新聞詳情

ExileRAT結合LuckyCat病毒惡意行動分析

2019.02.04大年三十這一天,我司在安保行動中,監控到思科Talos安全團隊披露了這樣的一起惡意組織行為,我司對其進行了分析與預防。堅決擁護一個中國的原則;打擊任何試圖分裂與威脅國家的行為。


分析摘要

該試圖分裂西藏的惡意組織在傳播病毒行動中,使用了由西藏中央管理局(CTA)所運營的郵件列表,并對其投放惡意的PPT文檔。攻擊中使用的文檔格式為PPSX,這是一種不可編輯的PPT格式。在此次案例中,收到了來自CTA郵件列表的電子郵件,其中包含一個附件:`Tibet-was-never-a-part-of-China.ppsx`,旨在攻擊西藏新聞郵件列表的訂閱者們。鑒于此惡意軟件的性質和涉及的目標,它可能是以間諜為目的而非利益所設計的,典型的民族挑撥離間行為。


惡意的office文檔

在我們分析此文檔時,發現了其他共享payloads的活動。該活動用于C2的服務在此之前已經連接到基于LuckyCat Android和windows的木馬中。C2的發現幫助我們能夠使用相同的payload、配置等特征來識別C2上托管的多個惡意行為。惡意的PPSX文件被用作dropper,允許攻擊者執行各種JavaScript腳本來下載payload。

發送到CTA郵件列表的PPSX文檔如下:

blob.png

CTA郵件列表上的訂閱者們都收到了這封郵件。該郵件列表的服務運行在DearMail,DearMail是一家位于印度的公司,主打郵件列表訂閱服務。攻擊者還修改了CTA郵件所使用的標準Reply-To標頭,以便將任何回復都重定向到攻擊者的郵件地址:mediabureauin[at]gmail.com。

這封郵件提到了即將到來的3月31日達賴喇嘛逝世60周年紀念日。此文件長達長達240多張,據稱是由西藏中央政府所制作的。

blob.png

這個PPSX實際上是一份正常的PDF文件,可以從西藏中央管理局的主頁下載?;脽羝奈募?/span>`Tibet-was-never-a-part-of-China`與2018年11月1日發布的正常PDF相同,說明攻擊者在發表之后就迅速采取了行動。

此攻擊利用的是Microsoft Office任意代碼執行(CVE-2017-0199)漏洞,源自GitHub上的開放腳本。惡意代碼位于`slide1.xml.rels`文件中。訪問這些文件的安全方法是解壓縮PPSX文件以查看整個文檔的內容。該文件位于`/ppt/slides/_rels`。

blob.png

此命令的URL解碼為`script:hXXp:\\\\27.126.188[.]212:8005\\aqqee`

可以找到濫用`app.xml`文件的相同腳本,但使用的端口號并不正確。此腳本實際上沒有被執行,也沒有對TCP 8003端口進行請求。

blob.png

我們在Threat Grid上動態分析此腳本:

blob.png

該病毒還試圖通信iplocation以執行一些地理位置查找的操作。

并向C2服務器的`aqqee`發送HTTP請求,在響應正文中發現一個偽造的HTTP響應日期"Sun 16 Apr 2017"。

blob.png

隨后,C2提供了一個JavaScript腳本,負責從C2服務器上下載payload文件`syshost.exe`。

blob.png

并通過WScript執行此操作,同時還使用cmd.exe來創建為"Diagnostic_System_Host"的計劃任務。

blob.png

blob.png

發現使用以下命令創建名為"Diagnostic_System_Host"的計劃任務,與合法的系統任務名稱"Diagnostic system Host"非常相似,說明攻擊者還試圖繞過檢測。

blob.png


ExileRAT惡意軟件: SYSHOST.EXE

受感染的系統所運行的syshost.exe即ExileRAT,由攻擊者的C2所提供。日期也與惡意活動的時間相符:Jan 30 07:05:47 2019 UTC。

ExileRAT執行的第一步是IP位置查找并將該數據寫入到c:\\data.ini文件中。

blob.png

我們可以很容易地在PE中識別到:

blob.png

C2通信地址也被寫入到PE中:

blob.png

ExileRAT是一個簡單的RAT平臺,能夠獲取系統信息(計算機名、用戶名、列表驅動器、網絡適配器、進程名)、傳輸文件以及執行/結束進程等。


C2分析

此活動中所使用的C2服務器IP為`27.126.188.212`。我們確定了幾個包含其他`.exe``.dll`文件的打開目錄,即`AcroRd32.exe``ccL100U.dll`。這些文件在C2的"/1"下可用,而西藏運動PPSX所使用的是"/2"。攻擊者通常會重啟服務以使行為更加明顯。還觀察到一個日志文件`robins.log`包含在目錄中,這些目錄似乎是用來識別TCP 8005的新請求。

在對C2的分析過程中,能夠看出同樣使用此IP的幾個域:`mondaynews[.]tk`、`peopleoffreeworld[.]tk`、`gmailcom[.]tw`。攻擊者注冊最后一個域名來模仿Google,從而在網絡釣魚中欺騙用戶。


LUCKYCAT ANDROID RAT

Syshost.exe中的C2地址最近還添加了一個有趣的域名:`mondaynews[.]tk`。此域名為1月3日創建,用于Android RAT的C2域名。這是2012年針對西藏活動者們所使用的LuckyCat Android RAT較新版本。在這些攻擊中,攻擊者主要針對的是支持西藏的同情者們。這個新版本包含了與2012年版本相同的功能(文件上傳、下載、信息竊取和遠程shell),并添加了幾個新功能,包括文件刪除、應用程序執行、錄音、個人聯系人竊取、短信竊取、最近通話竊取和位置竊取。以下為這些功能的變化2012年(左)和2019年(右):

blob.png

這兩個版本之間的一些功能使用著相同的名字,甚至許多都是復制和粘貼的:

blob.png

百度地圖的API也包含在其中:

blob.png

惡意軟件會檢查應用是否在Android設備上具有root權限,如果有,則應用程序會修改一個特定目錄的權限`/data/data/com.tencent.mm/`

blob.png

在此目錄中,我們可以找到聊天應用:微信的加密密鑰。由于LuckyCat Android RAT的間諜性質,我們認為該惡意軟件修改權限是為了允許攻擊者檢索這些密鑰并解密聊天內容,并在tencent目錄執行`chmod 777`,如上圖代碼所示。執行此操作是為了允許惡意軟件能夠訪問此目錄并從中獲取文件、密鑰和其他數據。隨后,攻擊者可以通過在惡意軟件中使用"upload"命令來泄露這些信息。


結論

這次攻擊是針對政治支持者等一系列攻擊中的又一次演變,進一步證明并非所有攻擊都需要使用0day漏洞。例如去年11月,稱之為"Persian Stalker"的攻擊利用安全消息傳遞應用中的漏洞來竊取用戶隱私消息。還有去年印度的一起攻擊也是針對的移動設備,而這次是通過惡意的移動設備管理(MDM)軟件。該PPSX文件使用CVE-2017-0199漏洞迫使受害者下載額外的病毒。顯然,針對已知漏洞的修補防御仍然至關重要,可以幫助隔離這些攻擊。


惡意的Office文檔

blob.png


PE32 ExileRAT

blob.png


LuckyCat Android RAT

blob.png


C2服務器

blob.png

日本在高清av手机_欧美大色大av高清_日本视频免费高清一本18