STRRAT木马又伺机发起攻击
2022-2-17 11:55:0 Author: www.4hou.com(查看原文) 阅读量:21 收藏

由于运输和接收货物是大多数航运企业的日常工作,攻击者经常将伪造有关的运输标题作为钓鱼电子邮件的诱饵,例如虚假发票、运输事宜的更改或与虚拟购买相关的通知,以诱使收件人打开恶意附件和无意中下载恶意软件。

FortiGuard实验室最近发现了一封这样的邮件,该电子邮件随后被发现包含 STRRAT 恶意软件的变体作为附件。

本文将详细分析网络钓鱼邮件及其恶意负载。

检查网络钓鱼邮件

STRRAT是一个多功能的远程访问木马,至少可以追溯到 2020 年年中。不同寻常的是,它是基于 Java 的,通常通过网络钓鱼电子邮件发送给受害者。

2021年5月,微软的安全情报团队发现了新型恶意软件攻击,通过包含恶意的 PDF 附件进行大规模传播。这些 PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序,可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外,微软研究人员还发现,这种恶意软件可以将自己伪装成伪造的勒索软件。

关于该恶意软件的推文中,微软表示:

“一旦系统被感染,StrRAT 就会连接 C2 服务器。1.5版明显比以前的版本更加模糊和模块化,但后门功能大多保持不变:收集浏览器密码,运行远程命令和PowerShell,记录键盘输入等”。

与大多数网络钓鱼攻击一样,以前的 STRAAT 活动使用了附加到电子邮件的中间释放器(例如恶意 Excel 宏),在打开时下载最终有效负载。本示例不使用这种策略,而是将最后的有效载荷直接附加到钓鱼电子邮件中。

img1.png

欺骗性电子邮件发件人和主题

如图 1 所示,这个样本显然不是来自马士基航运公司,攻击者显然不希望接收者看得太仔细。通过进一步挖掘电子邮件标题,电子邮件的来源的完整线索变得很明显:。

2.png

电子邮件标头

在离开发件人的本地基础设施后,消息最终会通过“acalpulps[.]com”,然后传递给最终收件人。该域名是在 2021 年 8 月才注册的,因此该域名有些可疑。此外,“Reply-To”地址中使用的域“ftqplc[.]in”最近也被注册(2021 年 10 月),因此也非常可疑。

电子邮件正文鼓励收件人打开有关预定装运的附件。

3.png

电子邮件正文

截至发文,信函正文中包含的域“v[.]al”尚未解析。

4.png

电子邮件附件

直接附加到示例电子邮件的是一个 PNG 图像和两个 Zip 文件。 “maersk.png”只是一个图像文件,如上图所示。然而,两个 Zip 文件“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”和“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”包含STRRAT 的嵌入副本。

检查 STRRAT 附件

“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”和“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”是相同的文件,这从它们各自的 SHA256 哈希值可以看出。

img5.png

 “SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”的 SHA256 哈希

img6.png

 “SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”的 SHA256 哈希

解压缩这些文件会显示文件“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”。但是,在 Jar Explorer 中打开文件后,一些事情会立即显现出来。

img7.png

Jar Explorer 中“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”的初始视图

首先,大量的 Java 类文件是这个包的一部分。其次,“FirstRun”类字符串似乎被打乱或编码。附加有“ALLATORIxDEMO”的行表示存在 Allatori Java 混淆处理程序。

这可以通过尝试执行 jar 文件来验证。

img8.png

尝试执行“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”时显示的闪屏

使用Allatori确认这一点有助于分析过程,因为有开源工具可以回滚它并揭示jar文件中的实际内容。Java Deobfuscator 对Allatori工作得特别好,并成功地恢复了原始字符串内容,如下所示。

img9.png

“FirstRun” 类的相同视图现在已反混淆

与STRRAT 中的类文件独立编码的是配置文件(config.txt)。在第一个视图中,它是 base 64 编码的,如下图所示。

img10.png

Base 64 编码的“config.txt”

不幸的是,当解码时,文件仍然被加码处理了。

11.png

“解码”配置文件

通过搜索“config.txt”的代码,我们可以看到配置文件是使用 AES 加密的,并且使用了“strigoi” hXXp://jbfrost[.]live/strigoi/server/?hwid=1&lid=m&ht=5的密码。现在可以解密配置文件了。

img12.png

解密的配置文件

上图中的最后一项特别令人感兴趣,因为该示例出现在 Log4Shell 事件中。 Khonsari 是利用该特定漏洞的勒索软件变种的名称。然而,在这里,这个词起到了软件密钥的作用,没有证据表明这两个恶意软件之间有任何联系。

大多数恶意软件都需要在重启和会话期间保持持久性,这样它们才能完成已经设置的任务。STRRAT通过将自身复制到一个新目录中,然后将条目添加到Windows注册表中以在系统启动时运行来实现这一点。

img13.png

修改注册表的代码

img14.png

修改后的注册表

STRRAT 在启动时查询主机以确定其架构和防病毒功能,它还查询正在运行的进程、本地存储和网络能力。

就功能而言,STRRAT可以记录击键并维护一个基于html的日志来存储感兴趣的项目。

img15.png

创建键盘日志文件的代码

img16.png

准备好发送的键盘日志文件

STRRAT还可以通过删除远程访问工具HRDP来促进对受感染系统的远程控制。

img17.png

HRDP

其他功能包括从 Chrome、Firefox 和 Microsoft Edge 等浏览器和 Outlook、Thunderbird 和 Foxmail 等电子邮件客户端提取密码。

STRRAT 中最奇怪的模块之一是它的伪勒索软件功能。

img18.png

伪勒索软件模块

代码循环浏览用户主目录中的文件,并为它们附加一个“.crimson”的文件扩展名。没有对文件进行加密,这使得它只适合作为诱饵,或者作为对不太精明的用户的恐吓策略。在代码中未找到赎金记录模板。

在网络方面,我们看到STRRAT希望在启动时扩展和拉下几个Java依赖项。

19.png

Java 依赖项

如上图所示,此示例将 IP 地址 198[.]27.77.242 用于 C2(命令和控制)。检查 Wireshark 中的流量显示 STRRAT 异常嘈杂。这可能是由于 C2 通道在调查时处于离线状态。为了获得进一步的指令,该示例尝试以1秒(在某些情况下甚至更多)的时间间隔通过端口1780和1788进行通信。

20.png

Wireshark 中尝试的 C2 通信

上图还显示了一个包含域“jbfrost[.]live”的 URL,这似乎是恶意软件 C2 基础设施的一部分,但似乎没有被使用(至少目前没有),该域当前未解析。

本文翻译自:https://www.fortinet.com/blog/threat-research/new-strrat-rat-phishing-campaign如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/oXBY
如有侵权请联系:admin#unsafe.sh