Palo Alto Networks威脅簡(jiǎn)報(bào)::UBoatRAT遠(yuǎn)程木馬訪(fǎng)問(wèn)程序入侵東亞

責(zé)任編輯:jackye

作者: Kaoru Hayashi

2017-12-07 16:49:44

Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit42近日宣布發(fā)現(xiàn)一款名為UBoatRAT的新型遠(yuǎn)程訪(fǎng)問(wèn)木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。如果木馬程序檢測(cè)到有虛擬環(huán)境存在或無(wú)法獲取域名,就會(huì)顯示以下虛假錯(cuò)誤信息提示并退出。

簡(jiǎn)報(bào)內(nèi)容節(jié)選如下:

Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit42近日宣布發(fā)現(xiàn)一款名為UBoatRAT的新型遠(yuǎn)程訪(fǎng)問(wèn)木馬程序(RAT),由其發(fā)起的攻擊已被確認(rèn)。該木馬程序的最初版本于2017年5月被發(fā)現(xiàn),其為一款簡(jiǎn)單HTTP后門(mén)程序,利用香港公共博客服務(wù)和日本已經(jīng)受到攻擊的web服務(wù)器一起構(gòu)建C2服務(wù)器。此后,開(kāi)發(fā)者很快為原有代碼加入更多功能并在六月份發(fā)布更新版本。從九月份最新變種所發(fā)動(dòng)的攻擊來(lái)看,我們發(fā)現(xiàn)有以下特點(diǎn):

目標(biāo)對(duì)象為與韓國(guó)和電子游戲行業(yè)相關(guān)的個(gè)人和組織

借助Google Drive分發(fā)惡意軟件

從GitHub獲取C2服務(wù)器地址

使用微軟后臺(tái)智能傳輸服務(wù)(BITS)保持連貫性

目標(biāo)

現(xiàn)在我們還不明確該木馬程序所針對(duì)的確切目標(biāo)。但我們推測(cè)此次攻擊的目標(biāo)是有關(guān)韓國(guó)或電子游戲行業(yè)的員工或組織,原因之一是基于攻擊者在傳遞惡意軟件時(shí)使用的文件名。另一個(gè)原因是UBoatRAT只有在被入侵計(jì)算機(jī)加入AD域時(shí),才會(huì)在其上執(zhí)行惡意操作。

傳輸和植入

我們注意到有多個(gè)UBoatRAT種變來(lái)自Google Drive云盤(pán)。據(jù)我們分析,并不是所有的鏈接都是有效的,但有些鏈接(包括下面的鏈接)是有效的。

從Google Drive云盤(pán)下載

  圖1從Google Drive云盤(pán)下載

壓縮文件托管于Google Drive云盤(pán),其中包含了惡意可執(zhí)行文件,這些文件偽裝成文件夾或Microsoft Excel電子表格。UBoatRAT的最新變種于7月下旬或者更晚的時(shí)間發(fā)布,偽裝成Microsoft Word文檔文件。

UBoatRAT偽裝樣本

  圖2 UBoatRAT偽裝樣本

在執(zhí)行操作時(shí),UBoatRAT會(huì)在被入侵的機(jī)器上檢查以下兩個(gè)條件。

檢測(cè)虛擬化軟件,如VMWare,VirtualBox或QEmu。

從網(wǎng)絡(luò)參數(shù)獲取域名

如果木馬程序檢測(cè)到有虛擬環(huán)境存在或無(wú)法獲取域名,就會(huì)顯示以下虛假錯(cuò)誤信息提示并退出。

虛假錯(cuò)誤信息提示

  圖3 虛假錯(cuò)誤信息提示

否則,UBoatRAT將自己復(fù)制為C: programdata svchost.exe,創(chuàng)建C: programdata init.bat并執(zhí)行bat文件。然后顯示以下信息提示并退出。

安裝后的虛假錯(cuò)誤信息提示

  圖4 安裝后的虛假錯(cuò)誤信息提示

BITS持續(xù)傳輸

UBoatRAT通過(guò)使用微軟后臺(tái)智能傳輸服務(wù)(BITS)實(shí)現(xiàn)持久性。BITS是一種在機(jī)器間傳輸文件的服務(wù)。雖然使用該服務(wù)最著名的應(yīng)用程序是Windows Update,但其他應(yīng)用程序或用戶(hù)也可以使用該組件。

C2 通信和后門(mén)指令

UboadRAT背后的攻擊者將C2地址和目標(biāo)端口隱藏在Github上的一個(gè)文件中,使用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md

UBoatRAT使用自定義命令和控制協(xié)議與攻擊者的服務(wù)器進(jìn)行通信。惡意軟件在有效載荷或指令的頂部放置字符串“488”(十六進(jìn)制中的0x34,0x38,0x38),并使用簡(jiǎn)單的XOR密碼,用靜態(tài)密鑰0x88加密整個(gè)緩沖區(qū)。這樣的話(huà)網(wǎng)絡(luò)負(fù)載總是以0xBC,0xB0,0xB0進(jìn)行啟動(dòng)。

‘488’標(biāo)記

  圖5‘488’標(biāo)記

借助靜態(tài)密鑰對(duì)‘488’標(biāo)記加密

  圖6 借助靜態(tài)密鑰對(duì)‘488’標(biāo)記加密

UBoatRAT的開(kāi)發(fā)

在撰寫(xiě)本文時(shí),我們已經(jīng)確定了14個(gè)UBoatRAT樣本和一個(gè)與攻擊有關(guān)的下載程序。如上所述,大部分UBoatRAT樣本都從GitHub中獲取C2地址。只有五月份發(fā)布的那個(gè)樣本連接到香港的公共博客服務(wù)器,入侵日本合法web服務(wù)器并將其用作C2服務(wù)器。該樣本使用常規(guī)的HTTP協(xié)議進(jìn)行通信。博客帳號(hào)“elsa_kr”注冊(cè)于2016年4月,目前沒(méi)有任何有意義的內(nèi)容。

公共博客服務(wù)被用作C2服務(wù)器

  圖7 公共博客服務(wù)被用作C2服務(wù)器

總結(jié)

盡管最新版本的UBoatRAT已于9月份發(fā)布,但10月份在GitHub上我們已經(jīng)看到了elsa999帳戶(hù)的多個(gè)更新。開(kāi)發(fā)者似乎對(duì)此木馬威脅的開(kāi)發(fā)和測(cè)試樂(lè)此不疲。我們將繼續(xù)監(jiān)視此次行為是否有更新。

Palo Alto Networks的客戶(hù)可通過(guò)以下方式免遭此次威脅:

我們討論的所有樣本都已被WildFire和Threat Prevention認(rèn)定為惡意軟件

Traps可阻止該惡意軟件的執(zhí)行

AutoFocus用戶(hù)可對(duì)報(bào)告中提及的使用UBoatRAT的惡意軟件進(jìn)行跟蹤

攻擊參數(shù)

UBoatRAT SHA256

bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271

6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c

cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7

7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1

04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b

42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac

7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7

460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5

55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7

9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82

e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494

eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e

452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875

66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5

SHA256下載程序

f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3

網(wǎng)絡(luò)訪(fǎng)問(wèn)

https://raw.githubusercontent[.]com/r1ng/news/master/README.md

https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md

http://www.ak(masked)[.]jp/images/

http://elsakrblog.blogspot[.]hk/2017/03/test.html

C2服務(wù)器

115.68.49[.]179:80

115.68.49[.]179:443

60.248.190[.]36:443

115.68.52[.]66:443

115.68.49[.]180:443

122.147.187[.]173:443

124.150.140[.]131:443

文件路徑

C:programdatainit.bat

C:programdatasvchost.exe

欲知詳情,敬請(qǐng)閱讀完整博文:https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)