Revenge RAT恶意软件升级版来袭

TRex Web安全 2019年2月15日发布
Favorite收藏

导语:Cofense Intelligence最近发现Revenge RAT升级之后,变得越来越隐蔽和强大。

一、摘要

Revenge RAT恶意软件变得越来越隐蔽,归因于其异常先进的分发技术和基础设施。最近,Cofense IntelligenceTM观察到此广泛使用的远程访问木马进行了升级,这有助于它访问网络摄像头、麦克风和其他实用程序,因为Revenge RAT进行了重新调整并试图在目标计算机上获得立足点。当它成功时,RAT可以大大增加威胁行为者的破坏力,其中包括通过键盘记录器或其他间谍软件监控用户行为、窃取个人信息以及分发其他恶意软件。

由于冗余的命令和控制基础架构被标记为合法内容,威胁行为者可以在不将文件保留在磁盘上的情况下分发Revenge RAT样本。Revenge RAT使用带有Office宏的Microsoft Office Excel工作表来感染目标。脚本在定制的blogspot.com页面的HTML中运行。复杂的感染链,专注于维持持久性以及逃避检测的策略,构成了复杂的威胁。

二、细节

Cofense Intelligence最近发现了一个分发Revenge RAT的电子邮件活动,该活动在其传递技术和持久性机制方面表现出明显高出正常水平的先进性。Revenge RAT是一种简单且免费提供的远程访问特洛伊木马,它允许威胁攻击者远程访问系统组件(如网络摄像头、麦克风和其他各种实用程序)之前自动收集系统信息。这可以使威胁行动者进行侦察并为进一步的活动建立滩头阵地。在此活动中,威胁参与者使用冗余的命令和控制基础设施伪装成合法内容,以便在不将文件留在磁盘上的情况下分发Revenge RAT样本。

此活动的初始感染媒介是带有Office宏的Microsoft Office Excel工作表,该宏使用mshta.exe来运行脚本,这些脚本嵌入在特制的blogspot.com页面的HTML中。页面29 [.] html包含两个不同的脚本部分。脚本创建计划任务,还可以获取、解码和执行Revenge RAT的副本。

三、深入分析

在图1所示的示例脚本中,第一个任务(“MS-OFFICE”)设置为每10分钟运行一个托管在pastebin上的辅助命令和控制位置的脚本(urGHE2PF)。

图1:29[.]html上的代码调度第一个任务——运行pastebin上的一个脚本

图2中的第二个任务(“MSOFFICEER”)每100分钟运行同一博客blog-page[.]html上不同页面的脚本。

图2:去混淆代码调度第二个任务——运行嵌入在博客页面中的脚本

嵌入在29[ .] html中的脚本的最后一节下载Revenge RAT并将二进制文件注入正在运行进程的内存中,如图3所示。

图3:嵌入在29[.]html中的脚本代码用于下载和运行Revenge RAT

图4中显示的脚本几乎与29 [.] html(图3)中脚本所使用的内容完全相同,唯一的区别是没有睡眠命令和使用“forfiles”实用程序。

图4:用于下载Revenge RAT并将二进制文件注入内存的类似代码

最后,blog-page [.] html的脚本安排相同的任务(“MSOFFICEER”)来运行自己。此实例中使用的Revenge RAT不会释放到磁盘,而是使用“Reflection.Assembly” PowerShell命令加载到进程的内存中。 类似的方法也用于执行命令和控制位置的脚本,而不是将脚本释放到磁盘然后运行。通过调度任务在内存而不是磁盘上运行脚本和二进制文件,威胁行为者可以规避某些传统的检测方法。

四、隐藏的内容

此活动中使用的主要命令和控制位置托管在blogspot [.] com上的博客上,该博客使威胁行为者能够将其恶意内容隐藏在合法服务之后。即使在浏览器中直接访问网页,也没有任何可见的恶意内容(图5)。

 图5:在浏览器中访问时blog-page[.]html网页

恶意内容无法在浏览器中运行; 它仅在使用mshta.exe时运行,这也会阻止大多数Web调试程序识别内容。只有通过查看这些页面的源代码,才能看到恶意内容(图6)。

图6:嵌入在blog-page [.] html网页中的脚本

如图7所示,解码后图6中所示的脚本显示了与我们在图2中看到的相同的代码,该代码调度了页面内容的执行。

图7:与图2相同的去混淆代码

blog-page[.]html中有一个脚本的内容为空。通过反复“自我调度”执行blog-page[.]html执行,威胁行为者确保他们添加到此空脚本部分的内容也将被执行。脚本自我调度以及反复尝试下载和执行Revenge RAT二进制文件会明显加强此感染的持久性。 在这两种情况下,威胁行为者可以根据需要,随时修改托管内容,例如在基础结构故障或有效载荷更改之时。频繁检查可确保快速执行所做的任意更改,重复尝试运行Revenge RAT二进制文件几乎可以确保,即使进程终止,RAT也将很快再次运行。

五、意义

复杂的感染链,冗余的指挥和控制基础设施,专注于维持持久性,并试图规避检测,表明此行动明显高于平均水平。高水平的复杂性需要更高水平的专业知识和对企业面临威胁的更多理解。 通过培训员工警惕威胁,企业可以更好地保护自己。

本文翻译自:https://cofense.com/upgrades-delivery-support-infrastructure-revenge-rat-malware-bigger-threat/如若转载,请注明原文地址: https://www.4hou.com/web/16164.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论