TSCookie惡意軟體分析鵬越·安全

最新 03-10

1、前言

2018年1月17日左右，社交媒體出現了關於惡意郵件攻擊的一些報道，涉及日本各行各業，比如教育、文化、體育、科學以及技術部門。郵件中包含指向「TSCookie」惡意軟體的URL地址（趨勢科技將這個惡意軟體標記為「PLEAD」。由於PLEAD也是某個攻擊組織的名稱，因此我們在本文中將這款惡意軟體標記為TSCookie）。TSCookie最早的活躍期可以追溯到2015年，研究人員懷疑「BlackTech」這個攻擊組織與此次攻擊活動有關。JPCERT/CC證實，使用這款惡意軟體的攻擊組織之前已經發起過針對日本各種組織的攻擊活動。本文介紹了我們對TSCookie的分析結果。

二、TSCookie概述

TSCookie的執行流程如圖1所示。

圖1. TSCookie概述

TSCookie本身只充當了下載器（downloader）功能，從C&C伺服器上下載其他模塊後，惡意軟體就能拓展自己的功能。我們所分析的這個樣本會下載一個DLL文件，這個DLL文件具備各種功能，其中就包括滲透功能（下文簡稱為「TSCookieRAT」）。惡意軟體只會在內存中執行已下載的模塊。

下文中我們會詳細介紹TSCookie以及TSCookieRAT的具體行為。

三、TSCookie行為分析

TSCookie使用HTTP協議與C&C伺服器進行通信，也會下載一個「模塊」以及用來載入模塊的一個「載入器」。惡意軟體在資源區中嵌入了一個加密的DLL文件。當惡意軟體執行時，就會將該DLL文件載入到內存中並加以執行。DLL文件會執行一些主要函數，比如與C&C伺服器通信（某些情況下，主要函數並沒有經過加密處理，會直接存放在惡意軟體中。此外，還有一些樣本會啟動另一個進程，注入加密過的DLL文件）。惡意軟體中包含一些配置信息（比如C&C伺服器信息），這些信息經過RC4演算法加密處理。大家可以參考附錄A了解這些配置的詳細信息。

TSCookie剛開始時會發送一個HTTP GET請求，如下所示。發出去的消息經過編碼處理，嵌入在頭部中的Cookie欄位。

Cookie欄位中包含的信息也經過RC4加密處理過（加密密鑰為頭部中的Date欄位值）。大家可以參考附錄B表B-1了解數據格式。

HTTP GET請求所獲取的數據經過RC4加密處理，加密密鑰為一個8位元組值，由配置信息中的固定值（參考附錄A表A-1）以及發送數據中的某個值（根據系統信息生成的4位元組值，參考附錄B表B-1）所組成。這段數據中包括用於模塊載入的載入器。

隨後TSCookie會下載一個模塊。下載模塊的HTTP POST請求如下所示。

發送的數據也經過RC4加密處理（加密密鑰為頭部中的Date欄位值）。大家可以參考附錄B表B-2了解數據格式。HTTP POST請求所收到的數據同樣經過RC4加密處理，所使用的密鑰值與HTTP GET請求中的密鑰值一樣。惡意軟體會將下載的模塊載入到內存中，然後調用HTTP GET請求所獲取的載入器來執行這個模塊。

四、TSCookieRAT行為分析

TSCookie在載入TSCookieRAT時會附帶一些參數，比如C&C伺服器信息等。在執行時，TSCookieRAT會通過HTTP POST請求將被感染主機的信息發送給外部伺服器（HTTP頭部格式與TSCookie的一樣）。

這些數據從最開頭到0x14處都經過RC4加密處理（加密密鑰為頭部中的Date欄位值），後面跟的是被感染主機的信息（主機名、用戶名、操作系統版本等）。大家可以參考附錄C表C-1了解數據格式。

發送的數據如圖2所示。