GravityRAT间谍软件分析
2018年研究人员发布GravityRAT研究报告,印度计算机应急响应小组(CERT-IN)于2017年首次发现该木马。该软件被认定隶属于巴基斯坦的黑客组织,至少自2015年以来一直保持活跃,主要针对Windows机器,2018年将Android设备添加到了目标列表中。
软件分析
2019年在VirusTotal发现一个Android间谍软件,经过分析它与GravityRAT有关。攻击者在Travel Mate中增加了一个间谍模块,Travel Mate是一个面向印度旅客的Android应用程序,其源代码可在Github上获得。
攻击者使用了Github上2018年10月发布的版本,添加了恶意代码并更名为Travel Mate Pro。
木马的清单文件包括Services和Receiver:
木马app中的class:
间谍软件具有标准功能:它将设备数据,联系人列表,电子邮件地址以,通话和文本日志发送到C&C服务器。此外木马会在设备内存以及连接的媒体上搜索扩展名为.jpg,.jpeg,.log,.png,.txt,.pdf,.xml,.doc,.xls,.xlsx 、. ppt,.pptx,.docx和.opus的文件,并将它们发送到C&C,url如下:
木马使用的C&C地址:
nortonupdates[.]online:64443 nortonupdates[.]online:64443
研究中还发现了名为Enigma.ps1的恶意PowerShell脚本,可执行C#代码,通过n3.nortonupdates[.]online:64443下载在计算机上找到的文件的数据(.doc,.ppt,.pdf,.xls,.docx,.pptx 、. xlsx)以及受感染机器的数据。
PowerShell script:
检测到一个非常相似的VBS脚本,其名称为iV.dll,但没有指定的路径:
除了VBS模板之外,还有Windows Task Scheduler的XML模板,名称为aeS.dll,rsA.dll,eA.dll和eS.dll:
在主程序中,将所需的路径和名称写入模板,并添加了计划任务:
该程序与服务器通过download.enigma.net[.]in/90954349.php通信,其具有简单的图形界面以及加密和文件交换逻辑:
除了Enigma和Titanium之外,还包含以下间谍木马程序:
Wpd.exe Taskhostex.exe WCNsvc.exe SMTPHost.exe CSRP.exe
他们的C&C:
windowsupdates[.]eu:46769 windowsupdates[.]eu:46769 mozillaupdates[.]com:46769 mozillaupdates[.]com:46769 mozillaupdates[.]us
GravityRAT系列使用了相同的46769端口,进一步搜索找到了PE文件Xray.exe:
此版本收集数据并将其发送到n1.nortonupdates[.]online和n2.nortonupdates[.]online。
n*.nortonupdates[.]online解析为213.152.161[.]219,在Passive DNS数据库中发现了可疑的域u01.msoftserver[.]eu。通过对该域的搜索找到了应用ZW.exe,该应用程序由Python编写并使用PyInstaller打包,ZW.exe调用的C&C地址:
msoftserver[.]eu:64443 msoftserver[.]eu:64443 msoftserver[.]eu:64443 msoftserver[.]eu:64443
间谍软件从服务器接收命令:
获取系统信息 搜索扩展名为.doc,.docx,.ppt,.pptx,.xls,.xlsx,.pdf,.odt,.odp和.ods的文件,并将其上传到服务器 获取正在运行的进程的列表 键盘记录 截屏 执行任意的shell命令 录制音频(此版本未实现) 扫描端口
该代码是多平台的:
特征路径确认了新版本的GravityRAT:
其他版本的GravityRAT
lolomycin&Co
GravityRAT的较旧版本Whisper也包含在组件whisper.exe中,字符串“ lolomycin&Co”为ZIP文件密码:
通过此字符串,在应用程序中找到了较新的.NET版本的GravityRAT:
WeShare TrustX Click2Chat Bollywood
新版本的GravityRAT
.NET版本
Sharify MelodyMate (signed by E-Crea Limited on 11.05.2019)
Python版本
GoZap
Electron版本
Android版本
SavitaBhabi
IoCs
MD5
Travel Mate Pro — df6e86d804af7084c569aa809b2e2134 iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68 enigma.exe — b6af1494766fd8d808753c931381a945 Titanium — 7bd970995a1689b0c0333b54dffb49b6 Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72 Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94 WCNsvc.exe — cceca8bca9874569e398d5dc8716123c SMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4 CSRP.exe — e73b4b2138a67008836cb986ba5cee2f Chat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3 AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cd Xray.exe — 1f484cdf77ac662f982287fba6ed050d ZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9 RW.exe — 78506a097d96c630*5bd3d8fa92363 TW.exe — 86c865a0f04b1570d8417187c9e23b74 Whisper — 31f64aa248e7be0be97a34587ec50f67 WeShare —e202b3bbb88b1d32dd034e6c307ceb99 TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257 Click2Chat — defcd751054227bc2dd3070e368b697d Bollywood — c0df894f72fd560c94089f17d45c0d88 Sharify — 2b6e5eefc7c14905c5e8371e82648830 MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015 GoZap — 6689ecf015e036ccf142415dd5e42385 StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac) TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac) OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac) CvStyler — df1bf7d30a502e6388e2566ada4fe9c8 SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)
URLs
daily.windowsupdates[.]eu nightly.windowsupdates[.]eu dailybuild.mozillaupdates[.]com nightlybuild.mozillaupdates[.]com u01.msoftserver[.]eu u02.msoftserver[.]eu u03.msoftserver[.]eu u04.msoftserver[.]eu n1.nortonupdates[.]online n2.nortonupdates[.]online n3.nortonupdates[.]online n4.nortonupdates[.]online sake.mozillaupdates[.]us gyzu.mozillaupdates[.]us chuki.mozillaupdates[.]us zen.mozillaupdates[.]us ud01.microsoftupdate[.]in ud02.microsoftupdate[.]in ud03.microsoftupdate[.]in ud04.microsoftupdate[.]in chat2hire[.]net wesharex[.]net click2chat[.]org x-trust[.]net bollywoods[.]co[.]in enigma[.]net[.]in titaniumx[.]co[.]in sharify[.]co[.]in strongbox[.]in teraspace[.]co[.]in gozap[.]co[.]in orangevault[.]net savitabhabi[.]co[.]in melodymate[.]co[.]in cvstyler[.]co[.]in
原文链接
https://securelist.com/gravityrat-the-spy-returns/99097/