當前位置:
首頁 > 新聞 > Revenge RAT惡意軟體升級版來襲

Revenge RAT惡意軟體升級版來襲

新聞 02-17

一、摘要

Revenge RAT惡意軟體變得越來越隱蔽,歸因於其異常先進的分發技術和基礎設施。最近,Cofense IntelligenceTM觀察到此廣泛使用的遠程訪問木馬進行了升級,這有助於它訪問網路攝像頭、麥克風和其他實用程序,因為Revenge RAT進行了重新調整並試圖在目標計算機上獲得立足點。當它成功時,RAT可以大大增加威脅行為者的破壞力,其中包括通過鍵盤記錄器或其他間諜軟體監控用戶行為、竊取個人信息以及分發其他惡意軟體。

由於冗餘的命令和控制基礎架構被標記為合法內容,威脅行為者可以在不將文件保留在磁碟上的情況下分發Revenge RAT樣本。Revenge RAT使用帶有Office宏的Microsoft Office Excel工作表來感染目標。腳本在定製的blogspot.com頁面的HTML中運行。複雜的感染鏈,專註於維持持久性以及逃避檢測的策略,構成了複雜的威脅。

二、細節

Cofense Intelligence最近發現了一個分發Revenge RAT的電子郵件活動,該活動在其傳遞技術和持久性機制方面表現出明顯高出正常水平的先進性。Revenge RAT是一種簡單且免費提供的遠程訪問特洛伊木馬,它允許威脅攻擊者遠程訪問系統組件(如網路攝像頭、麥克風和其他各種實用程序)之前自動收集系統信息。這可以使威脅行動者進行偵察並為進一步的活動建立灘頭陣地。在此活動中,威脅參與者使用冗餘的命令和控制基礎設施偽裝成合法內容,以便在不將文件留在磁碟上的情況下分發Revenge RAT樣本。

此活動的初始感染媒介是帶有Office宏的Microsoft Office Excel工作表,該宏使用mshta.exe來運行腳本,這些腳本嵌入在特製的blogspot.com頁面的HTML中。頁面29 [.] html包含兩個不同的腳本部分。腳本創建計劃任務,還可以獲取、解碼和執行Revenge RAT的副本。

三、深入分析

在圖1所示的示例腳本中,第一個任務(「MS-OFFICE」)設置為每10分鐘運行一個託管在pastebin上的輔助命令和控制位置的腳本(urGHE2PF)。

圖1:29[.]html上的代碼調度第一個任務——運行pastebin上的一個腳本

圖2中的第二個任務(「MSOFFICEER」)每100分鐘運行同一博客blog-page[.]html上不同頁面的腳本。

圖2:去混淆代碼調度第二個任務——運行嵌入在博客頁面中的腳本

嵌入在29[ .] html中的腳本的最後一節下載Revenge RAT並將二進位文件注入正在運行進程的內存中,如圖3所示。

圖3:嵌入在29[.]html中的腳本代碼用於下載和運行Revenge RAT

圖4中顯示的腳本幾乎與29 [.] html(圖3)中腳本所使用的內容完全相同,唯一的區別是沒有睡眠命令和使用「forfiles」實用程序。

圖4:用於下載Revenge RAT並將二進位文件注入內存的類似代碼

最後,blog-page [.] html的腳本安排相同的任務(「MSOFFICEER」)來運行自己。此實例中使用的Revenge RAT不會釋放到磁碟,而是使用「Reflection.Assembly」 PowerShell命令載入到進程的內存中。 類似的方法也用於執行命令和控制位置的腳本,而不是將腳本釋放到磁碟然後運行。通過調度任務在內存而不是磁碟上運行腳本和二進位文件,威脅行為者可以規避某些傳統的檢測方法。

四、隱藏的內容

此活動中使用的主要命令和控制位置託管在blogspot [.] com上的博客上,該博客使威脅行為者能夠將其惡意內容隱藏在合法服務之後。即使在瀏覽器中直接訪問網頁,也沒有任何可見的惡意內容(圖5)。

圖5:在瀏覽器中訪問時blog-page[.]html網頁

惡意內容無法在瀏覽器中運行; 它僅在使用mshta.exe時運行,這也會阻止大多數Web調試程序識別內容。只有通過查看這些頁面的源代碼,才能看到惡意內容(圖6)。

圖6:嵌入在blog-page [.] html網頁中的腳本

如圖7所示,解碼後圖6中所示的腳本顯示了與我們在圖2中看到的相同的代碼,該代碼調度了頁面內容的執行。

圖7:與圖2相同的去混淆代碼

blog-page[.]html中有一個腳本的內容為空。通過反覆「自我調度」執行blog-page[.]html執行,威脅行為者確保他們添加到此空腳本部分的內容也將被執行。腳本自我調度以及反覆嘗試下載和執行Revenge RAT二進位文件會明顯加強此感染的持久性。 在這兩種情況下,威脅行為者可以根據需要,隨時修改託管內容,例如在基礎結構故障或有效載荷更改之時。頻繁檢查可確保快速執行所做的任意更改,重複嘗試運行Revenge RAT二進位文件幾乎可以確保,即使進程終止,RAT也將很快再次運行。

五、意義

複雜的感染鏈,冗餘的指揮和控制基礎設施,專註於維持持久性,並試圖規避檢測,表明此行動明顯高於平均水平。高水平的複雜性需要更高水平的專業知識和對企業面臨威脅的更多理解。 通過培訓員工警惕威脅,企業可以更好地保護自己。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

TAG:嘶吼RoarTalk |