欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解码Gh0st RAT变种中的网络数据

来源:本站整理 作者:佚名 时间:2018-05-07 TAG: 我要投稿

在今年3月份的一次取证调查中,我们找回了一些文件。经过我们初步的判定,这些文件极有可能与一个知名组织Iron Tiger有关。
从我们的研究分析中,我们认为攻击者在此次攻击中并没有使用任何高级的攻击技术。实际上,攻击者的主要目标是挖掘加密货币。在调查中,我们还发现了一些攻击者使用过的工具,例如password dumpers,Monero加密货币矿工,可移动可执行(PE)注入器,以及Gh0st RAT的修改版。尽管Bitdefender和TrendMicro已发布了对该组织使用的一些工具的详细描述报告[1] [2],但我们却并没有找到对此特定修改版本Gh0st RAT的任何引用和参考信息。因此,这篇文章的目的就是向大家简要描述,该组织所使用的Gh0st RAT修改版。
恶意payload
首先,一个位于C:\ProgramData中的一个新文件夹下并以随机名称命名的恶意可执行文件会被执行。该文件一旦执行,就会删除一个批处理文件(install.bat)和一个cabinet文件(data.cab)。cabinet文件包含两个文件:部分加密的恶意shellcode和将执行恶意shellcode的动态链接库(DLL)。然后恶意可执行文件将执行批处理文件,该文件将解压缩并执行DLL文件。权限维持主要是通过创建新服务或新注册表项来实现的,具体取决于恶意软件具有的权限。一旦将执行传递给shellcode,它将使用单个字节作为eXclusive OR(XOR)循环中的密钥,来解密其余的加密数据。解密后,我们可以看到以下的字符串:
Microsoft.Windows.BNG|[C&C IP address]:443;|1;1;1;1;1;1;1;|00-24;|1
shellcode的主要目标是在内存中加载和执行攻击者的插件。
被修改的Gh0st RAT
在分析以前的文件时,我们发现了一个名为’Plugins’的文件夹,里面有一些有趣的DLL和两个需要执行密码的文件(如下图所示)。

逆向分析后,我们发现密码没有被硬编码。 相反,密码基于当前的年份和月份。例如,2018年3月份的密码是’201803′。
第一个名为’Noodles’的文件,似乎是基于编译日期和功能的Gh0st RAT旧的修改版本。名为’Mozilla’的第二个文件是用于此次攻击的主要工具。我们可以在下面看到两个面板的外观:


目前,这两种工具都可以侦听任何给定的端口,但只有’Mozilla’可以连接到绑定端口。支持的协议包括安全套接字层(SSL)和传输控制协议(TCP)。列表中其中一个协议被命名,但目前还不支持,并显示错误消息。这可能表明这个工具仍在开发中,并且计划增加额外的功能。

另外,对Mozilla工具的分析确定了二进制内的程序数据库(PDB)路径:
K:\Mozilla\Mozillav6.0.x_dll\WorkActive\Release\Mozilla.pdb
该工具严重依赖于插件。 当有新的受害者连接时,攻击者可以使用PluginManager将新插件加载到受感染的机器。

大多数可用的插件都基于Gh0st RAT源码,并且可以在下面找到它们的摘要:

网络通信
受害者和攻击者之间的网络流量使用Rivest Cipher 4(RC4)加密。密钥对于每个请求都是唯一的,并且使用’XOR’和’AND’指令进行加密。密钥存储在请求的前28个字节中。我们编写了一个Python脚本,将网络捕获(PCAP)作为输入并对其进行解密,你可以在我们的Github存储库中找到它:https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/gh0st_variant_c2
例如,下面我们可以在名为sent的机器上看到受害者和C2服务器之间的初始连接,
数据到服务器..
[i] Found key: C8410061440A01c762FA9000
00000000: 0501570049004E00  2D00510047004F00  ..W.I.N.-.Q.G.O.
00000010: 3400430051004E00  49004F004E003500  4.C.Q.N.I.O.N.5.
并且在PE文件的独特开头下面可以看到,因为插件已被传送到客户端。
数据到客户端..
[i] Found key: C841006804EC089c84EA9020
00000000: 4D5A900003000000  04000000FFFF0000  MZ..............
00000010: B800000000000000  4000000000000000  ........@.......
00000020: 0000000000000000  0000000000000000  ................
00000030: 0000000000000000  00000000F0000000  ................
00000040: 0E1FBA0E00B409CD  21B8014CCD215468  ........!..L.!Th
00000050: 69732070726F6772  616D2063616E6E6F  is program canno
00000060: 742062652072756E  20696E20444F5320  t be run in DOS
00000070: 6D6F64652E0D0D0A  2400000000000000  mode....$.......
IOCs
命令和控制(C&C) IP:
23.227.207.137
89.249.65.194
恶意文件目录:
C:\ProgramData\HIDMgr

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载