首页
社区
课程
招聘
从Agent.BTZ到ComRAT v4:TurlaC&C基础设施发展到利用Gmail的十年历程
发表于: 2020-6-16 01:33 12230

从Agent.BTZ到ComRAT v4:TurlaC&C基础设施发展到利用Gmail的十年历程

2020-6-16 01:33
12230

ESET研究人员发现了在Turla组织下,属于最古老的恶意软件之一的ComRAT,产生了新的版本。 Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年。 前面我们已经介绍过的很多攻击活动都可以归咎到Turla组织。

ComRAT也被称为Agent.BTZ,同时它的开发者们也称它为Chinch。它是一种远程访问木马(RAT),因在2008年造成了美军基地的大规模感染而名声大噪。ComRAT的第一版本可能是在2007年发布的,拥有可以通过可移动设备传播的蠕虫属性。之后两个新的主要版本在2007年到2012年之间发布,两者都使用了著名的Turla XOR秘钥:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

一直到2017年年中,Turla的开发者才开始对ComRAT进行了一些修改,但是这些变体显然还是从相同的代码库中派生的。

详情参见:从Agent.BTZ到ComRAT v4:十年的历程

之后在2017年末,我们注意到完全不同的ComRAT版本已经发布。 这个新版本使用了全新的代码库,并且比以前的版本复杂得多。 下面是该恶意软件家族的主要特征:

根据攻击对象和TTP(Tactics, techniques and procedures),我们相信ComRAT是被Turla组织使用的。 由下面几个信息我们将ComRAT v4联系到Turla:

通过我们的调查,我们了解到Turla攻击者在受感染机器上所做的操作。

ComRAT的主要用途是窃取机密文件。 在一种情况下,攻击者甚至部署了.NET可执行文件,以与受害者的包含公司内部组织文档的中央MS SQL Server数据库进行交互。 图1是已编辑的SQL命令。

图1. SQL命令从中央数据库中转储文档(部分已编辑)

然后将这些文档压缩并传输到云存储提供商,例如OneDrive或4shared。 使用net use命令安装云存储,如图2所示。

图2. Command to mount a OneDrive folder using net use (partially redacted)

除了窃取文件外,攻击者还运行许多命令来收集有关Active Directory组或用户,网络或Microsoft Windows配置(例如组策略)的信息。 图3是由Turla攻击者执行的命令的列表。

图3. 受感染机器的基本侦查

最后,我们还注意到Turla攻击者意识到并试图逃避安全软件。 例如,他们定期抽取与安全相关的日志文件,以了解是否已检测到其恶意软件样本。 这表明该组人员的复杂程度及其长期留在同一台计算机上的意图。

根据其看上去应该是真实的编译时间戳,ComRAT v4的第一个已知示例于2017年4月进行了编译。据我们所知,最新的后门版本是在2019年11月进行编译的。

基于ESET所掌握的资料,我们认为ComRAT是使用现有立足点(例如,受感染的凭证)或通过另一个Turla后门安装的。 例如我们看到PowerStallion安装了ComRAT,PowerStallion是我们在2019年描述的基于PowerShell的后门程序。

ComRAT安装程序是一个PowerShell脚本,可创建Windows计划的任务并用加密的有效负载填充注册表值。

ComRAT v4具有以下组件:

图4是ComRAT架构的概览图。

image-20200607122140744

图4. ComRAT架构概览图

ComRAT v4具有两个不同的C&C通道:HTTP(内部称为旧版),想当然地使用HTTP协议,和使用Gmail Web界面的电子邮件(内部称为mail)。

在后一种模式下,使用配置中存储的cookie,它会连接到Gmail Web界面,以便检查收件箱并下载包含加密命令的特定邮件附件。 这些命令由攻击者从另一个地址发送,该地址通常托管在其他免费电子邮件提供商(例如GMX)上。

对所有ComRAT组件的详细技术分析,请参阅此白皮书

ComRAT v4是于2017年发布的经过全面改造的恶意软件系列。其开发人员从其他Turla后门(例如Snake)汲取了灵感,以构建非常复杂的恶意软件。

它最有趣的功能是使用Gmail网络UI接收命令并提取数据。 因此,它不依赖任何恶意域,因此可以绕过某些安全控制。 我们还注意到,此新版本放弃了COM对象劫持的持久性使用,该方法使恶意软件具有通用名称。

我们发现有迹象表明ComRAT v4在2020年初仍在使用,这表明Turla小组仍然非常活跃,对外交官和军队构成了重大威胁。

完整的危害指标(IoC)和示例列表可在我们的白皮书GitHub存储库中找到。有关对后门的详细分析,请参阅我们的白皮书。 如有任何疑问,或要提交与该主题相关的样本,请通过threatintel@eset.com与我们联系。

翻译:看雪翻译小组 一壶葱茜

校对:看雪翻译小组 lipss

原文地址:https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

 
 
 
 
 
 
 
 
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-6-16 01:55 被一壶葱茜编辑 ,原因: 整理表格
收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
666
2020-6-16 15:55
0
游客
登录 | 注册 方可回帖
返回
//