解码Gh0st RAT变种中的网络数据

从我们的研究分析中,我们认为攻击者在此次攻击中并没有使用任何高级的攻击技术。实际上,攻击者的主要目标是挖掘加密货币。在调查中,我们还发现了一些攻击者使用过的工具,例如password dumpers,Monero加密货币矿工,可移动可执行(PE)注入器,以及Gh0st RAT的修改版。尽管Bitdefender和TrendMicro已发布了对该组织使用的一些工具的详细描述报告[1] [2],但我们却并没有找到对此特定修改版本Gh0st RAT的任何引用和参考信息。因此,这篇文章的目的就是向大家简要描述,该组织所使用的Gh0st RAT修改版。

恶意payload

首先,一个位于C:\ProgramData中的一个新文件夹下并以随机名称命名的恶意可执行文件会被执行。该文件一旦执行,就会删除一个批处理文件(install.bat)和一个cabinet文件(data.cab)。cabinet文件包含两个文件:部分加密的恶意shellcode和将执行恶意shellcode的动态链接库(DLL)。然后恶意可执行文件将执行批处理文件,该文件将解压缩并执行DLL文件。权限维持主要是通过创建新服务或新注册表项来实现的,具体取决于恶意软件具有的权限。一旦将执行传递给shellcode,它将使用单个字节作为eXclusive OR(XOR)循环中的密钥,来解密其余的加密数据。解密后,我们可以看到以下的字符串:

shellcode的主要目标是在内存中加载和执行攻击者的插件。

被修改的Gh0st RAT

在分析以前的文件时,我们发现了一个名为’Plugins’的文件夹,里面有一些有趣的DLL和两个需要执行密码的文件(如下图所示)。

逆向分析后,我们发现密码没有被硬编码。 相反,密码基于当前的年份和月份。例如,2018年3月份的密码是’201803’。

第一个名为’Noodles’的文件,似乎是基于编译日期和功能的Gh0st RAT旧的修改版本。名为’Mozilla’的第二个文件是用于此次攻击的主要工具。我们可以在下面看到两个面板的外观:

目前,这两种工具都可以侦听任何给定的端口,但只有’Mozilla’可以连接到绑定端口。支持的协议包括安全套接字层(SSL)和传输控制协议(TCP)。列表中其中一个协议被命名,但目前还不支持,并显示错误消息。这可能表明这个工具仍在开发中,并且计划增加额外的功能。

另外,对Mozilla工具的分析确定了二进制内的程序数据库(PDB)路径:

K:\Mozilla\Mozillav6.0.x_dll\WorkActive\Release\Mozilla.pdb

该工具严重依赖于插件。 当有新的受害者连接时,攻击者可以使用PluginManager将新插件加载到受感染的机器。

大多数可用的插件都基于Gh0st RAT源码,并且可以在下面找到它们的摘要:

网络通信

受害者和攻击者之间的网络流量使用Rivest Cipher 4(RC4)加密。密钥对于每个请求都是唯一的,并且使用’XOR’和’AND’指令进行加密。密钥存储在请求的前28个字节中。我们编写了一个Python脚本,将网络捕获(PCAP)作为输入并对其进行解密,你可以在我们的Github存储库中找到它:https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/gh0st_variant_c2

例如,下面我们可以在名为sent的机器上看到受害者和C2服务器之间的初始连接,

数据到服务器..

并且在PE文件的独特开头下面可以看到,因为插件已被传送到客户端。

数据到客户端..

IOCs

命令和控制(C&C) IP:

23.227.207.137

89.249.65.194

恶意文件目录:

C:\ProgramData\HIDMgr

C:\ProgramData\Rascon

C:\ProgramData\TrkSvr

恶意服务名称:

HIDMgr

RasconMan

TrkSvr

用于持久性的注册表项:

文件名和哈希:

参考

https://www.erai.com/CustomUploads/ca/wp/2015_12_wp_operation_iron_tiger.pdf

https://labs.bitdefender.com/wp-content/uploads/downloads/operation-pzchao-inside-a-highly-specialized-espionage-infrastructure/

*参考来源:nccgroup,FB小编 secist 编译,转载请注明来自FreeBuf.COM

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180506B0WLI700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券