ProHoster > Blog > Tsamaiso > RATKing: lets'olo le lecha le nang le Trojans ea phihlello e hole
RATKing: lets'olo le lecha le nang le Trojans ea phihlello e hole
Qetellong ea Mots'eanong, re ile ra fumana lets'olo la ho aba malware a Remote Access Trojan (RAT) - mananeo a lumellang bahlaseli ho laola sistimi e tšoaelitsoeng ba le hole.
Sehlopha seo re se hlahlobileng se ne se khetholloa ke taba ea hore ha ea ka ea khetha lelapa leha e le lefe le khethehileng la RAT bakeng sa tšoaetso. Li-Trojan tse 'maloa li ile tsa bonoa litlhaselong e le karolo ea letšolo (tseo kaofela li neng li fumaneha hohle). Ka tšobotsi ena, sehlopha se ile sa re hopotsa morena oa likhoto - phoofolo ea tšōmong e nang le litoeba tse nang le mehatla e lohiloeng.
Ea pele e nkiloe monograph ea K. N. Rossikov "Litoeba le litoeba tse kang litoeba, tse bohlokoa ka ho fetisisa moruong" (1908)
Ho tlotla sebōpuoa sena, re rehile sehlopha seo re se nahanang ka RATKing. Ka poso ena, re tla bua ka botlalo mabapi le hore na bahlaseli ba entse tlhaselo joang, ba sebelisitse lisebelisoa life, hape re arolelane maikutlo a rona mabapi le tlhahiso ea letšolo lena.
Tsoelopele ea tlhaselo
Litlhaselo tsohle lets'olong lena li etsahetse ho latela algorithm e latelang:
Mosebelisi o fumane lengolo-tsoibila la bosholu le sehokelo sa Google Drive.
A sebelisa sehokelo, motho ea hlokofalitsoeng o ile a khoasolla sengoloa se kotsi sa VBS se boletseng laeborari ea DLL ho kenya moputso oa ho qetela ho ngoliso ea Windows mme a tsebisa PowerShell ho e phetha.
Laeborari ea DLL e kentse moputso oa ho qetela - ha e le hantle, e 'ngoe ea li-RAT tse sebelisoang ke bahlaseli - ho kena ts'ebetsong ea tsamaiso le ho ngolisa VBS script ho autorun e le hore e fumane sebaka sa mochine o nang le tšoaetso.
Lekhetho la ho qetela le ile la etsoa ka mokhoa oa tsamaiso 'me la fa mohlaseli matla a ho laola k'homphieutha e nang le tšoaetso.
Ka mokhoa o hlophisitsoeng e ka emeloa tjena:
Ka mor'a moo, re tla shebana le mekhahlelo e meraro ea pele, kaha re thahasella mochine oa ho fana ka malware. Re ke ke ra hlalosa ka botlalo mokhoa oa ts'ebetso ea malware ka boeona. Li fumaneha hohle - ebang li rekisoa liforamong tse khethehileng, kapa li ajoa joalo ka merero e bulehileng ea mohloli - ka hona ha li khetholle feela sehlopheng sa RATKing.
Tlhahlobo ea mekhahlelo ea tlhaselo
Mothati oa 1. Imeile ea phishing
Tlhaselo e qalile ha mohlaseluoa a fumana lengolo le kotsi (bahlaseli ba sebelisitse litempele tse fapaneng tse nang le mongolo; skrini se ka tlase se bontša mohlala o le mong). Molaetsa o ne o e-na le sehokelo sa polokelo e molaong drive.google.com, eo ho nahanoang hore e lebisitse ho leqephe la ho jarolla litokomane tsa PDF.
Mohlala oa lengolo-tsoibila la phishing
Leha ho le joalo, ha e le hantle, e ne e se tokomane ea PDF e neng e laetsoe ho hang, empa e le sengoloa sa VBS.
Ha o tobetsa sehokelo ho tsoa ho lengolo-tsoibila le skrineng se kaholimo, faele e bitsoang Cargo Flight Details.vbs. Tabeng ena, bahlaseli ha baa ka ba leka ho pata faele e le tokomane e amohelehang.
Ka nako e ts'oanang, e le karolo ea letšolo lena, re ile ra fumana mongolo o bitsoang Cargo Trip Detail.pdf.vbs. E kanna ea feta bakeng sa PDF e nepahetseng hobane Windows e pata li-extensions tsa faele ka boiketsetso. Ke 'nete, tabeng ena, lipelaelo li ne li ntse li ka tsosoa ke letšoao la eona, le neng le lumellana le mongolo oa VBS.
Nakong ena, motho ea hlokofalitsoeng o ne a ka lemoha thetso: sheba feela lifaele tse jarollotsoeng ka motsotsoana. Leha ho le joalo, matšolong a joalo a phishing, hangata bahlaseli ba itšetleha ka mosebelisi ea sa tsotelleng kapa ea potlakang.
Mothati oa 2. Ts'ebetso ea script ea VBS
Mongolo oa VBS, oo mosebelisi a neng a ka o bula a sa ikemisetsa, o ngolisitse laeborari ea DLL ho registry ea Windows. Mongolo o ne o sa utloahale: mela e ho eona e ne e ngotsoe joalo ka li-byte e arohanngoa ke litlhaku tse sa lumellaneng.
Mohlala oa mongolo o sa hlakang
Algorithm ea deobfuscation e bonolo haholo: sebapali se seng le se seng sa boraro se ne se qheletsoe ka thoko ho khoele e sa bonahaleng, ka mor'a moo sephetho se ile sa khethoa ho tloha ho base16 ho ea khoeleng ea mantlha. Ka mohlala, ho tloha boleng 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (e totobalitsoe skrineng e ka holimo) mohala o hlahisitsoeng e ne e le WScript.Shell.
Ho theola likhoele, re sebelisitse ts'ebetso ea Python:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Ka tlase, meleng ea 9-10, re totobatsa boleng boo ho hlakisoa ha bona ho hlahisitseng faele ea DLL. Ke eena ea ileng a qalisoa sethaleng se latelang a sebelisa PowerShell.
Khoele e nang le DLL e sa hlakang
Mosebetsi o mong le o mong ho mongolo oa VBS o ile oa phethisoa ha likhoele li ntse li hlakisoa.
Ka mor'a ho tsamaisa script, mosebetsi o ile oa bitsoa wscript.sleep - e ne e sebelisetsoa ho etsa ts'ebetso ea morao-rao.
Ka mor'a moo, script e ile ea sebetsa le Windows registry. O sebelisitse theknoloji ea WMI bakeng sa sena. Ka thuso ea eona, ho ile ha bōptjoa senotlolo se ikhethang, 'me' mele oa faele e sebetsang o ngotsoe ho parameter ea oona. Registry e fihletsoe ka WMI ho sebelisa taelo e latelang:
Mothating oa boraro, DLL e mpe e ile ea jara moputso oa ho qetela, ea e kenya ts'ebetsong ea sistimi, mme ea netefatsa hore mongolo oa VBS o qala ka boiketsetso ha mosebelisi a kena.
Matha ka PowerShell
DLL e entsoe ho sebelisa taelo e latelang ho PowerShell:
e amohetse data ea boleng ba ngoliso e nang le lebitso rnd_value_name - data ena e ne e le faele ea DLL e ngotsoeng sethaleng sa .Net;
e kentse sephetho sa .Net module ho mohopolo oa tšebetso powershell.exe ho sebedisa tshebetso [System.Threading.Thread]::GetDomain().Load()(tlhaloso e felletseng ea mosebetsi oa Mojaro (). e fumanehang webosaeteng ea Microsoft);
etsa mosebetsi GUyyvmzVhebFCw]::EhwwK() - ts'ebetso ea laeborari ea DLL e qalile ka eona - ka li-parameter vbsScriptPath, xorKey, vbsScriptName. Paramethara xorKey bolokoa senotlolo sa ho decrypting moputso oa ho qetela, le liparamente vbsScriptPath и vbsScriptName li ile tsa fetisetsoa molemong oa ho ngolisa script ea VBS ho autorun.
Tlhaloso ea laebrari ea DLL
Ka foromo e senyehileng, bootloader e ne e shebahala tjena:
Loader ka sebopeho se senyehileng (mosebetsi oo ts'ebetso ea laeborari ea DLL e qalileng ka eona o thathamisitsoe ka bofubelu)
Bootloader e sirelelitsoe ke mosireletsi oa .Net Reactor. Sesebelisoa sa de4dot se etsa mosebetsi o motle oa ho tlosa mosireletsi enoa.
Sesebelisoa sena:
e kentse mojaro oa moputso ts'ebetsong ea sistimi (mohlala ona svchost.exe);
Ke kentse sengoloa sa VBS ho autorun.
Ente ea ho lefa
Ha re shebeng mosebetsi oo mongolo oa PowerShell o o bitsitseng.
Mosebetsi o bitsoa ke PowerShell script
Mosebetsi ona o entse liketso tse latelang:
e hlakotsoe li-data tse peli (array и array2 skrineng). Qalong li ne li hatelloa ka gzip 'me li patiloe ka algorithm ea XOR ka senotlolo xorKey;
kopitsitse data libakeng tse abetsoeng memori. Lintlha tse tsoang ho array - sebakeng sa memori se tobisitsweng intPtr (payload pointer ka skrineng); data ho tloha array2 - sebakeng sa memori se tobisitsweng intPtr2 (shellcode pointer ka skrineng);
e bitsoang mosebetsi CallWindowProcA(tlhaloso Ts'ebetso ena e fumaneha webosaeteng ea Microsoft) ka li-parameter tse latelang (mabitso a li-parameter a thathamisitsoe ka tlase, setšoantšong sa skrini li ka tatellano e tšoanang, empa e na le litekanyetso tse sebetsang):
lpPrevWndFunc - pointer ho data ho tloha array2;
hWnd — sesupo sa khoele e nang le tsela e lebang faeleng e ka phethisoang svchost.exe;
Msg - pointer ho data ho tloha array;
wParam, lParam - melaetsa ea melaetsa (tabeng ena, li-parameter tsena li ne li sa sebelisoe ebile li na le boleng ba 0);
etsa faele %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlkae <name> - tsena ke litlhaku tse 4 tsa pele tsa paramethara vbsScriptName (ho skrineng, sekhechana sa khoutu se nang le ketso ena se qala ka taelo File.Copy). Ka tsela ena, malware a ekelitse faele ea URL lenaneng la lifaele tsa autorun ha mosebelisi a kena mme ka hona a ikamahanya le komporo e tšoaelitsoeng. Faele ea URL e na le sehokelo sa mongolo:
Ho utloisisa hore na ente e entsoe joang, re ile ra hlakola li-database array и array2. Ho etsa sena re sebelisitse ts'ebetso e latelang ea Python:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Ka lebaka leo, re ile ra fumana hore:
array e ne e le faele ea PE - ena ke moputso oa ho qetela;
array2 e ne e le shellcode e hlokahalang ho phethahatsa ente.
Shellcode ho tsoa ho sehlopha array2 e fetisitsoe joalo ka boleng ba tšebetso lpPrevWndFunc ho kena tshebetsong CallWindowProcA. lpPrevWndFunc - ts'ebetso ea callback, mohlala oa eona o shebahala tjena:
Kahoo ha o tsamaisa mosebetsi CallWindowProcA e nang le li-parameter hWnd, Msg, wParam, lParam shellcode ho tswa ho sehlopha e etsoa array2 ka likhang hWnd и Msg. hWnd ke sesupo sa khoele e nang le tsela e lebang faeleng e phethiloeng svchost.exele Msg - sesupo sa moputso oa ho qetela.
Shellcode e fumane liaterese tsa tšebetso ho tsoa ho kernel32.dll и ntdll32.dll e ipapisitse le boleng ba hash ho tsoa mabitsong a bona mme e kentse moputso oa ho qetela mohopolong oa ts'ebetso svchost.exeu sebelisa mokhoa oa ho Hollowing (o ka bala haholoanyane ka ona ho sena sehlooho). Ha o kenya shellcode:
etsa mokgoa svchost.exe boemong bo emisitsoeng ka ho sebedisa mosebetsi CreateProcessW;
ebe u pata pontšo ea karolo sebakeng sa aterese ea ts'ebetso svchost.exe ka ho sebedisa tshebetso NtUnmapViewOfSection. Kahoo, lenaneo le ile la lokolla mohopolo oa ts'ebetso ea pele svchost.exeho fana ka memori bakeng sa mojaro oa moputso atereseng ena;
memori e abetsoeng bakeng sa mojaro oa moputso sebakeng sa aterese ea tšebetso svchost.exe ka ho sebedisa tshebetso VirtualAllocEx;
Ho qala ts'ebetso ea ente
o ngotse litaba tsa moputso sebakeng sa aterese ea ts'ebetso svchost.exe ka ho sebedisa tshebetso WriteProcessMemory (joalo ka setšoantšong se ka tlase);
qalella tshebetso svchost.exe ka ho sebedisa tshebetso ResumeThread.
Ho phethela tšebetso ea ente
E ka khoasolla malware
Ka lebaka la liketso tse hlalositsoeng, e 'ngoe ea malware a mangata a RAT e kentsoe tsamaisong e tšoaelitsoeng. Tafole e ka tlase e thathamisa malware a sebelisitsoeng tlhaselong, eo ka kholiseho re ka bolelang hore e bakoa ke sehlopha se le seng sa bahlaseli, kaha lisampole li fihletse taelo e tšoanang le seva sa taolo.
Mehlala ea malware e ajoang ka seva sa taolo e tšoanang
Ho na le lintho tse peli tse hlokomelehang mona.
Taba ea pele, eona taba ea hore bahlaseli ba sebelisitse malapa a 'maloa a fapaneng a RAT hang. Boitšoaro bona ha bo tloaelehe ho lihlopha tse tsebahalang tsa marang-rang, tseo hangata li sebelisang lisebelisoa tse tšoanang tseo ba li tloaetseng.
Taba ea bobeli, RATKing e sebelisitse malware e rekisoang liforamong tse ikhethileng ka theko e tlase, kapa e leng projeke ea mohloli o bulehileng.
Lethathamo le felletseng la malware a sebelisitsoeng lets'olong - le tlhokomeliso e le 'ngoe ea bohlokoa - le fanoe qetellong ea sengoloa.
Mabapi le sehlopha
Re ke ke ra bolela hore lets'olo le lonya le hlalositsoeng ke bahlaseli leha e le bafe ba tsebahalang. Hajoale, re lumela hore litlhaselo tsena li entsoe ke sehlopha se secha. Joalokaha re ngotse qalong, re e bitsitse RATKing.
Ho theha mongolo oa VBS, mohlomong sehlopha se sebelisitse sesebelisoa se ts'oanang le ts'ebeliso VBS-Crypter ho tsoa ho moqapi NYAN-x-CAT. Sena se bontšoa ke ho tšoana ha mongolo oo lenaneo lena le o bōpang ka mongolo oa bahlaseli. Ka ho khetheha, ka bobeli:
etsa ketso e liehang ho sebetsa ka ho sebedisa mosebetsi Sleep;
sebelisa WMI;
ngodisa 'mele oa faele e sebetsang e le parameter ea senotlolo sa ngoliso;
etsa faele ena u sebelisa PowerShell sebakeng sa eona sa aterese.
Bakeng sa ho hlaka, bapisa taelo ea PowerShell ea ho tsamaisa faele ho tsoa ho registry, e sebelisoang ke script e entsoeng ka VBS-Crypter:
Hlokomela hore bahlaseli ba sebelisitse lisebelisoa tse ling tse tsoang ho NYAN-x-CAT e le e 'ngoe ea litefiso - LimeRAT.
Liaterese tsa li-server tsa C&C li bonts'a tšobotsi e 'ngoe e ikhethang ea RATKing: sehlopha se khetha lits'ebeletso tse matla tsa DNS (sheba lenane la li-C&C tafoleng ea IoC).
IoC
Tafole e ka tlase e fana ka lethathamo le felletseng la mangolo a VBS ao mohlomong a ka hlahisoang ke lets'olo le hlalositsoeng. Lingoliloeng tsena kaofela lia tšoana 'me li etsa tatellano e batlang e tšoana ea liketso. Kaofela ha tsona li kenya malware a sehlopha sa RAT ts'ebetsong e tšepahalang ea Windows. Kaofela ba na le liaterese tsa C&C tse ngolisitsoeng ho sebelisoa lits'ebeletso tsa Dynamic DNS.
Leha ho le joalo, re ke ke ra bolela hore mangolo ana kaofela a abuoe ke bahlaseli ba tšoanang, ntle le lisampole tse nang le liaterese tse tšoanang tsa C&C (mohlala, kimjoy007.dyndns.org).