源自瑞典18岁少年、一个售价高昂的恶意软件:远程访问恶意软件Blackremote分析

41yf1sh 恶意软件 2019年10月20日发布
Favorite收藏

导语:在本篇文章中,我们对RAT的管理工具和生成工具进行分析,同时还分析了客户端恶意软件,并记录了其背后的瑞典攻击者,揭示了其恶意软件的推广与销售过程。我们还发现这种RAT已经在野外的恶意攻击者被使用。

摘要

9月,在研究流行的商品化远程访问工具(RAT)的过程中,Unit 42的研究人员发现了一种新型、未曾发现过的RAT,在其公开出售的第一个月内,我们在超过2200次攻击中发现了近50个恶意样本。在本篇文章中,我们对RAT的管理工具和生成工具进行分析,同时还分析了客户端恶意软件,并记录了其背后的瑞典攻击者,揭示了其恶意软件的推广与销售过程。我们还发现这种RAT已经在野外的恶意攻击者被使用。

RAT不断升级

在2019年9月的第一周,攻击者开始使用Speccy和Rafiki帐户在地下论坛推广他的新型RAT(如下图所示)。发帖内容非常简单,直接指向了他们的销售网站blackremote[.]pro。

1.png

在同一周,攻击者发布了一个YouTube视频,其中包含如何部署RAT的说明。

2.png

在YouTube的说明中,包括指向他个人网站speccy[.]dev的链接。在视频中,攻击者声称“这个RAT在运行过程中完全不会被检测到”,其中包含一个“购买FUD加密程序”的链接。如果是合法软件,没有任何理由会宣称其“不会被检测到”或“被加密”,而恶意软件则经常会用上述两种方式来防止被反恶意软件产品检测到。

YouTube上面的描述:

3.png

关于blackremote[.]pro

Blackremote RAT的销售站点blackremote[.]pro是在2019年8月19日注册的。

4.png

Speccy描述了他的RAT:

“Black Remote Controller PRO是功能强大且完善的系统远程管理套件。借助其中包含的诸多功能,它可以为我们提供对远程计算机的完全访问和控制权,可以实现远程监控、访问或操纵每个活动和数据,就像坐在电脑面前一样!”

与这个地下论坛中推广的其他恶意RAT一样,Speccy建议将该软件用于合法目的:
“该工具非常适合需要在特定系统上进行远程访问、监控和进行远程操作以满足各种各样需求的用户,包括专业管理员、父母控制、取证、监护、远程协助。Black将为用户提供一种能远程实现所有功能的出色工具。”

但是,根据他们在宣传过程中提到的“无法检测”、“加密”等特性,以及功能中所包含的“密码恢复”、“有趣的功能”,我们认为这一软件倾向于恶意软件。

5.png

Speccy和其他商品化的RAT相比售价较高(如下图所示)。31天授权证书的价格为49美元,93天授权证书的价格为117美元,一年授权证书的价格为438美元。

6.png

购买过程使用各种加密货币进行交易,使用第三方支付服务vsell[.io]。

7.png

特征

在网站上,列出了这一RAT的详细功能

#远程桌面

以令人难以置信的低延迟实时查看远程桌面,支持截图、录制.avi视频、控制鼠标设备等功能,支持多个屏幕。

#远程文件管理器

在远程主机的所有驱动器、文件和文件夹中,以最快的速度自由访问,能对任何类型的文件进行操作。

#远程网络摄像头

可以保护个人财产、监控、父母控制,该功能可以实现多种需求。支持拍摄照片,或将视频录制为.avi文件。

#文件传输

从远程计算机上传或下载任何数据。支持断点续传,没有传输速度的限制。

#按键记录

实时或离线模式下记录击键,然后检索日志。支持所有键盘输入法,包含关键字搜索功能。

#服务管理

能列出远程计算机上所有已经停止的或正在运行的服务,并能通过点击运行服务或停止服务。

#进程管理

监控远程计算机上所有正在运行的进程,支持终止进程、暂停进程、恢复进程,或设置特定进程启动后的告警。

#远程音频

监听远程主机的麦克风设备,非常适合监听或收听远程用户交流的内容。

#注册表编辑器

浏览远程计算机上完整的Windows注册表,检索或修改任何键或其中的值,支持创建新的键值。

#聊天系统

可以创建一个与远程计算机用户的初始化聊天会话,以寻求帮助或进行其他特定的操作。

#关机/重启/注销系统

能够根据需要远程注销、重新启动或关闭计算机。

#系统消息

创建完全自定义的系统消息、警报和提示信息,并在远程主机上弹出显示。

#下载工具

提供自定义的网址,该功能可以从指定的URL下载并执行任意文件,保存到特定路径并执行。

#密码恢复

获取所有保存在远程计算机、浏览器、邮件客户端的密码,同时也支持获取特定应用程序的密码。

#TCP连接监控

监控远程计算机出入站的所有活动TCP连接,能够按照端口、进程进行阻止,支持立即阻止。

#访问网站

能够启动任何网站页面,以获得支持或满足其他任何特定需求。

#剪贴板管理器

访问、读取、写入或编辑远程计算机剪贴板内容。

#脚本工具

远程创建和执行脚本,支持VBS、HTML、BATCH、PowerShell。

#启动项管理

管理所有远程计算机的系统启动项,可以通过多种方式进行添加、删除和修改。

#远程Shell

能够访问远程计算机的Shell,几乎对完成任何复杂任务都显得至关重要。

#Windows管理器

能够管理远程计算机上任何打开的窗口、可见窗口或隐藏窗口,对其进行关闭、最大化、最小化、隐藏、显示、阻止等操作,支持任何交互。

#已安装的软件

查看系统上已经安装了哪些软件,对于了解如何部署远程环境非常重要。

#Host文件

该文件对于Windows系统起着至关重要的作用,它能够重定向、阻止、转换、关联IP或主机地址。自定义主机文件,有时对于阻止某些网站访问来说至关重要。

#管理客户端

该模块支持众多功能,可以修改、更新、重新启动、终止已经安装的客户端文件。客户端编辑器将允许我们自定义文件。

管理工具/创建工具

购买者将获得Blackremote管理工具/创建工具软件的Sendspace下载链接,以及6 MB大小RAR的解压缩密码。

在对管理工具/创建工具进行解压缩后,将会安装9 MB大小的核心可执行文件BLACK-RC.EXE、两个资源库以及带有两个.wav文件的资源目录。

管理工具/创建工具的注册和登录:

8.png

在加载管理工具/创建工具后,将会为用户提供一个注册/登录页面(如上图所示)。Blackremote利用了第三方“CodeVEST”授权系统,该系统同样也在地下论坛进行售卖。授权系统通过连接到codevest[.]sh来进行验证。“CodeVEST”似乎目前已经取代“Netseal”,成为商品化恶意软件广泛使用的注册服务。“Netseal”的作者Taylor Huddleston在2017年因销售商品化恶意软件“Nanocore RAT”而被指控。提供“CodeVEST”授权服务的人员也从名为“Cyber Seal”的加密服务中获取收益。这一点表明,在黑产的生态系统中,不仅包含商品化恶意软件的卖方,还包括一些服务提供商。恶意软件作者可以购买其他的授权服务以及加密服务,以保证其开发的恶意软件可以有效售卖,同时保证恶意软件难以被检测出来。

CodeVEST:

9.png

Blackremote管理工具/创建工具允许用户根据其配置,构建新的客户端恶意软件,并控制来自那些受感染客户端的连接。

Blackremote管理工具/创建工具:

10.png

管理工具/创建工具允许用户定义客户端连接时的自定义操作、连接日志以及与连接的客户端进行交互的具体内容。

连接选项:

11.jpeg

连接日志:

12.jpeg

活动连接:

13.jpeg

Speccy声称的客户端控制功能,在已连接客户端的上下文菜单中已经出现。

控制客户端:

14.png

Speccy目前正在积极开发这一恶意软件。根据更改日志来看,定期会有一些改进,例如新增加的客户端权限提升(如下图所示)。

Change Log:

15.png

客户端分析

我们注意到,存在时间段相似的不同样本,它们具有相同的文件大小。我们由此怀疑,无论动态内容(例如C2信息,或不同的RAT选项)是什么,客户端创建过程中的混淆过程都可能会使特定Blackremote版本的所有客户端文件大小相同。

通过使用多个混淆工具(包括Agile.NET、Babel .NET、Crypto Obfuscator、Dotfuscator、Goliath.NET、SmartAssembly、Spices.Net和Xenocode),创建工具和客户端都受到了严格的保护。

野外传播情况

尽管Blackremote是一个新型威胁,但截至本报告发布时,我们已经看到这一恶意软件已经用于实际攻击之中。在Speccy开始销售Blackremote RAT的一个月后,我们在针对Palo Alto Networks客户的2200多次攻击中,观察到近50个样本。

一个大客户?

值得关注的是,这些攻击中的绝大多数都属于同一个恶意活动。文件doc00190910.exe(SHA256:2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572)此前持续通过电子邮件进行传播,并且在2019年9月9日至11日期间达到峰值。该恶意软件使用renaj.duckdns[.]org(103.200.6[.]79)作为命令和控制(C2)服务器。我们在超过1800次攻击中发现使用过这一服务器。

恶意活动受害者分布:

16.png

到了2018年初,我们在50多个Netwire、Nanocore、Quasar和Remcos商品化RAT样本中,都观察到了相同的C2。

这清楚地说明了,诸如Blackremote之类的商品化RAT的作者,如何在实现恶意网络攻击的同时获得收益。

总结

商品化RAT在互联网上已经销售多年,其作者可以从中获利,同时使恶意攻击者能够传播自定义RAT创建工具创建的数千个恶意软件样本。

在该RAT出现后的几天之内,我们定位到了与该恶意软件相关的个人,是一名来自瑞典的18岁男孩,这一发现可能将有助于当局及时采取行动。目前,Unit 42已经完全确定该人员就是恶意软件被后的攻击者,并保证已经将正确的身份信息提供给当局。然而,随着该RAT“销售”时间的增长,RAT样本的创建数量和传播数量会随之增长,同时也会有其他恶意研究者尝试破解该RAT并随意分发。最重要的一环就是及早识别并阻止此类恶意软件的销售,以防止其扩散,避免让大量威胁参与者都能接触并使用到这一工具。

如果Windows主机及时安装更新,并部署垃圾邮件过滤,再进行适当的系统管理,即可以有效降低该恶意软件的感染风险。目前,可以使用部分威胁防护平台检测Blackremote恶意软件,AutoFocus用户可以使用Blackremote标签跟踪此恶意活动。

Palo Alto Networks与我们的网络威胁联盟成员共享了我们的发现,包括文件样本和威胁指标。网络威胁联盟成员使用该情报可以快速向其客户部署保护,并能系统性地打击恶意网络参与者。有关网络威胁联盟的更多信息,请访问www.cyberthreatalliance.org。

哈希值

514b3d98c1a8cbd5ea08ff31e22700adb9ca0d93d9bc4d6a5232324f0f3e806d

39721fb2d55777eeb6bdfdc9068782894993d172bb92cbad6a525c130312ef11

c3075bced2e864ee7e693c19ecf1ed82cde0aae3d440e9ff2f37d3d6e20fdf0f

3eda427ad5816e6dcf077562a367f71e8bdf5aa931e594416ae445357c12b409

3265bb60b532005bc3535bdf7336bff1845aa5ed3306fd5dbb2ec884cb3d6323

744438c125ceb7a3a7e44cca9fd6b397e982d048f680f164abd46743fd64cd12

33a34ae9a757f6be754571e752a3ee9200153db16c34cf2fd5590ad616fbb04e

fb8b9fe377ccdef76645a081905137e3580eed1defdabbbf48a3d20f0dc760b4

0278145549af5cad9318d51e4c150afe2180b55f72194562885d5c8f9526f465

ea5384db27a27b826c100bbc2535561ea61bf4f44eb4eb93243740188799d675

123539b0eaff1a23606d3716cdc0c73618af6f0cd821ae33863d0f47b2267dbf

f7b165903f6f9b979e84399ce4e1b85ed2927740771d85a7b8c85203641a08a1

93bfbd4b12a17732c8b7e66c554f98187184c6d845bd02e0dbb2104ce8da0453

469d8b2cced859f57b535363307c1e29c0bf0342d14ce0da109a40493a441b62

ada653c948875a9c1ca588251b317d8e971fdf980252d92e36d59f14f5eb9ab9

c207cf50305f126451e2dc5493d83614fdf801541d011e5002ee5daea2b4433b

57a15cc236e4d2ba6e08b062a75671b8a674e0d8498d87e48652c778ea263d49

3875545099276f2b34c3752b177b6d90a2eeb47148ddfb559a4d076d0f40716a

e1bf5d2ef3a4f922f9a15ab76de509213f086f5557c9e648126a06d397117d80

ed7693d9b1b069d39451002bc1df06bf4e123926fa34abb6afeb9a18d6d90dcd

901e06cd91adb7255d75781ef98fac71d17f7bed074a52147bdbd42ea551b34f

9c93b768b5261194ad207c0e92e9767e70ba38203f24f2909e1b39a9a1d6570c

129491bfdd9a80d5c6ee1ce20e54c9fb6deb2c1e1713e4545b24aa635f57a8b9

931839ee649da42b0ee3ac5f5dfa944b506336c7f4e5beb3fc07a6b35a7e6383

0908f8fbe1e3a77d941ae83fe3677d103d86d6e59a6ae4530eadba8af7fc1b3a

69aaaf148a132385512f66d7668b045d6467f8639a3ef7460e20ce0627bc84fc

f6ae66a8a6357d7622463db9953ae164d496e7f5ee0dfe2c8e3550a231f25078

c5a78bf01ab2e44c7dba3a363f2eda51cf648e904f2beb47d6cf3112368ff20c

f83e25cf2b2c2f2d0a14e3f538c11f70135ee8ec158446a51bb0f2d999765267

cb423b73ae3e51195abbcf8bc1f2655d61436825815089b92e843b570ac7c86d

ee20db296c7c4cf3ca6db0c739f1579f554a447b6c1e2b343b22d341f288662f

a4bc7d42dd64df3502b7f8c2335c64eba7a484479fc8c2dc8a4aa448f10354b3

756efcbd2767c5499b6f09a089033c82050459fc2999d3ce79caa25746693e26

117cf46ae69134dbe0c8a1d5f4cac92b46c15ea4945929df3880c0ac63e158f3

e5366365852a953a1747ab8a5d721c2536c5671c07bfecf648fb2cf6a13f2dc0

0c63983cb38d187c187f373852d7b87ff4e41ea0d77d75907aa3388ad957f38f

e54531896dbd100fec41cfc89b06f2afa1efd4077d1f197b1b88f74371135436

c38006115bd7c22151c4e31d8d4ed6ec114c2aaf1c7c0da12ef7b44f96fc58d6

0f66acc9883b284580980020d4a48557b2fe38312ca80db97c77cc2fa78c51fb

77fe670ed011e547db72207ba5849b9f618185b52e0ae766c23ef675b116b252

2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572

105cab9c9604238c05be167c6d8d47cd2bc0427b07ede08c5571b581ebd80001

cc795b94cac222afc69749359d8b17d9fb7a7fb6e824d43008c1674c0d146929

1737cf3aec9f56bb79a0c4e3010f53536c36a1fbeeedea81b6d7b66074ecffbe

本文翻译自:https://unit42.paloaltonetworks.com/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/如若转载,请注明原文地址: https://www.4hou.com/malware/21015.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论