-
-
[原创]ReverseRAT远控分析
-
发表于: 2021-6-26 16:06 13230
-
近日,Lumen 的 Black Lotus Labs 检测到一种新的远控木马并将其命名为ReverseRat。安全研究员在对其进行深入的关联分析之后表明,该远控木马背后应该是针对南亚和中亚地区政府机构发起攻击的南亚APT组织。
此类攻击主要分为两个阶段,第一阶段,攻击者会将恶意的LNK文件和包含正常PDF的诱饵ZIP文件上传到被他们控制的网站后台,接着向受害者发送钓鱼链接诱导受害者下载并执行LNK文件。第二阶段,LNK文件会下载并执行恶意的HTA文件,由HTA文件加载后续的远控组件,HTA加载的远控组件可能是AllaKore或ReverseRat。安全研究员通过对感染链和远控组件的关联分析发现该组织的TTP和已经披露的SideCopy有部分重合,包括远控组件的加载方式、pdb路径的相似性以及C2地址的分布情况
针对该实验室文章中的ReverseRAT详细分析如下。
文件名称
officetool.exe
文件功能及家族
RAT/ReverseRAT
文件类型
exe
文件大小
18192 bytes
文件开发语言
C#/Dotnet
编译时间(utc0)
2021-03-04 06:40:40
PDB
/
VT首次提交时间
2021-06-19
VT首次提交方式及国家
/
MD5
1fb1b37bdf355e20a7b62d636a59c3d7
初始化环境,设置url以及key
获取主机基本信息包括网卡MAC地址、用户名、系统信息、内存信息、CPU信息、反病毒软件名称信息等。(通过环境变量获取用户名及系统信息)
通过wmi获取主机网卡地址
通过wmi获取主机内存容量信息
通过wmi获取主机CPU信息
通过wmi获取主机杀毒软件名称
接着该远控将收集的信息进行拼接加密后通过POST方式发送给C2,在传递的信息中其还通过http://checkip.dyndns.org/获取主机的IP地址。其加密方式为先通过gzip对数据进行压缩,再通过RC4对压缩后的数据进行加密。
传递新信息后,接收并解析C2命令,根据对应指令执行对应的动作
该远控组件一共有15个命令,命令详细信息如下表
命令ID
命令功能
0
downloadexe
下载文件并执行
1
download
下载文件,功能未编写
2
upload
上传文件
3
run
执行文件
4
delete
删除文件
5
rename
重命名文件
6
creatdir
创建目录
7
list
列出目录
8
process
获取进程信息
9
pkill
杀死进程
10
clipboard
获取剪切板数据
11
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
- [原创]【分析记录】疑似Confucius组织组件CuoliVXaRAT分析 12305
- [原创]ReverseRAT远控分析 13231
- [讨论]看雪论坛可不可以出一个看雪的桌面图啊 4354
- [原创]无脑暴力爆破 第二题 南冥神功 5444