ProHoster > Blog > Pangangasiwa > RATKing: bagong kampanya na may malayuang pag-access ng mga Trojan
RATKing: bagong kampanya na may malayuang pag-access ng mga Trojan
Sa katapusan ng Mayo, natuklasan namin ang isang kampanya upang ipamahagi ang Remote Access Trojan (RAT) malwareβmga programang nagbibigay-daan sa mga umaatake na malayuang kontrolin ang isang nahawaang system.
Ang pangkat na aming sinuri ay nakikilala sa katotohanan na hindi ito pumili ng anumang partikular na pamilya ng RAT para sa impeksyon. Maraming Trojan ang nakita sa mga pag-atake bilang bahagi ng kampanya (lahat ay malawak na magagamit). Gamit ang tampok na ito, ipinaalala sa amin ng grupo ang hari ng daga - isang gawa-gawa na hayop na binubuo ng mga daga na may magkadugtong na buntot.
Ang orihinal ay kinuha mula sa monograp ni K. N. Rossikov "Mga daga at tulad ng daga, ang pinakamahalaga sa ekonomiya" (1908)
Bilang parangal sa nilalang na ito, pinangalanan namin ang grupo na aming isinasaalang-alang na RATKing. Sa post na ito, isasaalang-alang namin ang detalye tungkol sa kung paano isinagawa ng mga umaatake ang pag-atake, anong mga tool ang kanilang ginamit, at ibabahagi rin ang aming mga saloobin sa pagpapatungkol para sa kampanyang ito.
Pag-unlad ng pag-atake
Ang lahat ng mga pag-atake sa kampanyang ito ay naganap ayon sa sumusunod na algorithm:
Nakatanggap ang user ng phishing email na may link sa Google Drive.
Gamit ang link, nag-download ang biktima ng malisyosong VBS script na tumutukoy sa isang DLL library para i-load ang final payload sa Windows registry at inilunsad ang PowerShell para isagawa ito.
Ang DLL library ay nag-inject ng final payload - sa katunayan, isa sa mga RAT na ginagamit ng mga attacker - sa proseso ng system at nagrehistro ng VBS script sa autorun upang makakuha ng foothold sa infected na makina.
Ang huling payload ay naisakatuparan sa isang proseso ng system at binigyan ang umaatake ng kakayahang kontrolin ang nahawaang computer.
Sa eskematiko, maaari itong ilarawan tulad nito:
Susunod, tututuon namin ang unang tatlong yugto, dahil interesado kami sa mekanismo ng paghahatid ng malware. Hindi namin ilalarawan nang detalyado ang mekanismo ng pagpapatakbo ng malware mismo. Malawakang magagamit ang mga ito - maaaring ibinebenta sa mga dalubhasang forum, o kahit na ibinahagi bilang mga open source na proyekto - at samakatuwid ay hindi natatangi sa pangkat ng RATKing.
Pagsusuri ng mga yugto ng pag-atake
Stage 1. Phishing email
Nagsimula ang pag-atake sa pagtanggap ng biktima ng malisyosong sulat (gumamit ang mga umaatake ng iba't ibang mga template na may teksto; ang screenshot sa ibaba ay nagpapakita ng isang halimbawa). Ang mensahe ay naglalaman ng isang link sa isang lehitimong repositoryo drive.google.com, na diumano ay humantong sa isang pahina ng pag-download ng dokumentong PDF.
Halimbawa ng email sa phishing
Gayunpaman, sa katunayan, ito ay hindi isang PDF na dokumento na na-load sa lahat, ngunit isang VBS script.
Kapag nag-click ka sa link mula sa email sa screenshot sa itaas, isang file na pinangalanan Cargo Flight Details.vbs. Sa kasong ito, hindi man lang sinubukan ng mga umaatake na itago ang file bilang isang lehitimong dokumento.
Kasabay nito, bilang bahagi ng kampanyang ito, natuklasan namin ang isang script na pinangalanan Cargo Trip Detail.pdf.vbs. Maaari na itong pumasa para sa isang lehitimong PDF dahil itinatago ng Windows ang mga extension ng file bilang default. Totoo, sa kasong ito, ang hinala ay maaari pa ring pukawin ng icon nito, na tumutugma sa script ng VBS.
Sa yugtong ito, makikilala ng biktima ang panlilinlang: tingnan lamang ang mga na-download na file nang isang segundo. Gayunpaman, sa gayong mga kampanya sa phishing, ang mga umaatake ay madalas na umaasa sa isang walang pansin o nagmamadaling user.
Stage 2. VBS script operation
Ang VBS script, na maaaring mabuksan ng user nang hindi sinasadya, ay nagrehistro ng isang DLL library sa Windows registry. Ang script ay na-obfuscated: ang mga linya sa loob nito ay isinulat bilang mga byte na pinaghihiwalay ng isang arbitrary na character.
Halimbawa ng isang obfuscated na script
Ang deobfuscation algorithm ay medyo simple: bawat ikatlong character ay hindi kasama sa obfuscated string, pagkatapos nito ang resulta ay na-decode mula sa base16 patungo sa orihinal na string. Halimbawa, mula sa halaga 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (naka-highlight sa screenshot sa itaas) ang nagresultang linya ay WScript.Shell.
Upang i-deobfuscate ang mga string, ginamit namin ang Python function:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Sa ibaba, sa mga linya 9β10, itinatampok namin ang halaga na nagresulta ang pag-deobfuscation sa isang DLL file. Siya ang inilunsad sa susunod na yugto gamit ang PowerShell.
String na may obfuscated DLL
Ang bawat function sa VBS script ay naisakatuparan habang ang mga string ay na-deobfuscate.
Pagkatapos patakbuhin ang script, tinawag ang function wscript.sleep β ito ay ginamit upang maisagawa ang ipinagpaliban na pagpapatupad.
Susunod, gumana ang script sa Windows registry. Ginamit niya ang teknolohiya ng WMI para dito. Sa tulong nito, isang natatanging susi ang nilikha, at ang katawan ng maipapatupad na file ay isinulat sa parameter nito. Na-access ang registry sa pamamagitan ng WMI gamit ang sumusunod na command:
Isang entry na ginawa sa registry ng isang VBS script
Stage 3. Operasyon ng DLL library
Sa ikatlong yugto, ni-load ng malisyosong DLL ang panghuling kargamento, ini-inject ito sa proseso ng system, at tiniyak na ang script ng VBS ay awtomatikong nagsimula kapag nag-log in ang user.
Patakbuhin sa pamamagitan ng PowerShell
Ang DLL ay naisakatuparan gamit ang sumusunod na command sa PowerShell:
nakatanggap ng data ng halaga ng registry na may pangalan rnd_value_name β ang data na ito ay isang DLL file na nakasulat sa .Net platform;
na-load ang nagresultang .Net module sa memorya ng proseso powershell.exe gamit ang function [System.Threading.Thread]::GetDomain().Load()(detalyadong paglalarawan ng Load() function magagamit sa website ng Microsoft);
ginanap ang function GUyyvmzVhebFCw]::EhwwK() - nagsimula dito ang pagpapatupad ng library ng DLL - na may mga parameter vbsScriptPath, xorKey, vbsScriptName. Parameter xorKey nag-imbak ng susi para sa pag-decrypting ng huling kargamento, at ang mga parameter vbsScriptPath ΠΈ vbsScriptName ay inilipat upang makapagrehistro ng VBS script sa autorun.
Paglalarawan ng DLL library
Sa decompiled form, ang bootloader ay ganito ang hitsura:
Loader sa decompiled form (ang function kung saan nagsimula ang pagpapatupad ng DLL library ay may salungguhit na pula)
Ang bootloader ay protektado ng .Net Reactor protector. Ang de4dot utility ay gumagawa ng isang mahusay na trabaho sa pag-alis ng tagapagtanggol na ito.
Ang loader na ito:
nag-inject ng payload sa proseso ng system (sa halimbawang ito ito svchost.exe);
Nagdagdag ako ng VBS script sa autorun.
Payload injection
Tingnan natin ang function na tinawag ng PowerShell script.
Function na tinatawag ng PowerShell script
Ginawa ng function na ito ang mga sumusunod na aksyon:
na-decrypt ang dalawang set ng data (array ΠΈ array2 sa screenshot). Ang mga ito ay orihinal na na-compress gamit ang gzip at naka-encrypt gamit ang XOR algorithm na may susi xorKey;
kinopya ang data sa mga inilalaang lugar ng memorya. Data mula sa array - sa lugar ng memorya na itinuro intPtr (payload pointer sa screenshot); data mula sa array2 - sa lugar ng memorya na itinuro intPtr2 (shellcode pointer sa screenshot);
tinatawag na function CallWindowProcA(ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ Available ang function na ito sa website ng Microsoft) na may mga sumusunod na parameter (ang mga pangalan ng mga parameter ay nakalista sa ibaba, sa screenshot sila ay nasa parehong pagkakasunud-sunod, ngunit may mga gumaganang halaga):
lpPrevWndFunc - pointer sa data mula sa array2;
hWnd β pointer sa isang string na naglalaman ng path sa executable file svchost.exe;
Msg - pointer sa data mula sa array;
wParam, lParam β mga parameter ng mensahe (sa kasong ito, ang mga parameter na ito ay hindi ginamit at may mga halaga ng 0);
lumikha ng isang file %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlSaan <name> - ito ang unang 4 na character ng parameter vbsScriptName (sa screenshot, ang code fragment na may ganitong aksyon ay nagsisimula sa command File.Copy). Sa ganitong paraan, nagdagdag ang malware ng URL file sa listahan ng mga autorun file kapag nag-log in ang user at sa gayo'y naging attached sa infected na computer. Ang URL file ay naglalaman ng isang link sa script:
Upang maunawaan kung paano isinagawa ang iniksyon, na-decrypt namin ang mga arrays ng data array ΠΈ array2. Upang gawin ito ginamit namin ang sumusunod na function ng Python:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Bilang resulta, nalaman namin na:
array ay isang PE file - ito ang huling payload;
array2 ay ang shellcode na kinakailangan upang maisagawa ang iniksyon.
Shellcode mula sa isang array array2 ipinasa bilang isang halaga ng function lpPrevWndFunc sa isang function CallWindowProcA. lpPrevWndFunc β callback function, ang prototype nito ay ganito ang hitsura:
Kaya kapag pinatakbo mo ang function CallWindowProcA may mga parameter hWnd, Msg, wParam, lParam Ang shellcode mula sa array ay naisakatuparan array2 may mga argumento hWnd ΠΈ Msg. hWnd ay isang pointer sa isang string na naglalaman ng path sa executable file svchost.exeAt Msg β pointer sa huling payload.
Nakatanggap ang shellcode ng mga address ng function mula sa kernel32.dll ΠΈ ntdll32.dll batay sa mga halaga ng hash mula sa kanilang mga pangalan at iniksyon ang huling payload sa memorya ng proseso svchost.exegamit ang Process Hollowing technique (maaari kang magbasa ng higit pa tungkol dito Artikulo). Kapag nag-inject ng shellcode:
lumikha ng isang proseso svchost.exe sa isang suspendido na estado gamit ang function CreateProcessW;
pagkatapos ay itinago ang display ng seksyon sa address space ng proseso svchost.exe gamit ang function NtUnmapViewOfSection. Kaya, pinalaya ng programa ang memorya ng orihinal na proseso svchost.exeupang pagkatapos ay maglaan ng memorya para sa payload sa address na ito;
inilaan na memorya para sa payload sa puwang ng address ng proseso svchost.exe gamit ang function VirtualAllocEx;
Pagsisimula ng proseso ng pag-iniksyon
isinulat ang mga nilalaman ng payload sa puwang ng address ng proseso svchost.exe gamit ang function WriteProcessMemory (tulad ng sa screenshot sa ibaba);
ipinagpatuloy ang proseso svchost.exe gamit ang function ResumeThread.
Pagkumpleto ng proseso ng pag-iniksyon
Nada-download na malware
Bilang resulta ng mga inilarawang aksyon, isa sa ilang RAT-class na malware ang na-install sa nahawaang system. Inililista ng talahanayan sa ibaba ang malware na ginamit sa pag-atake, na maaari naming kumpiyansa na maiugnay sa isang pangkat ng mga umaatake, dahil na-access ng mga sample ang parehong command at control server.
Mga halimbawa ng distributed malware na may parehong control server
Dalawang bagay ang kapansin-pansin dito.
Una, ang mismong katotohanan na ang mga umaatake ay gumamit ng maraming magkakaibang pamilya ng RAT nang sabay-sabay. Ang pag-uugali na ito ay hindi pangkaraniwan para sa mga kilalang cyber group, na kadalasang gumagamit ng humigit-kumulang sa parehong hanay ng mga tool na pamilyar sa kanila.
Pangalawa, gumamit ang RATKing ng malware na ibinebenta sa mga espesyal na forum sa mababang presyo, o kahit isang open source na proyekto.
Ang isang mas kumpletong listahan ng malware na ginamit sa campaignβna may isang mahalagang caveatβay ibinibigay sa dulo ng artikulo.
Tungkol sa grupo
Hindi namin maaaring iugnay ang inilarawan na nakakahamak na kampanya sa sinumang kilalang umaatake. Sa ngayon, naniniwala kami na ang mga pag-atakeng ito ay isinagawa ng isang pangunahing bagong grupo. Tulad ng isinulat namin sa simula, tinawag namin itong RATKing.
Upang lumikha ng script ng VBS, malamang na gumamit ang grupo ng isang tool na katulad ng utility VBS-Crypter mula sa developer NYAN-x-CAT. Ito ay ipinahiwatig ng pagkakapareho ng script na nilikha ng program na ito sa script ng mga umaatake. Sa partikular, silang dalawa:
magsagawa ng naantalang pagpapatupad gamit ang function Sleep;
gumamit ng WMI;
irehistro ang katawan ng executable file bilang isang registry key parameter;
i-execute ang file na ito gamit ang PowerShell sa sarili nitong address space.
Para sa kalinawan, ihambing ang PowerShell command upang magpatakbo ng isang file mula sa registry, na ginagamit ng isang script na ginawa gamit ang VBS-Crypter:
Tandaan na ang mga umaatake ay gumamit ng isa pang utility mula sa NYAN-x-CAT bilang isa sa mga payload - LimeRAT.
Ang mga address ng mga server ng C&C ay nagpapahiwatig ng isa pang natatanging tampok ng RATKing: mas gusto ng grupo ang mga dynamic na serbisyo ng DNS (tingnan ang listahan ng mga C&C sa talahanayan ng IoC).
IoC
Ang talahanayan sa ibaba ay nagbibigay ng kumpletong listahan ng mga script ng VBS na malamang na maiugnay sa inilarawang kampanya. Ang lahat ng mga script na ito ay magkatulad at gumaganap ng humigit-kumulang sa parehong pagkakasunud-sunod ng mga aksyon. Lahat sila ay nag-inject ng RAT class na malware sa isang pinagkakatiwalaang proseso ng Windows. Lahat sila ay may mga C&C address na nakarehistro gamit ang mga serbisyo ng Dynamic DNS.
Gayunpaman, hindi namin masasabi na ang lahat ng mga script na ito ay ipinamahagi ng parehong mga umaatake, maliban sa mga sample na may parehong mga C&C address (halimbawa, kimjoy007.dyndns.org).