一、摘要

2019年2月,Unit42发布了一篇关于BabyShark恶意软件系列的文章,其中涉及到针对美国国家智库的相关鱼叉式网络钓鱼活动。自该文章发布以来,直到2019年3月和4月,攻击者已经将目标扩展到加密货币行业,表明这些攻击背后的攻击者也在尝试获取经济利益。

在跟踪该威胁组织的最新活动时,Unit42的研究人员收集了BabyShark恶意软件的服务器端和客户端文件,以及两个编码后的二级PE Payload文件,恶意软件在收到恶意运营者的命令之后会安装这些文件。通过分析这些文件,我们可以进一步从整体上了解BabyShark恶意软件的多阶段结构和功能,例如它如何尝试维护操作安全性和支持的远程管理命令。根据我们的研究,恶意软件作者似乎将编码后的二级Payload称为“Cowboy”,无论恶意软件是属于什么家族。

我们的研究表明,BabyShark恶意软件系列的最新恶意活动似乎是出于以下两个目的:

1、关于核安全和朝鲜半岛国家安全问题的间谍活动;

2、基于样本中使用的诱饵内容,重点关注加密货币行业的经济收益,如下图所示。Xcryptocrash是一种在线的加密货币赌博游戏。

与加密货币相关的BabyShark恶意文件诱饵:

我们推断,BabyShark恶意软件工具集在具有关联的恶意组织之间共享,或者是同一组织被分配了不同的任务。

在我们的分析中,我们发现BabyShark攻击使用KimJongRAT和PCRat作为编码的二级Payload,因此将其称为“Cowboys”。

二、可疑访问日志记录

BabyShark有一个多阶段的感染链,每个阶段之间都有检查,以确保只有目标主机才能进入到下一个阶段,最后才会向攻击者发回信号。

BabyShark恶意软件整体结构:中国菜刀

具体而言,这一过程是通过维护一个针对服务器进行可疑访问尝试的黑名单来实现的,在黑名单中记录了IP地址和计算机名称,这是一种可能使分析变得更难的技术。在黑名单中的IP地址和计算机名称,以Base64编码格式写在[BASE_URI]/blackip.txt中,如下图所示。

blacktip.txt中列入黑名单的IP地址和计算机名称:

当使用与黑名单匹配的数据进行新的访问尝试时,服务器将不会进入到下一阶段,并会通过下图所示的独立日志文件向恶意运营者者发出警报。

恶意运营者的可疑活动日志报告:

BabyShark的C2服务器还会记录对其基本URI的访问,并重定向到http://go.microsoft[.]com。这样做的目的,可能是避免由于托管Web服务器的潜在错误配置而看到其他文件。

if($ff=fopen(“resp_suspect”,”a”))
{
fwrite($ff, $date . ”  ” . $ip . ” suspected access ” . $useragent .”\r\n”);fclose($ff);
}
header(‘Location: http://go.microsoft[.]com/’);
exit;

三、远程命令

恶意运营者可以向受BabyShark感染的受害者系统发出基于VBS和PowerShell的命令。我们从C2找到的远程命令位于下表中,但是,BabyShark不仅限于这些命令,因为攻击者可以创建更多VBS或PowerShell命令文件。

1. 基于VBS的远程命令

(1) getfiles – 将BabyShark基本路径中的所有文件压缩为ZIP格式,然后上传到C2。

(2) exe_down – 下载二级Payload的文件,具体如下:

· Cowboy,一个自定义编码的PE Payload;

· 一个EXE格式的加载器,可以在内存中解码并加载Cowboy;

· 一个DLL类型的加载器,可以在内存中解码并加载Cowboy。

(3) redirect_vbs – 由于缺少密钥文件,所以该命令的用途尚不明确,可能会更改C2路径。

2. 基于PowerShell的远程管理命令

(1) keyhook – 使用PowerShell和C#实现的两种键盘记录器:

· 基于PowerShell的密钥记录器,可以在GitHub上公开找到,其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中;

· 基于C#的密钥记录器,其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中。

(2) dir list – 收集主机信息,并将结果保存在%APPDATA%\Microsoft\ttmp.log中,为完成主机信息收集工作,会使用如下命令:

· whoami

· hostname

· ipconfig

· net user

· arp -a

· dir “%appdata%\Microsoft”

· dir “%systemroot%\SysWOW64\WindowsPowerShell\”

· vol c: d: e: f: g: h: i: j: k: l: m: n: o: p: q: r: s: t: u: v: w: x: y: z:

· dir “%userprofile%\Downloads”

· dir “%userprofile%\Documents”

· dir “%userprofile%\AppData\Local\Google\Chrome\User Data\Default”

· tasklist

此外,还会通过检查注册表项值的方式,对UAC可访问性和Microsoft Office安全设置进行测试。

(3) power com – 将%APPDATA%\Microsoft\delemd.tmp0复制到%APPDATA%\Microsoft\XXYYZZ.tmp,并作为DLL加载。

(4) exe del – 清理与二级Payload执行相关的所有文件:

· %APPDATA%\Microsoft\desktop.r3u(编码后的Cowboy Payload);

· %APPDATA%\Microsoft\fstnur(用于检查是否为首次执行的文件);

· %APPDATA%\Microsoft\*.tmp。

(5) execute – 将%APPDATA%\Microsoft\deleme.tmp0复制到%APPDATA%\Microsoft\deleme.tmp,并执行该文件。

四、使用KimJongRAT和PCRat

所有的二级恶意软件将作为一个组合被提供,其中包括:一个EXE加载器、一个DLL加载器、一个编码后的Payload。

EXE加载器和DLL加载器的功能是相同的,唯一的区别是文件类型。这些加载器随后在接收到执行命令“execute”时运行,并调用EXE类型加载器或使用“power com”命令来启动DLL类型的加载器。我们推断,之所以要设置两种不同类型的加载器,其原因在于反病毒软件可能会中断其中一种类型的加载。在这种情况下,恶意软件可以具备加载Payload的备份机制。加载器会加载自定义编码的二级Payload,也就是Cowboy,并在内存中完成解码和执行的过程。天空彩

在我们之前的研究中,我们发现了BabyShark与KimJongRAT恶意软件家族之间存在一些可能的关联性。我们是根据恶意软件行为的相似性、所选取目标的一致性,和此前曾经从相同的威胁行为者看到过新编译的KimJongRAT恶意软件样本这些事实来综合判断的。在我们的最新分析过程中,我们从BabyShark的C2服务器收集了两个二级Payload文件cow_pass.gif和cow.gif。在解码后,我们发现这些样本分别是KimJongRAT和PCRat。两个文件的元数据如下所示。

解码后的PCRat Payload的元数据:

(1) SHA256 f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8

(2) 时间戳 2010-07-14 08:47:40

(3) 文件大小 124,928

(4) 导入哈希 d742aa65c4880f85ae43feebb0781b67

(5) C2 173.248.170[.]149:80

解码后的KimJongRAT Payload的元数据:

(1) SHA256 d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712

(2) 时间戳 2018-12-25 11:11:47

(3) 文件大小 787,968

(4) 导入哈希 daab894b81cc375f0684ae66981b357d

PCRat是一个知名的远程管理木马,其源代码可以在公共互联网上找到。该恶意软件是Gh0st RAT恶意软件系列的变体,它与Gh0st有许多相似之处,包括其网络信标结构,如下图所示。

PCRat与位于173.248.170[.]149:80的C2通信

最初,我们对样本的时间戳如此古老感到好奇,我们很难理解为什么多年来都使用原始的PCRat二进制文件,而没有对其进行修改。但是,当我们在分析过程中,观察到它与C2服务器进行的通信时,确认了恶意运营者似乎正在积极地运营这一恶意软件。

解码后的KimJongRAT样本似乎在代码中展现了过去报告的变种中出现的一些变化。该样本中增加了混淆API字符串所使用的变化的加密方法,如下图所示,这样一来,可以隐藏恶意软件的意图,并移除用于C2数据泄漏的网络功能,可能有利于密码收集过程,我们将在下文中重点讨论。

KimJongRAT中的加密API字符串:

正如原始文件名“cow_pass.fig”所体现的那样,KimJongRAT似乎完全被威胁行为者用于密码提取和信息窃取的工具,并且这些收集到的数据,会通过BabyShark或PCRat等恶意软件发送到C2。KimJongRAT恶意软件从受害者计算机窃取的信息包括:来自Microsoft Outlook和Mozilla Thunderbird的电子邮件凭据,来自Internet Explorer、Chrome、Mozilla Firefox和Yandex浏览器的Google、Facebook和Yahoo!帐户的登录凭据。所有这些信息,连同受害者计算机的操作系统版本信息一起,都被存储在文件“%APPDATA%\Microsoft\ttmp.log”中。“ttmp.log”中的内容始终以字符串“AAAAFFFF0000CCCC”开头,然后附加经过Base64编码后的被窃取凭据。

五、利用CVE-2018-8174漏洞

目前,我们还没有在野外观察到实际的案例,但我们确实在BabyShark C2服务器上找到了一个利用CVE-2018-8174漏洞(Windows VBScript引擎远程代码执行漏洞)的PHP示例,这表明威胁行为者可能会利用此漏洞,通过水坑攻击或鱼叉式网络钓鱼电子邮件攻击的方式,诱导用户点击恶意URL,从而加载BabyShark的第一阶段HTA。

如果从同一IP地址发生多次访问,那么攻击者的漏洞利用脚本会记录受害者的远程IP地址,并重定向到http://google[.]com。这可能是一种旨在防止安全人员进行研究的策略。

if(file_exists($filename))
{if($ff=fopen(“resp”,”a”)){fwrite($ff, $date . ”  ” . $ip .  ”    “.$useragent.”     reopen document.” .”\r\n”);fclose($ff);}header(“location: http://google[.]com”);exit;
}
if($ff=fopen(“resp”,”a”))
{fwrite($ff, $date . ”  ” . $ip .  ”    “.$useragent.”            open document.” .”\r\n”);fclose($ff);
}

六、Cowboy转换工具

在我们的研究过程中,我们还发现了一个基于图形用户界面(GUI)的程序,该程序可能由BabyShark恶意软件作者从公共恶意软件存储库中创建。该文件将用作文件编码器工具,将PE文件转换为前面描述的Cowboy EXE和DLL加载器加载的Payload格式。我们相信,BabyShark作者使用该工具来创建他们的攻击。该工具的元数据如下:

(1) SHA256 bd6efb16527b025a5fd256bb357a91b4ff92aff599105252e50b87f1335db9e1

(2) 时间戳 2019-01-30 18:22:51

(3) 大小 24,576

(4) 导入哈希 bde663d08d4e2e17940d890ccf2e6e74

该工具只是在当前目录中打开一个名为“cowboy”的文件,并将其编码为Cowboy的编码格式,如下所述。如果找不到名为“cowboy”的文件,则会弹出一个消息框,通知“The file cowboy isn't there!”(文件cowboy不存在!),如下图所示。

编码通过下面的三个步骤来完成:

(1) 反转从文件“cowboy”中读取的原始字节内容;

(2) 将反转后的字节进行Base64编码;

(3) 将Base64编码后的字符串分为10个块,并反转这些块的先后顺序。

我们使用Python编写了一个解码器脚本,可以在本文的附录部分看到。

七、总结

自从我们此前的研究发布以来,利用BabyShark恶意软件的恶意攻击仍然在持续。事实上,攻击者扩大了他们的“业务覆盖面”,瞄准了加密货币行业。恶意软件的服务器端实现表明,恶意软件作者已经做出一些努力,来维护恶意软件的运营和C2基础架构运营的安全性。威胁行为者在其活动中,已经利用了一些其他商品和定制开发的工具。具体而言,他们在这一系列恶意活动中使用的是PCRat和KimJongRAT,但可能会在未来更改为其他恶意软件系列。使用BabyShark恶意软件的恶意攻击似乎还会持续,并且可能会继续扩展到针对新的行业。

八、IoC

1. 恶意Word宏文档

· 75917cc1bd9ecd7ef57b7ef428107778b19f46e8c38c00f1c70efc118cb8aab5

2. PCRat

· f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8

3. KimJongRAT

· d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712

4. Cowboy加载器

· 4b3416fb6d1ed1f762772b4dd4f4f652e63ba41f7809b25c5fa0ee9010f7dae7

· 33ce9bcaeb0733a77ff0d85263ce03502ac20873bf58a118d1810861caced254

5. Cowboy转换工具

· bd6efb16527b025a5fd256bb357a91b4ff92aff599105252e50b87f1335db9e1

附录:解码Cowboy的Python脚本

import base64
with open(‘cowboy’, ‘r’) as file_in, open(‘cowboy_clear.bin’, ‘wb’) as file_out:EncStr = file_in.read()BlkSz = 10len_EncStr = len(EncStr)NonBlk10_ptr = len_EncStr – (BlkSz -1) * (len_EncStr // BlkSz)NonBlk10 = EncStr [:NonBlk10_ptr]result = ”EncStr = EncStr [NonBlk10_ptr::]#print EncStrx = range (-1,BlkSz-1)Blksize1 = len_EncStr // BlkSzfor n in x:loop_buff1_ptr = n * (len_EncStr // BlkSz)loop_buff1 = EncStr [loop_buff1_ptr:loop_buff1_ptr+Blksize1]#print loop_buff1result = loop_buff1 + resultresult = result + NonBlk10clear = base64.b64decode(result)[::-1]print clear
file_out.write(clear)

持续使用KimJongRAT和PCRat发动攻击:BabyShark恶意软件分析相关推荐

  1. 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...

    1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...

  2. 关注移动安全 六大移动恶意软件分析

    本文讲的是 :   关注移动安全 六大移动恶意软件分析 , [IT168 专稿]随着移动到联网的快速发展,在移动设备上已经开始出现恶意软件,只是还没有发展到严重的地步,但这并不意味着移动漏洞无法被利用 ...

  3. golang 日志分析_Saferwall:下一代开源恶意软件分析平台

    Saferwall Saferwall是一款开源的恶意软件分析平台,该工具旨在给安全社区提供以下内容: 为恶意软件研究人员提供共享样本的协作平台. 帮助研究人员自动化生成恶意软件分析报告. 寻找新的恶 ...

  4. 20154312 曾林 Exp4恶意软件分析

    写在前面 如果把恶意软件比作罪犯的话,怎么看这次实验? 实验目的:以后能够在茫茫人海中找到罪犯. 实验过程:现在以及抓到了一个罪犯,把他放到茫茫人海里去,看看他和普通人有啥区别.这些区别就是罪犯的特征 ...

  5. 「铭说」恶意软件分析,新版本的Danabot

    2021年新年伊始,臭名昭著的银行木马DanaBot更新了版本. DanaBot 是2018年5月首次由proofpoint发现的银行/窃取恶意软件,之前它至少经历了三个重要版本: 版本 1:Dana ...

  6. python怎么编写流氓软件_Python恶意软件分析入门

    介绍 提升你的 Python 编程技巧可能正在你的待做清单上--就行清理衣橱.粉刷墙壁.拧紧螺丝一样(你知道我在说什么). 通常来说,脚本是跨大多数安全学科的一个实用的工具,编写脚本可以帮助你自动完成 ...

  7. 针对firefox的恶意软件分析取证

    简介 需要此文章用到的虚拟机环境和工具可以加我qq3316735898 环境介绍 环境用的是火眼Windows攻击工具集环境 该公司发布了一个包含超过140个开源Windows工具的大礼包,红队渗透测 ...

  8. 自动化恶意软件分析系统Cuckoo安装、配置详解

    0×00 简述 沙盒(Sanbox) 是一种将未知.不可信的软件隔离执行的安全机制.恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为.网络行为.文件行为 ...

  9. 基于深度学习lstm_基于LSTM的深度恶意软件分析

    基于深度学习lstm Malware development has seen diversity in terms of architecture and features. This advanc ...

最新文章

  1. Simple Dynamic Strings(SDS)源码解析和使用说明二
  2. SpringMVC札集(05)——SpringMVC参数回显
  3. 剑桥大学终身教授T.S.:7大机器学习算法与应用案例
  4. 程序员工资虽高,但日子过得....
  5. 计算机2010ppt试题,2010年职称计算机:PowerPoint2000试题及答案
  6. 将汉字以utf-8方式编码及解码
  7. 从零开始,讲解详细,贴近实际应用,全面掌握用友ERP财务管理
  8. 三星note3 android4.3,真的8核全开了!Exynos版GS4升级安卓4.3
  9. 如何提取PDF页面?3种拆分PDF的方法
  10. 三维重建 | 单张彩色图像三维重建学习框架
  11. 赛后题解——真假亚瑟王(数论)
  12. ​合并PDF文件什么方法很简单?看完你就明白了
  13. 多线程 委托 匿名函数 拉姆达 事件
  14. wi-fi频宽设置_如何设置TP-Link Wi-Fi智能插头
  15. 群响黄宝书:淘宝客历史沿革和新崛起的淘宝高手分享
  16. 在KTV选什么歌才能成为麦霸?
  17. 视频监控存储特点分析
  18. 阿里云领取免费2H2G云服务器&证书分享(一):Apsara Clouder云计算专项技能认证:云服务器ECS入门
  19. Could not resolve all files for configuration “: app: debug Compileclasspath“ mac开发 cordova build踩坑
  20. 微服务商城mall-swarm本地搭建

热门文章

  1. 微信or支付宝交易限额
  2. 简单C++程序——掷骰子
  3. 软件工程师杰夫的个人营销实例(十分钟看完系列)
  4. tensorflow 数据输入与特征工程
  5. A,B两个整数集合,设计一个算法求他们的交集,尽可能的高效(牛客网)
  6. oracle 查看scott权限,Oracle创建表空间、创建用户以及授权、查看权限 、scott解锁...
  7. linux 修改 usb-serial.c 提升3G上网速度
  8. Appcelerator首席运营官Sandeep Johri:新一代企业移动互联网平台开发技术
  9. 【ICML2022】可达性约束强化学习
  10. Peluso麦克风:P-414麦克风评测