UBoatRAT遠(yuǎn)程木馬訪問程序入侵東亞

責(zé)任編輯:editor007

作者:aqniu

2017-12-08 20:27:56

摘自:安全牛

Palo Alto Networks 威脅情報團(tuán)隊(duì)Unit 42近日宣布發(fā)現(xiàn)一款名為UBoatRAT的新型遠(yuǎn)程訪問木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。

Palo Alto Networks 威脅情報團(tuán)隊(duì)Unit 42近日宣布發(fā)現(xiàn)一款名為UBoatRAT新型遠(yuǎn)程訪問木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。該木馬程序的最初版本于2017年5月被發(fā)現(xiàn),其為一款簡單HTTP后門程序,利用香港公共博客服務(wù)和日本已經(jīng)受到攻擊的web服務(wù)器一起構(gòu)建C2服務(wù)器。此后,開發(fā)者很快為原有代碼加入更多功能并在六月份發(fā)布更新版本。從九月份最新變種所發(fā)動的攻擊來看,我們發(fā)現(xiàn)有以下特點(diǎn):

目標(biāo)對象為與韓國和電子游戲行業(yè)相關(guān)的個人和組織

借助Google Drive分發(fā)惡意軟件

從GitHub獲取C2服務(wù)器地址

使用微軟后臺智能傳輸服務(wù)(BITS)保持連貫性

  目標(biāo)

現(xiàn)在我們還不明確該木馬程序所針對的確切目標(biāo)。但我們推測此次攻擊的目標(biāo)是有關(guān)韓國或電子游戲行業(yè)的員工或組織,原因之一是基于攻擊者在傳遞惡意軟件時使用的文件名。另一個原因是UBoatRAT只有在被入侵計(jì)算機(jī)加入AD域時,才會在其上執(zhí)行惡意操作。

傳輸和植入

我們注意到有多個UBoatRAT種變來自Google Drive云盤。據(jù)我們分析,并不是所有的鏈接都是有效的,但有些鏈接(包括下面的鏈接)是有效的。

  從Google Drive云盤下載

壓縮文件托管于Google Drive云盤,其中包含了惡意可執(zhí)行文件,這些文件偽裝成文件夾或Microsoft Excel電子表格。UBoatRAT的最新變種于7月下旬或者更晚的時間發(fā)布,偽裝成Microsoft Word文檔文件。

  UBoatRAT偽裝樣本

在執(zhí)行操作時,UBoatRAT會在被入侵的機(jī)器上檢查以下兩個條件:

檢測虛擬化軟件,如VMWare,VirtualBox或QEmu

從網(wǎng)絡(luò)參數(shù)獲取域名

如果木馬程序檢測到有虛擬環(huán)境存在或無法獲取域名,就會顯示以下虛假錯誤信息提示并退出。

  虛假錯誤信息提示

否則,UBoatRAT將自己復(fù)制為C: programdata svchost.exe,創(chuàng)建C: programdata init.bat并執(zhí)行bat文件。然后顯示以下信息提示并退出。

  安裝后的虛假錯誤信息提示

BITS持續(xù)傳輸

UBoatRAT通過使用微軟后臺智能傳輸服務(wù)(BITS)實(shí)現(xiàn)持久性。 BITS是一種在機(jī)器間傳輸文件的服務(wù)。雖然使用該服務(wù)最著名的應(yīng)用程序是Windows Update,但其他應(yīng)用程序或用戶也可以使用該組件。

C2通信和后門指令

UboadRAT 背后的攻擊者將C2地址和目標(biāo)端口隱藏在Github上的一個文件中,使用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md

UBoatRAT使用自定義命令和控制協(xié)議與攻擊者的服務(wù)器進(jìn)行通信。惡意軟件在有效載荷或指令的頂部放置字符串“488”(十六進(jìn)制中的0x34,0x38,0x38),并使用簡單的XOR密碼,用靜態(tài)密鑰0x88加密整個緩沖區(qū)。這樣的話網(wǎng)絡(luò)負(fù)載總是以0xBC,0xB0,0xB0進(jìn)行啟動。

  “488”標(biāo)記

  借助靜態(tài)密鑰對”488″標(biāo)記加密

UBoatRAT的開發(fā)

在撰寫本文時,我們已經(jīng)確定了14個UBoatRAT樣本和一個與攻擊有關(guān)的下載程序。如上所述,大部分UBoatRAT樣本都從GitHub中獲取C2地址。只有五月份發(fā)布的那個樣本連接到香港的公共博客服務(wù)器,入侵日本合法web服務(wù)器并將其用作C2服務(wù)器。該樣本使用常規(guī)的HTTP協(xié)議進(jìn)行通信。博客帳號“elsa_kr”注冊于2016年4月,目前沒有任何有意義的內(nèi)容。

  公共博客服務(wù)被用作C2服務(wù)器

總結(jié)

盡管最新版本的UBoatRAT已于9月份發(fā)布,但10月份在GitHub上我們已經(jīng)看到了elsa999帳戶的多個更新。開發(fā)者似乎對此木馬威脅的開發(fā)和測試樂此不疲。我們將繼續(xù)監(jiān)視此次行為是否有更新。

Palo Alto Networks的客戶可通過以下方式免遭此次威脅:

我們討論的所有樣本都已被WildFire和Threat Prevention認(rèn)定為惡意軟件

Traps可阻止該惡意軟件的執(zhí)行

AutoFocus用戶可對報告中提及的使用UBoatRAT的惡意軟件進(jìn)行跟蹤

攻擊參數(shù):

UBoatRAT SHA256

bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5

SHA256下載程序

f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3

網(wǎng)絡(luò)訪問

https://raw.githubusercontent[.]com/r1ng/news/master/README.md

https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md

http://www.ak(masked)[.]jp/images/

http://elsakrblog.blogspot[.]hk/2017/03/test.html

C2服務(wù)器

115.68.49[.]179:80

115.68.49[.]179:443

60.248.190[.]36:443

115.68.52[.]66:443

115.68.49[.]180:443

122.147.187[.]173:443

124.150.140[.]131:443

文件路徑

C:programdatainit.bat

C:programdatasvchost.exe

完整博文:

https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號