簡(jiǎn)報(bào)內(nèi)容節(jié)選如下:
Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit42近日宣布發(fā)現(xiàn)一款名為UBoatRAT的新型遠(yuǎn)程訪(fǎng)問(wèn)木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。該木馬程序的最初版本于2017年5月被發(fā)現(xiàn),其為一款簡(jiǎn)單HTTP后門(mén)程序,利用香港公共博客服務(wù)和日本已經(jīng)受到攻擊的web服務(wù)器一起構(gòu)建C2服務(wù)器。此后,開(kāi)發(fā)者很快為原有代碼加入更多功能并在六月份發(fā)布更新版本。從九月份最新變種所發(fā)動(dòng)的攻擊來(lái)看,我們發(fā)現(xiàn)有以下特點(diǎn):
目標(biāo)對(duì)象為與韓國(guó)和電子游戲行業(yè)相關(guān)的個(gè)人和組織
借助Google Drive分發(fā)惡意軟件
從GitHub獲取C2服務(wù)器地址
使用微軟后臺(tái)智能傳輸服務(wù)(BITS)保持連貫性
目標(biāo)
現(xiàn)在我們還不明確該木馬程序所針對(duì)的確切目標(biāo)。但我們推測(cè)此次攻擊的目標(biāo)是有關(guān)韓國(guó)或電子游戲行業(yè)的員工或組織,原因之一是基于攻擊者在傳遞惡意軟件時(shí)使用的文件名。另一個(gè)原因是UBoatRAT只有在被入侵計(jì)算機(jī)加入AD域時(shí),才會(huì)在其上執(zhí)行惡意操作。
傳輸和植入
我們注意到有多個(gè)UBoatRAT種變來(lái)自Google Drive云盤(pán)。據(jù)我們分析,并不是所有的鏈接都是有效的,但有些鏈接(包括下面的鏈接)是有效的。
圖1從Google Drive云盤(pán)下載
壓縮文件托管于Google Drive云盤(pán),其中包含了惡意可執(zhí)行文件,這些文件偽裝成文件夾或Microsoft Excel電子表格。UBoatRAT的最新變種于7月下旬或者更晚的時(shí)間發(fā)布,偽裝成Microsoft Word文檔文件。
圖2 UBoatRAT偽裝樣本
在執(zhí)行操作時(shí),UBoatRAT會(huì)在被入侵的機(jī)器上檢查以下兩個(gè)條件。
檢測(cè)虛擬化軟件,如VMWare,VirtualBox或QEmu。
從網(wǎng)絡(luò)參數(shù)獲取域名
如果木馬程序檢測(cè)到有虛擬環(huán)境存在或無(wú)法獲取域名,就會(huì)顯示以下虛假錯(cuò)誤信息提示并退出。
圖3 虛假錯(cuò)誤信息提示
否則,UBoatRAT將自己復(fù)制為C: programdata svchost.exe,創(chuàng)建C: programdata init.bat并執(zhí)行bat文件。然后顯示以下信息提示并退出。
圖4 安裝后的虛假錯(cuò)誤信息提示
BITS持續(xù)傳輸
UBoatRAT通過(guò)使用微軟后臺(tái)智能傳輸服務(wù)(BITS)實(shí)現(xiàn)持久性。BITS是一種在機(jī)器間傳輸文件的服務(wù)。雖然使用該服務(wù)最著名的應(yīng)用程序是Windows Update,但其他應(yīng)用程序或用戶(hù)也可以使用該組件。
C2 通信和后門(mén)指令
UboadRAT背后的攻擊者將C2地址和目標(biāo)端口隱藏在Github上的一個(gè)文件中,使用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md
UBoatRAT使用自定義命令和控制協(xié)議與攻擊者的服務(wù)器進(jìn)行通信。惡意軟件在有效載荷或指令的頂部放置字符串“488”(十六進(jìn)制中的0x34,0x38,0x38),并使用簡(jiǎn)單的XOR密碼,用靜態(tài)密鑰0x88加密整個(gè)緩沖區(qū)。這樣的話(huà)網(wǎng)絡(luò)負(fù)載總是以0xBC,0xB0,0xB0進(jìn)行啟動(dòng)。
圖5‘488’標(biāo)記
圖6 借助靜態(tài)密鑰對(duì)‘488’標(biāo)記加密
UBoatRAT的開(kāi)發(fā)
在撰寫(xiě)本文時(shí),我們已經(jīng)確定了14個(gè)UBoatRAT樣本和一個(gè)與攻擊有關(guān)的下載程序。如上所述,大部分UBoatRAT樣本都從GitHub中獲取C2地址。只有五月份發(fā)布的那個(gè)樣本連接到香港的公共博客服務(wù)器,入侵日本合法web服務(wù)器并將其用作C2服務(wù)器。該樣本使用常規(guī)的HTTP協(xié)議進(jìn)行通信。博客帳號(hào)“elsa_kr”注冊(cè)于2016年4月,目前沒(méi)有任何有意義的內(nèi)容。
圖7 公共博客服務(wù)被用作C2服務(wù)器
總結(jié)
盡管最新版本的UBoatRAT已于9月份發(fā)布,但10月份在GitHub上我們已經(jīng)看到了elsa999帳戶(hù)的多個(gè)更新。開(kāi)發(fā)者似乎對(duì)此木馬威脅的開(kāi)發(fā)和測(cè)試樂(lè)此不疲。我們將繼續(xù)監(jiān)視此次行為是否有更新。
Palo Alto Networks的客戶(hù)可通過(guò)以下方式免遭此次威脅:
我們討論的所有樣本都已被WildFire和Threat Prevention認(rèn)定為惡意軟件
Traps可阻止該惡意軟件的執(zhí)行
AutoFocus用戶(hù)可對(duì)報(bào)告中提及的使用UBoatRAT的惡意軟件進(jìn)行跟蹤
攻擊參數(shù)
UBoatRAT SHA256
bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271
6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c
cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7
7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1
04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b
42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac
7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7
460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5
55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7
9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82
e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494
eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e
452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875
66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5
SHA256下載程序
f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3
網(wǎng)絡(luò)訪(fǎng)問(wèn)
https://raw.githubusercontent[.]com/r1ng/news/master/README.md
https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md
http://www.ak(masked)[.]jp/images/
http://elsakrblog.blogspot[.]hk/2017/03/test.html
C2服務(wù)器
115.68.49[.]179:80
115.68.49[.]179:443
60.248.190[.]36:443
115.68.52[.]66:443
115.68.49[.]180:443
122.147.187[.]173:443
124.150.140[.]131:443
文件路徑
C:programdatainit.bat
C:programdatasvchost.exe
欲知詳情,敬請(qǐng)閱讀完整博文:https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/