TSCookie恶意软件分析鹏越·安全

1、前言

2018年1月17日左右，社交媒体出现了关于恶意邮件攻击的一些报道，涉及日本各行各业，比如教育、文化、体育、科学以及技术部门。邮件中包含指向“TSCookie”恶意软件的URL地址（趋势科技将这个恶意软件标记为“PLEAD”。由于PLEAD也是某个攻击组织的名称，因此我们在本文中将这款恶意软件标记为TSCookie）。TSCookie最早的活跃期可以追溯到2015年，研究人员怀疑“BlackTech”这个攻击组织与此次攻击活动有关。JPCERT/CC证实，使用这款恶意软件的攻击组织之前已经发起过针对日本各种组织的攻击活动。本文介绍了我们对TSCookie的分析结果。

二、TSCookie概述

TSCookie的执行流程如图1所示。

图1. TSCookie概述

TSCookie本身只充当了下载器（downloader）功能，从C&C服务器上下载其他模块后，恶意软件就能拓展自己的功能。我们所分析的这个样本会下载一个DLL文件，这个DLL文件具备各种功能，其中就包括渗透功能（下文简称为“TSCookieRAT”）。恶意软件只会在内存中执行已下载的模块。

下文中我们会详细介绍TSCookie以及TSCookieRAT的具体行为。

三、TSCookie行为分析

TSCookie使用HTTP协议与C&C服务器进行通信，也会下载一个“模块”以及用来加载模块的一个“加载器”。恶意软件在资源区中嵌入了一个加密的DLL文件。当恶意软件执行时，就会将该DLL文件加载到内存中并加以执行。DLL文件会执行一些主要函数，比如与C&C服务器通信（某些情况下，主要函数并没有经过加密处理，会直接存放在恶意软件中。此外，还有一些样本会启动另一个进程，注入加密过的DLL文件）。恶意软件中包含一些配置信息（比如C&C服务器信息），这些信息经过RC4算法加密处理。大家可以参考附录A了解这些配置的详细信息。

TSCookie刚开始时会发送一个HTTP GET请求，如下所示。发出去的消息经过编码处理，嵌入在头部中的Cookie字段。

Cookie字段中包含的信息也经过RC4加密处理过（加密密钥为头部中的Date字段值）。大家可以参考附录B表B-1了解数据格式。

HTTP GET请求所获取的数据经过RC4加密处理，加密密钥为一个8字节值，由配置信息中的固定值（参考附录A表A-1）以及发送数据中的某个值（根据系统信息生成的4字节值，参考附录B表B-1）所组成。这段数据中包括用于模块加载的加载器。

随后TSCookie会下载一个模块。下载模块的HTTP POST请求如下所示。

发送的数据也经过RC4加密处理（加密密钥为头部中的Date字段值）。大家可以参考附录B表B-2了解数据格式。HTTP POST请求所收到的数据同样经过RC4加密处理，所使用的密钥值与HTTP GET请求中的密钥值一样。恶意软件会将下载的模块加载到内存中，然后调用HTTP GET请求所获取的加载器来执行这个模块。

四、TSCookieRAT行为分析

TSCookie在加载TSCookieRAT时会附带一些参数，比如C&C服务器信息等。在执行时，TSCookieRAT会通过HTTP POST请求将被感染主机的信息发送给外部服务器（HTTP头部格式与TSCookie的一样）。

这些数据从最开头到0x14处都经过RC4加密处理（加密密钥为头部中的Date字段值），后面跟的是被感染主机的信息（主机名、用户名、操作系统版本等）。大家可以参考附录C表C-1了解数据格式。

发送的数据如图2所示。

图2. 发送的部分数据（已解码）。在被感染的主机上发送信息。

随后，TSCookieRAT会发送一个HTTP GET请求（HTTP头部载荷格式与TSCookie一样）。通过这个请求，TSCookieRAT可以从C&C服务器那接收命令，所执行的功能如下所示（参考附录C表C-2了解接收到的数据，参考附录D表D-1了解服务器返回的命令列表）。

1、执行任意shell命令

2、发送磁盘驱动器信息

3、发送系统信息

4、文件操作

5、收集IE、Edge、Firefox、Chrome以及Outlook的密码

命令执行的结果会发送给服务器，所使用的格式与第一个HTTP POST请求一样（即发送被感染主机信息时所使用的请求）。C&C服务器所发送的命令并没有经过编码处理。恶意软件可以执行命令列出进程以及模块信息，发送的数据如下所示：

图3. 发送的部分数据（已解码）：0x930命令的执行结果

五、TSCookie解码工具

JPCERT/CC提供了一款工具，可以解码并提取TSCookie的配置信息。大家可以访问Github获取这款工具。

图4. 运行tscookie_decode.py时的输出信息

六、总结

使用TSCookie的攻击组织一直在针对日本组织发起攻击，也用到了各种类型的恶意软件。由于这个攻击组织很有可能会继续活跃一段时间，JPCERT/CC会继续谨慎观察相关攻击趋势。

附录E列出了本文所分析样本的哈希值，附录F中也列出了与TSCookie相关的一些目标主机信息。请仔细检查确保您的设备没有与这些主机通信。

如有任何疑问，请联系。

七、附录

附录A：TSCookie配置信息

表A：配置信息表

附录B：TSCookie发送及接收的数据

表B-1：Cookie头部中包含的数据格式

（*）与固定值（0x925A765D）组成RC4加密密钥

表B-2：HTTP POST数据包中包含的数据格式

附录C：TSCookieRAT发送及接收的数据

表C-1：HTTP POST数据中包含的数据格式

注：使用Date字段为密钥进行RC4加密的数据范围为0至0x14处

表C-2：收到的数据格式

附录D：TSCookieRAT所使用的命令

表D-1：命令列表

附录E：样本的SHA-256值

TSCookie

TSCookieRAT

附录F：与TSCookie有关的目标主机

译文声明

本文是翻译文章，文章原作者jpcert，文章来源：blog.jpcert.or.jp

原文地址：http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html