monstratorem notitia ex array2;
hWnd - monstratorem filo continens iter ad documentum exsecutabile svchost.exe;
Msg - monstratorem notitia ex array;
wParam, lParam - nuntium parametri (hoc in casu, hi parametri usi non sunt et valores ipsius 0 habuerunt);
file creatum est %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlquibus <name> - Hi sunt primi 4 characteres parametri vbsScriptName (in screenshot, codice fragmentum cum hac actione incipit cum imperio File.Copy). Hoc modo malware tabellam URL additae ad indicem fasciculorum autorunculorum cum initium usoris infecit et sic computatori infecta adnectitur. URL tabella nexum scripto continebat:
Ad intellegendum quomodo iniectio facta est, nos decryptos notas vestit array ΠΈ array2. Ad hoc faciendum Pythone hoc munus usus est;
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Quam ob rem hoc compertum habemus;
array file erat PE - haec est finalis payload;
array2 shellcode opus fuit ad explendum iniectio.
Shellcode ab exercitu array2 Transierunt quasi munus valorem lpPrevWndFunc in munus CallWindowProcA. lpPrevWndFunc - munus callback, prototypum eius simile hoc est:
Itaque cum currunt munus CallWindowProcA cum parametri hWnd, Msg, wParam, lParam shellcode ab ordinata fit array2 cum argumentis hWnd ΠΈ Msg. hWnd est regula ad filum continet viam ad documentum exsecutabile svchost.exequod Msg - monstratorem finalem payload.
In shellcode receperunt munus oratio ex kernel32.dll ΠΈ ntdll32.dll fundatur in valoribus Nullam ex nominibus eorum finalem payload processum memoriae infusum svchost.exeutens Processu Hollowing ars (in hoc legere potes articulus). Cum shellcode immisso;
creatus est processus svchost.exe in suspensus publica usus est munus CreateProcessW;
absconderunt sectionis ostentationem in processu inscriptionis spatium svchost.exe per munus NtUnmapViewOfSection. Ita progressio memoriam processus primigenii liberavit svchost.exedeinde memoriam de stipendio in hac inscriptione collocare;
datum memoria payload in processu oratio spatium svchost.exe per munus VirtualAllocEx;
Ad initium iniectio processus
scripsisse contenta payload in processus electronica locus svchost.exe per munus WriteProcessMemory (ut in tortor infra);
processus resumpsit svchost.exe per munus ResumeThread.
Expleto iniectio processus
Malware downloadable
Propter descriptas actiones, una ex pluribus RAT-classis malware in systemate infecta inauguratus est. Mensa infra recenset malware usus in oppugnatione, quam confidenter uni coetus oppugnantium tribuere possumus, cum exempla accesserunt eiusdem mandati ac servientis imperium.
Exempla malware distributae cum servo eiusdem potestate
Duo notanda sunt hic.
Uno hoc ipso quod oppugnatores aliquot simul familias RAT VARIAE diversae usi sunt. Haec agendi ratio non est typica pro notis cybericis sodaliciis, quibus saepe utimur circa eadem instrumenta instrumentorum quae eis nota sunt.
Secundo, RATING malware usus, quae in foris specialibus parvo pretio vel vendita est, vel etiam in aperto fonte est propositum.
Plenior index malware usus in expeditione - una cautione magni momenti ponitur in fine articuli.
Circiter coetus
Descriptis malignis expeditionibus quibusvis notis oppugnatoribus tribuere non possumus. Nunc enim credimus has impetus per novam catervam fundamentaliter exerceri. Sicut ab initio scripsimus, id RATK vocavimus.
Ad scripturam VBS creare, coetus instrumenti verisimiliter usus est simili utilitate VBS-Cryptero a elit NYAN-x-CAT. Hoc significatur per similitudinem scripti quod hoc programma cum oppugnatoribus scripto creat. Specie uterque;
praestare morata supplicium uti ad munus Sleep;
uti WMI;
mandare corpus fasciculi exsecutabilis ut subcriptio clavem parametri;
hunc fasciculum exsequi utens PowerShell in suo spatio electronica.
Ad evidentiam, confer imperium PowerShell ad currendum fasciculum ex registro, quo usus est per scriptionem creatam utens VBS-Crypteris:
Nota oppugnantes aliam utilitatem ex NYAN-x-CAT ut unum ex payloads - LimeRAT.
Inscriptiones servientium C&C aliud notam distinctivam RATKing indicant: coetus dynamica DNS officia praefert (vide indicem C&C in tabula IoC).
IoC
Tabula infra plenam scriptorum indicem VBS praebet, quae bello descripta verisimillimo tribui potest. Haec omnia scripta sunt similia, et circa eandem seriem actionum faciunt. Omnes RAT genus malware in Fenestra credita processus inferunt. Omnes inscriptiones habent C&C descripserunt utentes officia dynamica DNS.
Nihilominus affirmare non possumus omnia haec scripta ab eisdem oppugnatoribus distributa, praeter exempla cum inscriptionibus iisdem C&C (exempli gratia kimjoy007.dyndns.org).