新型跨平台間諜軟體CrossRAT

概述：CrossRAT具備跨平台的特點，針對不同的系統平台進行不同的部署感染，使得病毒具備較強的平台感染性，具有較大的潛在感染能力，感染目標系統後會進一步部署持續性感染策略，使得目標主機在不經意間便淪為攻擊者的「肉雞」，該程序實現了較多的遠程執行命令，具備了基本的遠程控制能力，包含了文件上傳下載，拷貝移動文件，遠程截屏監控等，且能夠利用自己實現的Run指令對目標主機進行進一步的攻擊，使得感染主機進一步淪陷。

該間諜程序的跨平台能力基於Java運行環境，針對不同系統平台進行了不同的感染策略部署，能夠在Windows，Mac和Linux這三大主流平台上進行持續性的感染策略部署，具備較強的隱藏性，且能夠接受較多的遠程執行命令，感染後的主機能夠執行遠程文件類命令操作，截屏監控操作，以及執行任意程序的操作，通過該病毒攻擊者可以基本控制感染主機，且有能力進行進一步的攻擊策略。

樣本詳細分析報告:

惡意程序啟動後會檢查當前操作系統種類，根據不同操作系統(Windows，macOS和Linux)將自身拷貝到不同的文件目錄下。例如在Windows平台，程序將拷貝自身到%temp%\目錄下。

圖1 程序啟動後的拷貝自身到指定目錄下

拷貝自身到指定目錄後便再次根據系統版本實現不同的持續性感染，使得該病毒在不同系統版本實現開機自啟動的持續性攻擊能力。

圖2 判斷系統版本並設置開機啟動

在Windows版本中通過將拷貝後的病毒文件目錄寫入開機自啟動註冊表中實現開機自啟動功能。

圖3 針對Windows系統的開機啟動設置

在Mac系統版本中病毒會在當前用戶的home目錄下新建一個/Library/LaunchAgents/.plist文件並將啟動病毒文件的配置寫入該文件實現病毒的開機啟動功能。

圖4 針對Mac系統的開機啟動設置

在不支持外接輸入設備的Linux系統中(大部分為伺服器)通過在當前用戶的home目錄下新建目錄/.config/autostart/並在該目錄下新建病毒啟動的配置文件.desktop寫入病毒啟動的配置信息實現病毒的開啟自動啟功能。

圖5 針對Linux系統的開機啟動設置

惡意軟體完成開機啟動配置後便會嘗試連接遠程C&C伺服器(flexberry.com:2223)，並檢查伺服器發送過來的命令。

圖6 遠程C&C伺服器信息以明文保存

當病毒從遠程C&C伺服器獲取到操作指令之後便會將本機的信息(例如系統名稱，操作系統版本，用戶名等信息)發送到遠程伺服器。

圖7 發送至遠程C&C伺服器的用戶信息

之後每隔5s便進行一次獲取遠程C&C伺服器響應的操作，本次主機接收到操作碼後便會執行後續指定的惡意行為。

圖8 每隔5s進行一次通訊操作

該病毒的發送的命令格式為「受害者感染主機的UID +「$#@」 + 指令序列(如@0009)+ 「$#@」 + 感染主機IP地址 +「$#@」 + 感染主機系統名 + 「$#@」 + 感染主機系統版本」 + 「$#@」 + 感染主機主機用戶名 +「$#@」 + 感染病毒的版本號(如0.1)+ 「$#@」 + 感染病毒的組別(如GROUP2)+ 「$#@」 + 」&&&」(結束符) 」，該病毒所實現的遠程命令如下：

圖9-1 間諜程序實現的遠程命令

圖9-2 接收到的命令後執行對應的函數

該病毒的Rundll指令(@0009)，該指令對應於反編譯變數k.v，其中接收到該指令後，便會啟動攻擊者指定的可執行文件，其中在Windows平台利用rundll32 url.dll,FileProtocolHandler指令來執行後續給定的.exe文件，從而執行攻擊者給定路徑的任意exe文件。而在其他平台(Mac和Linux)則利用Desktop.getDesktop().open(localFile)來執行指定的文件。

圖10-1 rundll32 url.dll,FileProtocolHandler命令示例

圖10-2 根據不同平台執行指定的程序

該病毒的截屏指令(@0008)，該命令對應於反編譯的變數k.u，具體代碼位於反編譯的j.class文件中，通過java.awt.Robot().createScreenCapture方法來實現屏幕截圖，然後將截圖保存為.jpg文件並後續發送給遠程伺服器。

圖11 截屏監控功能

該病毒的網路數據心跳回應指令(@0007)，該命令對應於反編譯的變數k.t，代碼位於反編譯文件的g.class，該指令用於立刻向伺服器端發送指定格式的數據包以驗證主機是否在線，發送數據包格式「感染主機UID +「$#@」 + 「@0001」 + 「$#@」 + 「&&&」」。

圖12 發送心跳數據包功能

該病毒的讀文件指令 (@0006)，該命令對應於反編譯的變數k.s，代碼位於反編譯文件的d.class文件中，通過localDataInputStream.read()讀取本地文件。

圖13 讀指定文件功能

該病毒的寫文件指令(@0005)，該命令對應於反編譯的變數k.r，通過localDataOutputStream.write()方法將指定的內容寫入文件中。

圖14 寫指定文件功能

該病毒的移動文件指令(@0004)，該命令對應於反編譯的變數k.q，代碼位於反編譯文件中的h.class文件中，在h.class文件中實際又調用了b.class文件中的方法，實現了文件的移動功能。

圖15 移動文件功能

該病毒的拷貝文件指令(@0003)，該命令對應於反編譯的變數k.p，代碼位於反編譯文件b.class中，通過一系列的文件和目錄判別後拷貝指定文件到指定目錄下。

圖16 拷貝文件指令

該病毒的創建目錄指令(@0002)，該命令對應於反編譯的變數k.o，位於反編譯文件的a.class中，通過localFile.mkdir()實現創建文件目錄的功能。

圖17 創建目錄功能

該病毒的遍歷磁碟文件指令(@0001)，該命令對應於反編譯的變數k.n，位於反編譯文件的c.class文件中，遍歷磁碟驅動器的所有文件和文件目錄。

圖18 遍歷磁碟文件功能

該病毒的遍歷系統/root/目錄文件指令(@0002)，該命令對應於反編譯的變數k.m，位於反編譯文件的e.class和f.class文件中，通過listRoots遍歷系統/root/目錄下的所有文件和目錄。

圖19 遍歷系統root目錄文件功能

該間諜軟體由於其出眾的跨平台能力使其具備較大的利用價值，通過針對主流的三大系統進行感染部署，利用該1.0版本的功能，基本能夠控制遠程主機完成一定程度的入侵任務，且該間諜軟體實現了遠程執行等命令，具備進一步部署攻擊者武器的能力，感染主機可能會因此遭受更加巨大的損失。

如何檢測系統是否已經被感染

Windows：查看啟動註冊表項(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\）是否有名為mediamgrs的表項，若存在則證明主機已被感染。

Mac：在~/Library中是否有mediamgrs.jar文件，且檢測~/Library/LaunchAgents/mediamgrs.plist文件是否存在。

Linux：在/usr/var/中檢查是否有mediamgrs.jar文件，且檢測~/.config/autostart/mediamgrs.desktop文件是否存在。

如何防治此類攻擊

安裝殺毒類軟體，江民殺毒能夠有效準確檢測此類程序，防止用戶遭受此類間諜程序入侵。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！