TA505:利用Get2恶意下载工具传播新型SDBbot远程访问木马

41yf1sh 恶意软件 2019年10月30日发布
Favorite收藏

导语:在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。

一、概述

在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。

在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。

这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更多形式的恶意软件,他们放弃了以勒索软件作为主要Payload。

而TA505一直处于这种趋势的前沿,他们首先在2018年11月发布了新型后门“ServHelper”,并且在今年年初发布了新型恶意下载工具AndroMut。

二、恶意活动

自2019年9月9日起,Proofpoint研究人员开始使用Get2作为其初始下载工具,来观察TA505。首先,它下载了传统的Payload,包括FlawedAmmyy和FlawedGrace。但是,在10月7日,Proofpoint研究人员观察到Get2下载了新型RAT SDBbot。

除了使用新型恶意软件之外,这些恶意活动还在其他方面进行了创新:

1. TA505恶意组织仍然占据每天恶意电子邮件发送排名的榜首位置,最近几天他们发出的邮件达到上万的数量,但此前可以达到数百万。

2. TA505继续主要针对金融机构发动攻击,但与针对其他行业的攻击活动交替进行。

3. 近期,该恶意组织将希腊、德国和美国乔治亚州作为目标地区。

4. 恶意组织发布新的Microsoft Office宏,专门用于Get2恶意下载工具。

2019年9月至10月期间,与Get2和SDBbot相关的垃圾邮件恶意活动:

1.png

下面,我们将分析几个典型的恶意电子邮件活动的详情。

2.1 2019年9月9日

9月9日,Proofpoint研究人员观察到数以万计的电子邮件,试图传递包含英语和希腊语的Microsoft Excel附件。这些电子邮件针对位于希腊、新加坡、阿联酋、美国乔治亚州、瑞典、立陶宛和其他一些国家的金融机构。

该电子邮件使用以下标题和附件名称:

1. 标题“HPE INV-02 – Invoice and documents”(HPE INV-02 – 发票和文件),附件“hpe_s_hp-inv_02[.]xls”;

2. 标题“Need to Apply”(需要回复),附件“dc123456[.]xls”;

3. 标题“Παραστατικό”(希腊语,翻译为:文档),附件“business cloud invoice no142 09-09-2019[.]xls”;

4. 标题“ΣΤΕΛΙΟΣ ΠΡΟΤΙΜΟΛΟΓΙΟ”(希腊语,翻译为:执行摘要),附件“προτιμολογιο[.]xls”。

这是我们首次观察到新型下载工具Get2的活动。但是,经过Proofpoint的分析,在当时没有观察到后期的Payload。

电子邮件样本传递了带有嵌入式Get2 Payload的恶意Microsoft Excel电子表格:

2.png

使用希腊语并针对希腊地区发起攻击的Microsoft Excel附件样本:

3.png

2.2 2019年9月20日

9月20日,我们观察到有数十万封恶意电子邮件,尝试传递带有英语和法语诱饵的Microsoft Excel和.ISO附件。这些电子邮件以美国、加拿大地区不同行业的公司为目标。

这些恶意电子邮件使用下列标题和附件名称:

1. 标题“Reçu de paiement (facture 12345)”,附件“facture_no_432478_v2[.]xls”;

2. 标题“Account opening form”,附件“formulaire_01234.iso”,在ISO中包含恶意Excel文件,文件名例如“0920_0123456[.]xls”。

在该恶意活动中,Proofpoint研究人员再次观察到了Get2的安装和执行,随后该恶意下载工具下载了FlawedGrace。

在以加拿大为目标,使用法语编写的电子邮件中,包含ISO附件:

4.png

在以加拿大为目标,使用法语编写的电子邮件中,包含Microsoft Excel附件:

5.png

2.3 2019年10月7日

10月7日,Proofpoint研究人员没有观察到直接附带恶意Microsoft Excel文件的邮件,而是发现了数千封包含URL短链接的电子邮件,这些电子邮件会重定向到登录页面,该登录页面又链接到Excel表格“request[.]xls”。这一恶意活动仅使用英语,主要针对美国各行业的公司发起攻击。

电子邮件使用“Admin shared "request[.]xls”(管理员共享了“request.xls”文件)作为标题,在邮件正文中包含Bit.ly的短网址URL。

在该恶意活动中,Proofpoint的研究人员观察了Get2的执行情况,发现该程序首次下载了SDBbot。

带有Bit.ly短网址的恶意电子邮件样本,该URL指向登录到恶意文件下载链接的登录页面,这会增强假冒特定组织的隐蔽性。

6.png

以Dropbox为主题的登录页面,其中包含诱导用户点击链接到恶意文档的按钮:

7.png

带有嵌入式Get2下载工具的Microsoft Excel电子表格,诱导用户打开文档并启用宏:

8.png

三、恶意Microsoft Excel文档分析

我们注意到,不仅TA505使用了新的恶意软件,并且新的Get2恶意加载程序还可以与新兴Microsoft Excel恶意宏结合使用。Get2作为对象,嵌入到Microsoft Excel文件中,我们可以在文档中找到它对应的图像图标。恶意宏使用下述逻辑完成提取:

1. 将原始的Microsoft Excel表格复制到%TEMP%目录下;

2. 将Microsoft Excel表格中的嵌入式对象“xl\embeddings\oleObject1[.]bin”复制到%TEMP%目录中;

3. ReadAndWriteExtractedBinFile函数提取OleObject1.bin中的DLL,并复制到%APPDATA%;

4. LoadLibraryA加载DLL;

5. 宏运行DLL的导出函数(例如:Get2)。

下面展示了Microsoft Excel文件中执行某些操作的VBA代码摘录。该代码中的一部分似乎是从Stack Overflow文章中借鉴的,作者将其修改为以“MZ”为开头的文件,而不再是“PDF”。

与Get2下载工具结合使用的恶意Microsoft Excel电子表格中的Visual Basic宏代码样本:

9.png

四、Get2恶意下载工具

Get2是一种使用C++编写的新型恶意下载工具,在近期TA505的恶意活动中使用。这个名称源自所分析的初始样本中使用的DLL导出名称。在接连开展的不同恶意活动中,他们使用了不同的导出名称,比如:Amway、Hadno、Seven和Wakeup。

恶意下载工具会收集基本的系统信息,并通过HTTP POST请求将其发送到硬编码的命令和控制(C&C)服务器(如下图所示):

10.png

POST数据中,包含以下URL编码后的参数:

D – 计算机名称

U – 用户名

OS – Windows版本

PR – 以竖线分隔的进程列表

下面展示了来自C&C服务器的一些响应样例:

11.png

12.png

C&C响应数据是以竖线进行分隔的,每部分都包含Payload URL和以分号分隔的可选参数。

在我们早期观察到的Get2版本中,其Payload是可执行文件,其运行参数是在命令行中传递的。在后面的样本中,作者使用了其他代码来检查“RD86”和“RD64”的参数(RD可能是“run DLL”的简称)。RD86指示Payload是要注入和加载的DLL。此外,恶意软件还计划随机将系统重新启动。在研究时,RD64的代码路径尚未实现,但可能与用于64位DLL的RD86相似。

五、SDBbot远程访问木马

SDBbot是使用C++语言编写的新型远程访问木马(RAT),由Get2下载工具在最新的TA505恶意活动中使用。该名称源于在最初分析的样本中使用的调试日志文件(sdb.log.txt)和DLL名称(BotDLL[.]dll)。它还利用应用程序Shimming的方式来保持持久性。SDBbot由三个部分组成,分别是安装工具、加载工具和远程访问木马组件。

5.1 安装工具组件

安装工具将RAT组件存储在注册表中,并为加载器组件创建持久性。在我们所分析的样本中,安装程序名称为“SdbInstallerDll[.]dll”。它的大多数重要字符串和数据都是使用硬编码的128字节密钥进行异或编码的。

根据用户权限,该组件会在HKEY_LOCAL_MACHINE或HKEY_CURRENT_USER中的“\SOFTWARE\Microsoft\<注册表子项中的随机3个字符>[值名称中的随机1个字符]”的位置创建一个注册表值,并将二进制Blob存储为该值处,具有以下结构:

1. 版权声明(“Copyright (C) Microsoft Corporation.”);

2. 加载工具Shellcode(作为函数存储在安装工具中);

3. 由“<注册表子项中的随机3个字符>0INIT”组成的字符串;

4. 压缩后的RAT Payload(存储在安装工具的“.data1”PE段中)。

如果该组件以常规用户权限运行,则会使用注册表中“Run”方法创建持久性。加载工具DLL组件将写入“%APPDATA%\mswinload[.]dll”,并将“mswinload”值添加到“Run”键中,以使用rundll32[.]exe执行DLL。

如果在Windows 7之前版本的系统上以管理员权限运行,那么将会使用注册表中“映像文件执行选项”创建持久性。它所使用的方法与FireEye发表的文章《FIN7利用填充数据库创建持久性》中描述的方法非常相似。攻击者创建了一个填充数据库(Shim Database),以使用加载工具代码修补services[.]exe,然后使用sdbinst[.]exe进行安装。

由SDBbot创建的填充数据库(SDB)样本:

13.png

所有这三种持久性机制,都需要重新启动才能生效,并且没有其他代码可以继续从安装工具执行加载工具和RAT组件。Proofpoint研究人员推测,在安装恶意软件后,Get2下载工具中的重新启动功能可以用于继续SDBbot的执行。

5.2 加载工具组件

在基于注册表的持久性机制中,单独的加载工具DLL用于执行RAT Payload。在我们分析的样本中,加载工具被命名为“RegCodeLoader[.]dll”,并以“mswinload[.]dll”或“mswinload0[.]dll”的形式保存到磁盘。基于Shimming的应用程序持久性方法不使用单独的DLL,但其修补到services[.]exe中的代码在功能上与之相似。在这两种情况下,随机注册表项和值名称都将被修补到加载工具代码中。

加载工具组件会读取存储在注册表中的二进制Blob,并开始执行存储在注册表中的加载程序Shellcode。Shellcode解压缩RAT Payload,然后加载并执行DLL。

5.3 远程访问木马组件

在我们分析的样本中,RAT组件被命名为“BotDLL[.]dll”。它具有一些典型的RAT功能,例如命令行Shell、记录屏幕内容、远程桌面、端口转发和文件系统访问。

SDBbot将其C&C存储在纯文本字符串或文件(ip.txt)中。它通过TCP/443端口使用纯文本协议,会话样本如下图所示。

SDBbot C&C协议样本:

14.png

恶意软件通过发送和接收Acknowledgment DWORD: 0xC0DE0000来启动通信。然后,通过发送基本系统信息来进一步实现信息泄露:

1. ver – 可能的恶意软件版本;

2. domain – 域名;

3. pc – 计算机名称;

4. geo – 国家代码;

5. os – Windows版本;

6. rights – 用户权限;

7. proxyenabled – 是否配置了代理。

在恶意软件发送了系统消息之后,C&C服务器将使用命令DWORD进行响应。然后,根据命令,C&C服务器将发送其他参数。一些命令利用48字节的数据结构来存储各种数据。此外,还有其他一些命令可以创建、删除和查询这些数据结构的状态,在下图中进行了定义。

某些命令使用的48字节数据结构:

15.png

可用命令如下:

2 – 从C&C获取子命令:

“cmd” – 启动一个cmd[.]exe Shell;

“shutdown_pc” – 关机;

“reboot” – 重新启动;

“sleep utc” – 设置睡眠时间;

“video online” – 获取现有视频,或创建新的视频数据结构;

“video stop” – 在视频结构中设置“停止”事件;

“rdpwrap install” – 该命令在注册表中启用RDP,但不能安装RDP包装器;

“rdpwrap uninstall” – 如果已经安装RDP,则将其卸载;

“portforward” – 在目标主机、端口和C&C之间设置代理;

“run” – 通过cmd[.]exe执行命令,但不将输出结果发送到C&C;

“runreflective” – 从C&C下载DLL文件,并将其注入到新创建的rundll32[.]exe中,以反射型方式加载该可执行文件;

“keep_bot_online on” – 设置一个标志和超时睡眠时间;

“keep_bot_online off” – 关闭标志,并将超时睡眠时间设置为0。

4 – 发送数据结构的编号、类型和索引。

5 – 如果启用了Shell或视频录制,则将Shell的输出或屏幕截图发送到C&C。

11 – 发送命令行Shell数据结构的编号、索引和标记。

12 – 将命令写入Shell。

13/32 – 创建一个新的空数据结构,并将其索引发送给C&C。

14 – 清理并删除现有数据结构。

15 – 写入文件。

23 – 获取驱动器信息或目录列表。

24 – 读取文件。

25 – 创建目录。

26 – 删除文件。

27 – 清理并删除所有数据结构。

31 – 确切功能尚不明确,它使用两种数据结构写入文件,一种是与文件相关联,另一种用于从C&C读取数据。

六、总结

多年来,我们不断更新关于TA505的攻击者画像,主要依据于该恶意组织在2017年底和2018年底进行的大量攻击活动。在过去两年中,Proofpoint的研究人员观察到TA505和许多威胁行为者接连开发出恶意下载工具、远程访问木马、信息窃取工具和银行木马。而在2019年10月,TA505也采取了这样的行动,攻击了许多垂直领域和国家地区,该恶意组织仍然针对金融领域发起攻击,与此前的行为模式保持一致。在攻击者将新型Get2下载工具与SDBbot结合使用时,他们所使用的Payload是我们首次看到,并对其加以重点分析。

七、参考

[1] https://attack.mitre.org/techniques/T1138/

[2] https://attack.mitre.org/techniques/T1060/

[3] https://www.fireeye.com/blog/threat-research/2017/05/fin7-shim-databases-persistence.html

[4] https://github.com/stascorp/rdpwrap

八、威胁指标

8.1 URL

https[://update365-office-ens[.com/rb8(Get2 callback – 2019-09-09)

https[://windows-update-sdfw[.com/trase(Get2 callback – 2019-09-20)

https[://office365-update-en[.com/frey(Get2 callback – 2019-09-27)

https[://windows-wsus-en[.com/version(Get2 callback – 2019-10-01)

https[://windows-msd-update[.com/2019(Get2 callback – 2019-10-07)

https[://windows-fsd-update[.com/2020(Get2 callback – 2019-10-08)

https://windows-sys-update[.com/2021(Get2 callback – 2019-10-09)

https[://windows-me-update[.com/2021(Get2 callback – 2019-10-10)

https[://windows-se-update[.com/2022(Get2 callback – 2019-10-11)

https[://office365-eu-update[.com/2023(Get2 callback – 2019-10-14)

8.2 域名和IP地址

update365-office-ens[.com|212.80.216[.172(Get2 C&C – 2019-09-09)

37.59.52[.229:53(Snatch C&C – 2019-09-19)

windows-update-sdfw[.com|167.114.194.56(Get2 C&C – 2019-09-20)

office365-update-en[.com|5.149.252[.171(Get2 C&C – 2019-09-27)

office365-update-eu[.com|147.135.204[.64(Get2 C&C – 2019-09-27)

en-gb-facebook[.com|95.169.190[.29(FlawedGrace C&C – 2019-09-20 > 27)

102.130.114[.246(FlawedAmmy C&C – 2019-09-24 > 2019-10-01)

news-server-drm-google[.com|170.75.175[.209(SDBbot C&C – 2019-10-07)

static-google-analtyic[.com|103.75.118[.231(SDBbot C&C – 2019-10-08/09/10/11)

windows-wsus-en[.com|192.99.211.205(Get2 C&C – 2019-10-01)

windows-msd-update[.com|94.44.166.189(Get2 C&C – 2019-10-07)

windows-cnd-update.com|185.176.221.64(Serving Get2 payload – 2019-10-07)

windows-fsd-update[.com|185.86.148.144(Get2 C&C – 2019-10-08)

windows-sys-update[.com|195.123.228.14(Get2 C&C – 2019-10-09)

windows-me-update[.com|95.217.16[.248(Get2 C&C – 2019-10-10)

windows-se-update.com|185.238.3.76(Get2 C&C – 2019-10-11)

office365-eu-update[.com|45.8.126[.7(Get2 C&C – 2019-10-14)

drm-server13-login-microsoftonline[.]com|195.123.242[.250(SDBbot C&C 2019-10-14)

8.3 SHA-256

0683d9f225d54d48081f53abd7d569b32bc153d98157a5a6b763bc3cf57a6ad6(Get2 – 2019-09-09)

cfce53335bbe61de612353cdd83ce17953b1f230c576ed6de1463626aff9088e(Snatch 更新版本 – 2019-09-19)

f27c5375046c734dfe62d2efe936b92cd519da091d04f22db713514caafece2a(Get2 – 2019-09-20)

34f3733177bbe3d7a8d793fe3c4fd82759519ddc6545b608613c81af9019a52d(FlawedGrace – 2019-09-20)

e3ec2aa04afecc6f43492bfe2e0d271045ab693abfa332a2c89a5115ffe77653(FlawedGrace – 2019-09-27)

4efcc22da094e876346cff9500e7894718c8b6402ff3735ea81a9e057d488849(FlawedAmmyy – 2019-09-27)

133121ea82269ec943847e04cb070109ca94612aed23a471868937f119ae8175(FlawedAmmyy – 2019-10-01)

edb838be33fde5878010ca84fc7765c8ff964af9e8387393f3fa7860c95fc70b(SDBbot – 2019-10-07)

9eaad594dd8038fc8d608e0c4826244069a7a016ffd8881d8f42f643c972630f(SDBbot – 2019-10-07)

99c76d377e1e37f04f749034f2c2a6f33cb785adee76ac44edb4156b5cbbaa9a(SDBbot – 2019-10-08/09/10/11)

6b3aa7a7a9771f7464263993b974c7ba233ec9bd445ea635e14a0764523cbef(SDBbot – 2019-10-08/09/10/11)

f4fed12625e2b983b918f239bf74623746cfc6b874717e6d8dd502a45e073d32(Get2 – 2019-10-10)

84f7c3fcf3a53f37ecbb21d0b9368d332901fe8c3f06b3d1a92123479c567c95(Get2 – 2019-10-11)

8916a09f205910759edb082175bf2808d2acae00c7ded5bb8c9c174f60ebe152(SDBbot – 2019-10-14)

c2f99a2bba225fe3ab49cb952e418b2ab29ba7f2e34db6cf9bc51b0349d0acd8(SDBbot – 2019-10-14)

编者注:在发布本篇报告后,我们注意到,AhnLab发现了SDBbot的早期版本,并在近期发布的Q3 ASEC报告中将其描述为“恶意SDB文件”。AhnLab主要描述了韩国地区的恶意软件传递过程,该木马作为FlawedAmmyy的辅助Payload。2019年期间,TA505在韩国地区较为活跃,并且经常分发FlawedAmmyy RAT,但我们目前暂无法验证其关联性。

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader如若转载,请注明原文地址: https://www.4hou.com/malware/21223.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论