记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

使用云平台的ROKRAT木马分析

2017-04-12 14:35

 一、前言

使用云平台的ROKRAT木马分析。几周前,Talos实验室发表了一篇韩国恶意文档的 研究报告 。正如我们之前讨论的一样,这个攻击者反应很快,及时调整了攻击轨迹,抹掉了受害主机上的痕迹。我们认为攻击者在任何一次攻击活动中使用的控制服务器活动时长不超过几个小时。最近我们又捕获了一个新的攻击活动,使用了是韩国常用的恶意Word文档(HWP文档),文档的攻击载荷是一款远控工具,我们称之为ROKRAT。

与之前的文章类似,攻击活动以钓鱼邮件开始,包含一个HWP文档的恶意附件。其中一个样本邮件是从首尔延世私立大学邮件服务器发出的,邮件地址是“kgf2016@yonsei.ac.kr”,为韩国全球论坛的联系邮箱,“2016”可能指的是“朝鲜半岛的和平统一”,这些字符是想增加该电子邮件地址的合理性和信誉度。

这个HWP文档包含一个嵌入式EPS对象(Embedded Encapsulated PostScript,EPS是用PostScript语言封装的一种文件格式),也是一种zlib压缩文件。攻击者使用EPS是为了利用已知漏洞(CVE-2013-0808)下载伪装为jpg图片的二进制文件。二进制文件解码后为ROKRAT远控工具,这个工具以合法的网站作为其命令控制服务器以增加复杂性。这些网站包括Twitter以及Yandex、Mediafire这两个云平台,不幸的是这些平台的使用一般不会被阻拦,因为它们在大多数情况下都是用于合法用途。此外,这三个平台使用的都是HTTPS协议,这样安全人员更加难以识别攻击行为中的特征模式和特征令牌。

二、钓鱼邮件

下图是针对韩国发送的钓鱼邮件样本:

\

我们所捕获的第一封邮件最为有趣。在这个样本中,我们观察到攻击者在邮件中感谢用户接受加入“韩国统一与朝鲜问题会议”这个小组,邮件表示用户应该填写文档内容并提交反馈。然而,这个会议是个冒牌会议,与之最为贴近的是2017年1月份举办的 NYDA统一会议 。邮件发送者是“kgf2016@yonsei.ac.kr”,这是 韩国全球论坛 的联系邮箱。

查看邮件头部,我们发现邮件发送者IP是“165.132.10.103”,通过“nslookup”命令可知该IP属于延世大学的一个SMTP服务器。我们认为该邮箱被攻击者盗用,借此发送钓鱼邮件。

样本文件名翻译过来就是“统一北韩会议_调查问卷”,邮件内容又再次强调了统一会议这个主题。此外,攻击者暗示收件人在填写文档并反馈后将会获得一些“小费”,也许恶意软件就是那个“小费”。

\

我们捕获的第二封邮件就没那么用心了。该邮件使用了Daum(Hanmail的前身)邮件服务商提供的免费邮件,与之前的相比,该邮件并没有试图伪装成来自官方机构或个人的邮件,而是使用了简单的“请求帮助”主题,文档附件名为“我是一名来自朝鲜江原道文川市的人”。我们怀疑攻击者想借此博得受害者的同情,因为江原道以前曾是韩国领土的一部分。附件内容讲述了一个名为“Ewing Kim”的人正在寻求帮助的故事。

邮件的附件使用了两个不同的HWP文档,但利用都是CVE-2013-0808这个漏洞。

三、恶意HWP文档

这个HWP文档由OLE对象组成。在本文样例中,该文档包含一个名为BIN0001.eps的EPS对象。由于HWP文档的信息使用了zlib压缩,因此你需要解压“.eps”对象来获得真正的shellcode。

\

我们可以从EPS对象中找到利用CVE-2013-0808漏洞的shellcode:

\

shellcode以0x0404开始,而不是以标准的NOP指令(0x90)开始:


user@lnx$ rasm2 -d 0404040404040404040490909090909090909090E8000000005Eadd al, 0x4add al, 0x4add al, 0x4add al, 0x4add al, 0x4nopnopnopnopnopnopnopnopnopnopcall 0x19pop esi

这两个HWP文档中的shellcode目的是下载并解码互联网上的一个载荷。载荷为二进制可执行文件。以下是文档所使用的一些样本信息:


SHA256: 7d163e36f47ec56c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e文件名: 통일북한학술대회_심사서류.hwp ("朝鲜会议_调查问卷")URL: http://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg

\


SHA256: 5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4f 文件名: 저는요 북조선 강원도 문천 사람이에요.hwp (“我是一名来自朝鲜江原道文川市的人”)URL: http://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg

\

四、木马分析

这两个文档所下载的木马都属于同一族群,主要区别是所使用的命令与控制服务器,其中一个使用了Twitter作为C2服务器,另一个使用了Yandex和Mediafire这两个云平台,两个样本都包含同一个Twitter令牌。

(一)反分析策略

ROKRAT作者使用了常见的几种技术来对抗人工分析和避免在沙箱内执行。

首先,恶意软件不在Windows XP系统上运行,它使用GetVersion() API判断操作系统版本,如果主版本号为5,就执行无限循环sleep:

\

此外,恶意软件检查当前运行进程,以便识别安全软件或沙箱环境,如以下代码:

\

恶意软件检查受害者主机上的进程名,查看是否包含包含关键词,关键词列表如下:


"mtool"代表VMWare Tools"llyd"代表OllyDBG"ython"代表Python (Cuckoo等沙箱使用这个工具)"ilemo"代表File Monitor"egmon"代表Registry Monitor"peid"代表PEiD"rocex"代表Process Explorer"vbox"代表VirtualBox"iddler"代表Fiddler"ortmo"代表Portmon"iresha"代表Wireshark"rocmo"代表Process Monitor"utoru"代表Autoruns"cpvie"代表TCPView

如果执行中发现上述任一进程,恶意软件则会跳转到虚假函数中,产生虚假的HTTP流量。另外,如果恶意软件发现自己正被调试、不是通过HWP文档运行(比如使用双击运行)或者在父进程上成功使用OpenProcess()函数,那么恶意软件也会进入虚假处理流程。

知识来源: www.2cto.com/article/201704/624301.html

阅读:120917 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“使用云平台的ROKRAT木马分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词