欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

攻击者设置的“双重暗桩”:BalkanDoor后门和BalkanRAT远程访问木马分析

来源:本站整理 作者:佚名 时间:2019-09-03 TAG: 我要投稿

近期,我们在巴尔干地区发现了一个正在活跃的恶意活动,传播了两个具有相似目的的工具——一个被命名为BalkanDoor的后门,和一个被命名为BalkanRAT的远程访问木马。
BalkanRAT使攻击者能够借助图形界面远程控制受感染的计算机(手动进行),BalkanDoor使攻击者可以通过命令行远程控制受感染的计算机(自动批量化控制)。ESET安全产品将其检测为Win32/BalkanRAT、Win64/BalkanRAT和Win32/BalkanDoor。
针对该恶意活动的典型受害者,使用恶意电子邮件作为其传播机制,最终在他们的计算机上部署了这些工具,每个工具都能够完全控制受感染的计算机。这种相当罕见的设置使攻击者可以选择以最合适的方式来指示计算机执行攻击者特定的操作。
该恶意活动的主题是税收。由于电子邮件的内容、包含的链接和诱饵PDF都涉及税收,因此证明攻击者显然是针对巴尔干地区组织的财务部门发动攻击。因此,尽管用于远程访问的后门和其他工具经常用于间谍活动,但我们认为这种特定的恶意活动具有财务方面的动机。
该恶意活动至少自2016年1月开始活跃,直至本文撰写时。根据我们的遥测,最近一次检测到恶意活动活跃是在2019年7月。该恶意活动在2016年曾被塞尔维亚的安全研究员分析过,在2017年曾被克罗地亚的互联网应急中心(CERT)分析。然而,上述两次分析都是仅针对这两个工具的其中一个,并且只针对一个国家。然而,我们的研究表明,这二者的攻击目标以及攻击者使用的战术、技术和程序(TTP)存在巨大的重叠。
我们的研究结果表明,所有攻击都是经过精心策划的,我们认为其目标包括克罗地亚、塞尔维亚、黑山、波斯尼亚和黑塞哥维那。
在我们的研究中,还发现了该恶意活动中所使用的恶意软件的更多信息,并提供了一些北京信息。我们发现了一个新版本的BalkanDoor,它带有一种新的执行/安装方法:利用WinRAR ACE漏洞(CVE-2018-20250)。此外,我们已经发现两种恶意工具都使用开发人员付费获得的各种证书进行数字签名,以增加合法性。其中,颁发给SLOW BEER LTD的证书在撰写本文时甚至仍然有效,我们已经通知颁发机构有关滥用的情况,他们已经撤销了证书。
在本文中,我们将分析BalkanDoor和BalkanRAT的一些显著特征。我们的分析表明,前者作为Windows服务运行,允许其远程解锁Windows登录屏幕,无需密码,同时也无需启动具有最高权限的进程。后者滥用合法的远程桌面软件(RDS)产品,并使用额外的工具和脚本来隐藏其存在,例如隐藏窗口、托盘图标、进程等。
目标和分布
BalkanRAT和BalkanDoor都在克罗地亚、塞尔维亚、黑山、波斯尼亚和黑塞哥维那传播。上述这些国家与斯洛文尼亚和前马其顿共同组成了南斯拉夫国,该国在1992年解体。
恶意软件在不同国家的分布:

根据我们的遥测,传播这些工具的恶意活动自2016年开始,最近一次检测发生在2019年7月。
攻击者通过恶意电子邮件分发他们的恶意工具,其中包含指向恶意文件的链接。
用于分发BalkanDoor和BalkanRAT的恶意电子邮件中,包含一些伪装成官方机构合法网站的恶意链接。
在恶意活动中滥用的域名:
pksrs[.]com伪装成pks.rs,塞尔维亚工商会;
porezna-uprava[.]com、porezna-uprava[.]net伪装成porezna-uprava.hr,克罗地亚财政部税务局;
pufbih[.]com伪装成pufbih.ba,波斯尼亚和黑塞哥维那联邦税务管理局。
诱饵PDF中的内容与税收相关,该恶意活动中使用的诱饵PDF如下:
MIP1023.pdf (波斯尼亚语)税务表格
Ponovljeni-Stav.pdf (波斯尼亚语)税法
AUG_1031.pdf (波斯尼亚语)使用税务应用程序的指导
Zakon.pdf (克罗地亚语)税法
ZPDG.pdf (克罗地亚语)税法
诱饵PDF文档示例如下:

大多数情况下,指向可执行文件的链接会伪装成PDF的链接。可执行文件是一个WinRAR的自解压工具,其名称和图标已经被更改为与PDF高度相像的内容,以欺骗用户。在执行时,该文件会解压缩其内容,打开诱饵PDF(以防止怀疑)并静默执行BalkanRAT或BalkanDoor。
在2019年发现的一些新型BalkanDoor样本中,恶意软件以ACE压缩包的形式分发,伪装成RAR压缩包(非可执行文件),专门利用WinRAR ACE漏洞(CVE-2018-20250)。该漏洞已经在2019年2月28日发布的5.70版本WinRAR中实现修复,目前已知该漏洞经常被用于分发恶意软件。
基于漏洞利用的BalkanDoor部署比以前版本的恶意软件更为隐蔽,因为它不需要执行下载的文件,这种操作可能会引起受害者的怀疑。
恶意活动分析
根据我们的遥测,大多数时候,这两种恶意软件都会被部署在同一台主机上。这两种工具的组合为攻击者提供了命令行界面和受感染计算机的图形界面。
当整个工具集部署在受感染主机上之后,下面是攻击的示例场景:
攻击者通过BalkanDoor发送的屏幕截图或通过BalkanRAT的查看功能发现受害者的屏幕被锁定,因此很可能此时没有使用计算机。借助BalkanDoor后门,攻击者发送一个后门命令来解锁屏幕。再通过使用BalkanRAT,攻击者几乎可以在计算机上做任何想要的事情。
但是,即使受害者没有使用他们的计算机,但他们仍然有可能发现攻击者的活动。针对这个缺点,使用RDS工具可能会有所帮助。攻击者不受后门中提供的命令或其代码编写能力的限制,可以手动对被感染计算机进行控制。假如只有后门可用,那么攻击者需要编写大量代码来执行特定操作。
原则上来看。Balkan工具集可以用于间谍活动,针对其他可能的目标发动攻击。然而,综合考虑恶意活动的目标和分布,再加之我们对Balkan工具集的分析表明,攻击者目前正在追求经济收益,而并非间谍活动。
BalkanDoor后门没有设置任何外发通道。根据推测,如果该恶意活动是用于间谍活动,攻击者会需要一个外发通道来收集上传的数据,至少作为手动攻击的备份。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载