tRat:新模块化RAT_湖北

访客4年前黑客资讯1198

TA505是Proofpoint一直关注的攻击组织,该组织从2014年开始活跃。最近,研究人员发现该组织在传播一些远程访问木马(remote access Trojans,RATs)和其他收集、加载和监控的工具。tRAT就是其中一款恶意软件,该恶意软件是模块化的RAT,用Delphi语言编写。本文价绍对该恶意软件参与的攻击活动和恶意软件进行分析。攻击活动2018年9月,Proofpoint检测到一起垃圾邮件攻击活动中使用启动宏的恶意word文档来下载之前没有记录过的RAT。恶意文档滥用Norton品牌,伪装为安全产品保护的文档。消息中的主题使用了社会工程技术,启用了嵌入宏来安装tRAT。 10月11日,研究人员发现一起由TA505传播tRAT的垃圾邮件活动。攻击活动非常复杂,使用了Microsoft Word和Publisher文件,攻击目标主要是商业银行的用户。攻击活动中使用了不同邮件地址来发送信息,主题行的格式为:Inovice (sic) [random digits] – [random digits],附件名为inv-399503-03948.pub。含有恶意word附件的邮件地址来自Vanessa Brito,但显示不同的发件地址,消息中的附件名report.doc。 在所有的样本中,附件都含有宏,启用宏后就会下载tRAT。 恶意软件分析下面分析tRat恶意软件。研究人员分析样本发现,恶意软件会复制二进制文件到以下路径来保持驻留:C:\Users\\AppData\Roaming\Adobe\Flash Player\Services\Frame Host\fhost.exe然后,tRat会在开始菜单创建一个LNK文件在系统启动后执行二进制文件:C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bfhost.lnk大多数tRat的重要字符串都是加密保存并十六进制编码的。用来解密字符串的python脚本位于GitHub:https://github.com/EmergingThreats/threatresearch/blob/master/tRat/decrypt_str.py  。tRat使用TCP 80端口进行C2通信,数据是加密存储的,十六进制编码传输。为了生成解密密钥,tRAT会将3个字符串拼接起来,结果就是大写十六进制编码的。样本中的字符串如下所示:"Fx@%gJ_2oK""AC8FFF33D07229BF84E7A429CADC33BFEAE7AC4A87AE33ACEAAC8192A68C55A6""&LmcF#7R2m"目前还不清楚不同样本中的字符串是不是一样。除了生成key以外,tRat在解密过程中会用1536字节的表。截至目前,研究人员还不能确定表中米素的意义和是否改变。但可以确定的是解密过程使用了表中数据和加密数据的XOR值。表的索引是基于key值的,样本中的表和python脚本都在Github上可以看到,也可以用于解密通信。tRat的初始 *** 请求叫做AUTH_INF,解密示例如下:MfB5aV1dybxQNLfg:D29A79D6CD2F47389A66BB5F2891D64C8A87F05AE3E1C6C5CBA4A79AA5ECA29F8E8C8FFCA6A2892B8B6E字符串中含有2个子字符串,是用:分开的。之一个子字符串是以加密字符串形式保存的硬编码的id;第二个子字符串含有加密的系统数据,如下所示:FASHYEOHAL/nXAiDQWdGwORzt:3A176D130C266A4D这些数据含有受感染主机的计算机名、系统用户名和tRat bot ID,但研究人员目前还不清楚bot ID是如何生成的。为了响应AUTH_INF,C2会用[P]或命令列表响应。如果tRat收到[P],就会响应[G]。这看着像轮询命令,但是命令列表的格式、命令、模块数据都是未知的。目前,研究人员相信loader中唯一支持的命令就是MODULE,其中含有一个模块名和一个输出名。为了接收模块,Trat会顺序执行以下动作:· 发送"[GET_MODULE]"· 如果接收到"[WAIT_FOR_AUTH_INF]",发送AUTH_INF数据· 如果接收到"[WAIT_FOR_MODULE_NAME]",发送模块名· 响应可以包括以下内容之一:· "[ERR_MODULE_NOT_FOUND]"· "[ACCESS_DENIED]"· 模块长度· 如果接收到模块长度,就发送"[READY]”· 接收模块· 该模块使用的加密与C2通信相似,但是使用的key不同· 解密后,模块会以DLL加载,并使用接收到的export名执行。目前研究人员还没有发现C2传输的模块,所以不确定恶意软件增加了什么功能。总结TA505因为其攻击的体量、频率和复杂性,一度改变邮件威胁情景。研究人员最近发现其新的邮件攻击活动中使用了Locky这样的恶意软件和FlawedAmmyy这样不太常用的恶意软件。

标签: 好话题

相关文章

如何查找别人的微信聊天记录和开房记录-免费接单黑客QQ

如何查找别人的微信聊天记录和开房记录-免费接单黑客QQ 1月31日,据CNBC报道,FBI又逮捕了一名苹果工程师。据悉,检察官表示,被逮捕的苹果工程师Jizhong Chen(陈继忠)已经承认拍摄照...

中国的传统节日有哪些? 中国传统节日是不是已经真的彻底变味了

不可否认的是,春节、端午节和中秋节的感觉不如以前,特别是在大城市。虽然到处都是节日海报和装饰品,但总觉得商业气息太浓。购物中心是各种节日礼物集,当他们来到节日。商人抓住这个机会大赚一笔。传统文化受到严...

如何查询接受别人的微信聊天记录—《必看介绍-免费接单黑客QQ

如何查询接受别人的微信聊天记录—《必看介绍-免费接单黑客QQ 小编给你们分享一个好东西,这个东西可以让我们的电脑得到一个质的飞跃呢!它是什么呢?它就是升级显卡!小伙伴是不是开始有点好奇了?那不磨...

iphone密码忘了怎么办(教你几步解决小问题,不用刷机)

如果你在 iOS 设备上连续六次输错密码,你的设备将会被锁定,并且系统会显示提示设备已停用的信息。就在前几天,有用户就因为手机多次输错密码,而被锁定长达47年。 遇到 iPho...

开一个宾馆需要办理什么证件(开酒店需要办理的手续大全)

创业已经成为当下生活中年轻人群所热衷的趋势,因为一方面他们不愿意去遵守上班的按时按点,另外一方面创业的收入比一般上班要高很多。但是真正成为一名创业者之后,就会知道创业是多么不容易,而开酒店是很...

qq群怎么才能排名靠前,优化qq群排名第一技巧_QQ群

视频号掘金风暴,让你赢在2020年新起点!由于腾讯时时刻刻都在更新着自己的群排名算法,所以每天的群排名优化的方法也是不一样的,虽然腾讯的群排名时刻更新,但是毕竟和搜索引擎比如百度360这些还是有差距的...