UBoatRAT分析报告:Unit42 发现一种在东亚地区活跃的新型远程控制木马

背景介绍

Unit42威胁情报团队近期跟踪到一个新型的远程访问木马(Remote Access Trojan,RAT),并将其称之为UBoatRAT。该RAT最早于2017年5月份被发现,初期是一个简单的HTTP后门,使用了一个主机位于香港的公共博客服务和一个位于日本的被感染Web服务器作为C&C基础设施。持续观察发现,UBoatRAT的开发人员很快在代码中添加了许多新特性,并在六月发布了更新版本。截止到9月份,发现UBoatRAT的最新变种具有以下特征:

  • 目标是与韩国或视频游戏产业有关的人员或组织
  • 通过Google Drive分发恶意软件
  • 从GitHub获得C&C地址
  • 利用Microsoft Windows的后台智能传送服务 (BITS)来维护持久性。

UBoatRAT的攻击目标

到目前为止,虽然尚不能断定UBoatRAT攻击活动的确切目标,但研究人员推测攻击目标是韩国或视频游戏产业相关的人员或组织。原因之一是攻击者在交付恶意软件时使用的文件名中,包含了韩国游戏相关的信息,如一个韩国游戏公司的名称和一些在视频游戏业务中使用的词汇。此外,UBoatRAT只活跃在加入了Active Directory域的计算机上,而大多数家庭用户系统并不会组建域,因此大多数家庭用户的计算机不会受到影响。

下面是一些UBoatRAT交付的相关文件的样例,其中前三个文件名是用韩文写的,主题是一般的公司业务话题,最后一个文件名包含了“Project W”字样,这是韩国游戏厂商蓝洞(Bluehole)正在研发的一款新游戏的名称。

  • 2017년 연봉인상 문의 사항관련 피드백 조사.exe (2017 年度加薪反馈调查报告)
  • 2017년 연봉인상 문의 사항관련 피드백 전달.exe (2017 年度加薪反馈调查)
  • [사업]roykim’s_resumeexe ([Business]RyoKim’s__resume__20170629.exe)
  • [Project W]Gravity business cooperation.exe

图1:《Project W》首张宣传图

交付和安装

观察发现多个UBoatRAT变种通过Google Drive进行分发的(*Google Drive是谷歌公司推出的一项在线云存储服务),调查过程中有些链接已经失效,但有些链接依然是活跃的,如下图所示:

图2:从Google Drive下载恶意程序

Google Drive上的ZIP归档文件包含伪装成文件夹或微软Excel扩展表的恶意的可执行文件。在七月下旬及之后分发的UBoatRAT变种伪装成了微软的Word文档文件。

图3:UBoatRAT伪装成文件夹、Excel或Word文档的例子

在执行时,UBoatRAT会检查一下被感染主机的两个条件:

  • 检查一下是否是虚拟化环境,如VMware、VirtualBox或QEMU
  • 从网络参数中获取域名

如果检测到所处系统是虚拟环境或无法获得域名,恶意程序就会显示出一个虚假的错误消息并退出。

图4:虚假的错误消息

如果通过了检测,那么UBoatRAT会拷贝自身,生成C:\programdata\svchost.exe这一可执行文件,创建批处理程序C:\programdata\init.bat并执行。然后显示下图所示的消息并退出。

图5:安装后现实的虚假错误消息

利用BITS完成持久化

UBoatRAT利用Microsoft Windows后台智能传输服务(Background Intelligent Transfer Service,BITS)达到持久化的目的。后台智能传送服务 (BITS) 在微软提供的一种服务,用于系统前台或后台异步传输文件,控制传输流量以保持其他网络应用程序的响应能力,并在传输会话中断(例如,由于断开网络连接或重新启动计算机)时自动恢复文件传输。BITS最常用的场景是Windows Update,但其他应用程序或用户也可以利用该组件。

Bitsadmin.exe是一个命令行工具,用户可以用它来创建和监控BITS任务,该工具提供了一系列选项,其中“bitsadmin /SetNotifyCmdLine”的作用是设置作业完成传输数据或作业进入状态时将运行的命令行命令。UBoatRAT就利用了/SetNotifyCmdLine选项来确保它在系统重新启动后仍能运行,其语法示例如下:

bitsadmin /SetNotifyCmdLine <Job><ProgramName>[] ProgramParameters

init.bat 文件的内容如下所示:

bitsadmin /create d1f2g34

bitsadmin /addfile d1f2g34 c:\windows\system32\net.exe %temp%\sys.log

bitsadmin /SetNotifyCmdLine d1f2g34 “c:\programdata\svchost.exe” “”

bitsadmin /Resume d1f2g34

Del %0

第二行的作用是将本地文件net.exe添加到制定的%temp%sys.log,复制完成后,完成复制本地文件后,依照第三行代码的指示,BITS执行UBoatRAT文件。

这样一来,即使计算机被重新启动,BITS也会定期的执行恶意文件。要从队列中删除该作业,需要显式地调用Complete方法或Cancel方法。微软的官方文档显示,如果用户不这么做,该作业会默认工作90天。

C&C通信和后门命令

UBoatRAT背后的攻击者获取C&C的方式比较隐蔽,需要利用到一个托管到GitHub上的某个文件的信息,GitHub的URL地址示例如下:

https://raw.githubusercontent[.]com/r1ng/news/master/README.md

恶意软件访问上述URL地址,得到一串字符“[Rudeltaktik]MTUzLjEyMC4xMjkuNDk6NDQz!”,使用Base64对“[Rudeltaktik]”和“!”之间的字符串“MTUzLjEyMC4xMjkuNDk6NDQz”进行解码,得到了“153.120.129.49:443 ”。

有趣的是,Rudeltaktik是一个德语,“群狼战术”的意思,是第二次世界大战中德军对大西洋上的盟军商船和美国对太平洋上的日本运输船所使用的潜艇战术,战术是以多艘潜艇集结攻击,使得通商破坏战的成果大幅提升。

UBoatRAT使用了一个自定义的C&C协议与攻击者的服务器进行通信。恶意软件的有效载荷或指令以字符串“488”(十六进制0x34、0x38、0x38)开头,并使用一个静态密钥0x88通过简单的异或加密算法对整个缓冲区进行加密,网络有效载荷总是以0xBC, 0xB0, 0xB0开头:

图6:“488”标记

图7:用静态密钥加密过的“488”标记

推测,攻击者挑选“488”也是源于德国二战时U型潜艇的典故:U-488

*U型潜艇(Untersee-boot)特指在第一次和第二次世界大战中,德国使用的潜艇。由于德国潜艇的编号都使用德文“Untersee-boot” 意思(英文为U-boat)的首字母U加数字命名。

除此之外,恶意软件的制作者还将该远控工具命名为UBoat-Server,如下图所示:

图8:恶意软件中的“UBoat_Server”

建立好C&C的隐蔽通道之后,攻击者可能会发送以下后门命令:

*注释:使用EVENTVWR.EXE和注册表劫持实现“无文件”UAC绕过

UBoatRAT的发展

在写这篇文章的时候,研究人员已经确定了14个UBoatRAT的样本和一个与攻击活动相关的下载器。大多数UBoatRAT样本是通过GitHub的 C&C地址分发的,对此前文已有叙述。不过有一个例外,那就是最初5月份发现的样品,它通信的远程C&C服务器是一个位于香港的公共博客服务平台和一台日本的被入侵的合法的Web服务器,该样本使用常规HTTP协议进行通信,公共的博客的账号名名为 “elsa_kr”,自2016年4月起就一直存在,发布的都是一些无意义的内容,如下图所示:

图9:作为C&C的公共博客

UBoatRAT的制作者在六月份发布了一个新版本,增添了一些新的功能。这个新变种的早期版本从一个“uuu”的代码库(Github账号的作者是“elsa999”)中获得C&C地址信息,但目前该仓库已经被删除,由另外三个库所替代,它们分别是“uj”、“hhh”和“enm”。历史记录现实,恶意软件的作者从7月份起就经常更新这些文件,经过分析可以断定,这三个代码仓库主要用于开发和测试任务,原因如下:

  • 它们使用了不同的标记,用“###NEWS###”替代“[Rudeltaktik ]”;
  • 编码过的所有IP地址,与已知的UBoatRAT样品的地址不同;
  • 作者经常将编码的地址临时变成本地IP(127.0.0.1)。

图10: Github上的测试帐号

“elsa999”这个账号下还有一个“powershell”仓库,里边包含三个PowerShell脚本:

  • gpp_autologon.ps1
  • gpp_pwd.ps1
  • wmi_scan.ps1

上述脚本都是由其他作者编写的,是渗透测试过程中使用的工具。

结论

虽然UBoatRAT最新的一个版本是在九月发布的,但我们看到Github上“elsa999”账号在十月份有很多代码更新操作,恶意软件的作者似乎仍在不断的开发或测试这些恶意软件,因此,又必须继续监测这项活动的最新情况。

关于MottoIN

MottoIN专注于跟进最新的、有针对性的网络攻击活动,主要为企业提供以下几种安全服务:

  • 及时跟踪国内外最新的APT攻击活动,熟知网络攻击的最新特征,包括攻击者使用的工具、技术和程序,为客户输出有针对性的威胁预警报告;
  • 实时监控地下论坛和暗网中的各类威胁情报,为客户提供专项的数据安全分析报告;
  • 大数据积累,智能预警分析,整合全球范围内活跃的APT组织的相关指标,考虑地缘政治风险和区域内部的各项威胁指标,为客户提供全面的风险评估报告;
  • 提供全面的安全咨询服务,根据客户的需求,提供业内最佳解决方案。

UBoatRATIoCs

UBoatRAT SHA256

bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5


Downloader SHA256

f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3


相关Web页面

https://raw.githubusercontent[.]com/r1ng/news/master/README.md

https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md

http://www.ak(masked)[.]jp/images/ http://elsakrblog.blogspot[.]hk/2017/03/test.html

C&C

115.68.49[.]179:80

115.68.49[.]179:443

60.248.190[.]36:443

115.68.52[.]66:443

115.68.49[.]180:443

122.147.187[.]173:443

124.150.140[.]131:443

恶意文件

C:\programdata\init.bat

C:\programdata\svchost.exe

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/107327.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code