Palo Alto Networks 威脅情報團(tuán)隊(duì)Unit 42近日宣布發(fā)現(xiàn)一款名為UBoatRAT的新型遠(yuǎn)程訪問木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。該木馬程序的最初版本于2017年5月被發(fā)現(xiàn),其為一款簡單HTTP后門程序,利用香港公共博客服務(wù)和日本已經(jīng)受到攻擊的web服務(wù)器一起構(gòu)建C2服務(wù)器。此后,開發(fā)者很快為原有代碼加入更多功能并在六月份發(fā)布更新版本。從九月份最新變種所發(fā)動的攻擊來看,我們發(fā)現(xiàn)有以下特點(diǎn):
目標(biāo)對象為與韓國和電子游戲行業(yè)相關(guān)的個人和組織
借助Google Drive分發(fā)惡意軟件
從GitHub獲取C2服務(wù)器地址
使用微軟后臺智能傳輸服務(wù)(BITS)保持連貫性
目標(biāo)
現(xiàn)在我們還不明確該木馬程序所針對的確切目標(biāo)。但我們推測此次攻擊的目標(biāo)是有關(guān)韓國或電子游戲行業(yè)的員工或組織,原因之一是基于攻擊者在傳遞惡意軟件時使用的文件名。另一個原因是UBoatRAT只有在被入侵計(jì)算機(jī)加入AD域時,才會在其上執(zhí)行惡意操作。
傳輸和植入
我們注意到有多個UBoatRAT種變來自Google Drive云盤。據(jù)我們分析,并不是所有的鏈接都是有效的,但有些鏈接(包括下面的鏈接)是有效的。
從Google Drive云盤下載
壓縮文件托管于Google Drive云盤,其中包含了惡意可執(zhí)行文件,這些文件偽裝成文件夾或Microsoft Excel電子表格。UBoatRAT的最新變種于7月下旬或者更晚的時間發(fā)布,偽裝成Microsoft Word文檔文件。
UBoatRAT偽裝樣本
在執(zhí)行操作時,UBoatRAT會在被入侵的機(jī)器上檢查以下兩個條件:
檢測虛擬化軟件,如VMWare,VirtualBox或QEmu
從網(wǎng)絡(luò)參數(shù)獲取域名
如果木馬程序檢測到有虛擬環(huán)境存在或無法獲取域名,就會顯示以下虛假錯誤信息提示并退出。
虛假錯誤信息提示
否則,UBoatRAT將自己復(fù)制為C: programdata svchost.exe,創(chuàng)建C: programdata init.bat并執(zhí)行bat文件。然后顯示以下信息提示并退出。
安裝后的虛假錯誤信息提示
BITS持續(xù)傳輸
UBoatRAT通過使用微軟后臺智能傳輸服務(wù)(BITS)實(shí)現(xiàn)持久性。 BITS是一種在機(jī)器間傳輸文件的服務(wù)。雖然使用該服務(wù)最著名的應(yīng)用程序是Windows Update,但其他應(yīng)用程序或用戶也可以使用該組件。
C2通信和后門指令
UboadRAT 背后的攻擊者將C2地址和目標(biāo)端口隱藏在Github上的一個文件中,使用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md
UBoatRAT使用自定義命令和控制協(xié)議與攻擊者的服務(wù)器進(jìn)行通信。惡意軟件在有效載荷或指令的頂部放置字符串“488”(十六進(jìn)制中的0x34,0x38,0x38),并使用簡單的XOR密碼,用靜態(tài)密鑰0x88加密整個緩沖區(qū)。這樣的話網(wǎng)絡(luò)負(fù)載總是以0xBC,0xB0,0xB0進(jìn)行啟動。
“488”標(biāo)記
借助靜態(tài)密鑰對”488″標(biāo)記加密
UBoatRAT的開發(fā)
在撰寫本文時,我們已經(jīng)確定了14個UBoatRAT樣本和一個與攻擊有關(guān)的下載程序。如上所述,大部分UBoatRAT樣本都從GitHub中獲取C2地址。只有五月份發(fā)布的那個樣本連接到香港的公共博客服務(wù)器,入侵日本合法web服務(wù)器并將其用作C2服務(wù)器。該樣本使用常規(guī)的HTTP協(xié)議進(jìn)行通信。博客帳號“elsa_kr”注冊于2016年4月,目前沒有任何有意義的內(nèi)容。
公共博客服務(wù)被用作C2服務(wù)器
總結(jié)
盡管最新版本的UBoatRAT已于9月份發(fā)布,但10月份在GitHub上我們已經(jīng)看到了elsa999帳戶的多個更新。開發(fā)者似乎對此木馬威脅的開發(fā)和測試樂此不疲。我們將繼續(xù)監(jiān)視此次行為是否有更新。
Palo Alto Networks的客戶可通過以下方式免遭此次威脅:
我們討論的所有樣本都已被WildFire和Threat Prevention認(rèn)定為惡意軟件
Traps可阻止該惡意軟件的執(zhí)行
AutoFocus用戶可對報告中提及的使用UBoatRAT的惡意軟件進(jìn)行跟蹤
攻擊參數(shù):
UBoatRAT SHA256
bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5
SHA256下載程序
f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3
網(wǎng)絡(luò)訪問
https://raw.githubusercontent[.]com/r1ng/news/master/README.md
https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md
http://www.ak(masked)[.]jp/images/
http://elsakrblog.blogspot[.]hk/2017/03/test.html
C2服務(wù)器
115.68.49[.]179:80
115.68.49[.]179:443
60.248.190[.]36:443
115.68.52[.]66:443
115.68.49[.]180:443
122.147.187[.]173:443
124.150.140[.]131:443
文件路徑
C:programdatainit.bat
C:programdatasvchost.exe
完整博文:
https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/