JAVA+VBS传播RAT

ang010ela 系统安全 2019年3月6日发布
Favorite收藏

导语:近期,McAfee实验室研究人员发现一个通过垃圾邮件传播的JAR附件的变种,并使用Houdini VBS蠕虫来感染用户。

Adwind远程管理工具(RAT)是一个基于Java的后门木马,目标是支持Java文件的平台。要使感染发生,用户必须双击.jar文件才能执行恶意软件,而文件一般都在电子邮件附件中。一般来说,感染要在Java运行环境安装的情况下才能发生。一旦恶意.jar文件在目标系统上成功运行,恶意软件就会悄悄地安装自己,并通过预定义的端口连接到远程服务器上。这样恶意软件就可以接收来自远程攻击者的命令,并执行恶意活动。近期,McAfee实验室研究人员就发现一个通过垃圾邮件传播的JAR附件的变种,并使用Houdini VBS蠕虫来感染用户。

感染链

恶意软件的传播机制与之前版本很像,是以垃圾邮件中的.jar附件的形式产生的。邮件的内容一般都是使用社会工程技术伪造的,以达到引诱用户的打开的目的。研究人员将整个感染链总结如下:

垃圾邮件长这个样子:

 

Parent JAR文件

为了简单起间,研究人员将附件.jar文件称之为Parent JAR文件,并命名为Sample.jar。Adwind是以混淆的形式出现的,以隐藏其恶意目的。其payload和配置文件用DES, RC4, RC6来加密,具体的加密方法选择是根据变种不同而不同的。Adwind后门会在执行过程中解密。在该变种中,研究人员查看了Manifest.MF中的内容,其有一个类bogjbycqdq.Mawbkhvaype:

Mawbkhvaype.class

该类的主要任务是检查Jar bundle中的资源文件。这里的mzesvhbami资源是一个vbs文件。Mawbkhvaye.class会检查资源section的mzesvhbami,然后在wscript的帮助下在执行前释放bymqzbfsrg.vbs 到用户目录。

Bymqzbfsrg.vbs

其中一大块混淆的base64编码的数据,下面是Bymqzbfsrg.vbs脚本的部分代码:

解混淆和解码后,base64编码的数据会转换为ntfsmgr.jar,并释放到%appdata%/Roaming中。下面是base64编码的数据到JAR文件的转化:

解码为JAR文件(ntfsmgr.jar)

Ntfsmgr.jar

ntfsmgr.jar中比较重要的文件有drop.box, mega.download和sky.drive,会用于之后创建恶意软件的配置文件。

Final Payload

Ntfsmgr.jar有一个main类文件operational.Jrat。operational.Jrat的目的是释放另一个.jar文件到%TEMP%文件夹中,文件名为随机的,格式为[underscore] [dot] [random numbers] [dot]类,比如0.1234567897654265678.class,这是最终的payload并在用户系统中执行恶意活动。下面是在%TEMP%中创建operational.Jrat的代码:

Manifest.MF看似与ntfsmgr.jar文件很类似。最后的Java文件中的所有文件都会在执行过程中解密,会感染系统。Adwind感染系统中,就可以看到键盘记录日志、修改和删除文件、下载和执行恶意软件、截图、访问系统的照相机、控制鼠标和键盘、更新自己等。下面介绍 Bymqzbfsrg.vbs的部分:

Bymqzbfsrg.vbs

成功执行后,Bymqzbfsrg.vbs会释放ntfsmgr.jar和sKXoevtgAv.vbs到%appdata%/Roaming中。

Bymqzbfsrg.vbs会使用ExecuteGlobal动态执行脚本中的naira方法:

动态执行脚本代码如下图所示:

下图代码是释放sKXoevtgAv.vbs到目录%appdata%Roaming的脚本:

下图代码是释放ntfsmgr到目录%appdata%Roaming的脚本:

执行时,sKXoevtgAv.vbs会将自己解码为Houdini vbs蠕虫,这也是最后的payload。脚本代码如下所示:

攻击者可以在受害者机器上执行许多恶意活动,包括:

· 在受害者机器上下载和执行文件;

· 运行命令指令

· 更新或下载自己的备份

· 下载和更新文件

· 删除文件或文件夹

· 中止特定进程

· 在受害者机器上枚举文件和文件夹

其他

驻留

当ntfsmgtr.jar运行时,会将自己添加到开始菜单中,这样就可以在系统启动时运行。

在系统上检查安装的反恶意软件产品。

如果可以的话,还可以复制安装的Java运行文件到受害者主目录的临时目录,否则可以从web下载并复制到相同目录中。

本文翻译自:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/java-vbs-joint-exercise-delivers-rat/如若转载,请注明原文地址: https://www.4hou.com/system/16495.html
点赞 3
RAT
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论