ESET研究人员发现了在Turla组织下,属于最古老的恶意软件之一的ComRAT,产生了新的版本。 Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年。 前面我们已经介绍过的很多攻击活动都可以归咎到Turla组织。
ComRAT也被称为Agent.BTZ,同时它的开发者们也称它为Chinch。它是一种远程访问木马(RAT),因在2008年造成了美军基地的大规模感染而名声大噪。ComRAT的第一版本可能是在2007年发布的,拥有可以通过可移动设备传播的蠕虫属性。之后两个新的主要版本在2007年到2012年之间发布,两者都使用了著名的Turla XOR秘钥:
1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
一直到2017年年中,Turla的开发者才开始对ComRAT进行了一些修改,但是这些变体显然还是从相同的代码库中派生的。
详情参见:从Agent.BTZ到ComRAT v4:十年的历程
之后在2017年末,我们注意到完全不同的ComRAT版本已经发布。 这个新版本使用了全新的代码库,并且比以前的版本复杂得多。 下面是该恶意软件家族的主要特征:
根据攻击对象和TTP(Tactics, techniques and procedures),我们相信ComRAT是被Turla组织使用的。 由下面几个信息我们将ComRAT v4联系到Turla:
通过我们的调查,我们了解到Turla攻击者在受感染机器上所做的操作。
ComRAT的主要用途是窃取机密文件。 在一种情况下,攻击者甚至部署了.NET可执行文件,以与受害者的包含公司内部组织文档的中央MS SQL Server数据库进行交互。 图1是已编辑的SQL命令。
图1. SQL命令从中央数据库中转储文档(部分已编辑)
然后将这些文档压缩并传输到云存储提供商,例如OneDrive或4shared。 使用net use命令安装云存储,如图2所示。
图2. Command to mount a OneDrive folder using net use (partially redacted)
除了窃取文件外,攻击者还运行许多命令来收集有关Active Directory组或用户,网络或Microsoft Windows配置(例如组策略)的信息。 图3是由Turla攻击者执行的命令的列表。
图3. 受感染机器的基本侦查
最后,我们还注意到Turla攻击者意识到并试图逃避安全软件。 例如,他们定期抽取与安全相关的日志文件,以了解是否已检测到其恶意软件样本。 这表明该组人员的复杂程度及其长期留在同一台计算机上的意图。
根据其看上去应该是真实的编译时间戳,ComRAT v4的第一个已知示例于2017年4月进行了编译。据我们所知,最新的后门版本是在2019年11月进行编译的。
基于ESET所掌握的资料,我们认为ComRAT是使用现有立足点(例如,受感染的凭证)或通过另一个Turla后门安装的。 例如我们看到PowerStallion安装了ComRAT,PowerStallion是我们在2019年描述的基于PowerShell的后门程序。
ComRAT安装程序是一个PowerShell脚本,可创建Windows计划的任务并用加密的有效负载填充注册表值。
ComRAT v4具有以下组件:
图4是ComRAT架构的概览图。
图4. ComRAT架构概览图
ComRAT v4具有两个不同的C&C通道:HTTP(内部称为旧版),想当然地使用HTTP协议,和使用Gmail Web界面的电子邮件(内部称为mail)。
在后一种模式下,使用配置中存储的cookie,它会连接到Gmail Web界面,以便检查收件箱并下载包含加密命令的特定邮件附件。 这些命令由攻击者从另一个地址发送,该地址通常托管在其他免费电子邮件提供商(例如GMX)上。
对所有ComRAT组件的详细技术分析,请参阅此白皮书。
ComRAT v4是于2017年发布的经过全面改造的恶意软件系列。其开发人员从其他Turla后门(例如Snake)汲取了灵感,以构建非常复杂的恶意软件。
它最有趣的功能是使用Gmail网络UI接收命令并提取数据。 因此,它不依赖任何恶意域,因此可以绕过某些安全控制。 我们还注意到,此新版本放弃了COM对象劫持的持久性使用,该方法使恶意软件具有通用名称。
我们发现有迹象表明ComRAT v4在2020年初仍在使用,这表明Turla小组仍然非常活跃,对外交官和军队构成了重大威胁。
完整的危害指标(IoC)和示例列表可在我们的白皮书和GitHub存储库中找到。有关对后门的详细分析,请参阅我们的白皮书。 如有任何疑问,或要提交与该主题相关的样本,请通过threatintel@eset.com与我们联系。
翻译:看雪翻译小组 一壶葱茜
校对:看雪翻译小组 lipss
原文地址:https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-6-16 01:55
被一壶葱茜编辑
,原因: 整理表格