渗透印度企业的中国网络间谍使用的RAT

预计阅读时间： 5 分钟

几个月前，基于Delphi的恶意软件通过SMB漏洞被分发到多个系统上。该恶意软件使用的有效负载与开源Gh0stRAT代码非常相似。 Gh0st已被中国威胁者用来瞄准亚洲的多个机构-Gh0st是一种远程访问木马，具有多种功能，例如键盘记录，麦克风监视，从远程服务器下载和执行有效载荷，重启计算机，带走系统的远程外壳等。等

我们已经观察到这种恶意软件针对印度的重要机构，例如–

• 银行业务
• 铁道
• 牛奶分销商
• 医院和制药
• 农业产业
• 食品生产行业

经过分析，发现该恶意软件正在创建两个不同的有效负载app.exe和mfc.exe。执行后，两个可执行文件都将Windows目录的ststem32文件夹中的dll提取出来并注册为持久性服务。所有严格的有效载荷的主要代码与Ghost 鼠的开源代码具有相似之处。

技术分析

有效负载1– app.exe

该可执行文件具有一个嵌入式DLL文件，该文件以相反的顺序存储，如下图所示。

该嵌入式二进制文件被解密并写入％SYSTEMROOT％\ System32 \文件夹中。下面的代码显示了解密代码— DLL名称是根据GetTickCount（）API的返回值生成的。

然后，App.exe通过调用“安装导出的函数”将该DLL注册为服务。以下是服务细节：

服务名称： csrss

显示名称： 安全经理帐户

所需访问： SERVICE_ALL_ACCESS

服务类型： SERVICE_WIN32_OWN_PROCESS | SERVICE_INTERACTIVE_PROCESS

StartType： SERVICE_AUTO_START

错误控制： SERVICE_ERROR_IGNORE

BinaryPathName： ％SystemRoot％\ System32 \ svchost.exe -k“csrss”

DLL的导出功能如下：

• DLL更新
• 安装
• 主线程
• 服务主
• 卸载

C2功能

在Gh0stRat的代码中观察到多个C2命令。通过DLL的静态分析观察到的一些C2函数如下：

• 关机系统
• 开启网址
• 下载并执行文件
• 查找过程
• 清除事件日志

关机系统

该函数具有关闭调试权限，并调用ExitWindowsEx（）函数来关闭系统。

下载并执行文件

此功能将从服务器下载特定文件并执行。

查找过程

该函数通过调用进程枚举API搜索特定的进程。

开启网址

此函数使用指定的URL创建一个iexplore.exe进程。

清除事件日志

此功能清除应用程序，安全性和系统的所有事件日志

有效负载2– mfc.exe

被主有效载荷删除的第二个可执行文件是mfc.exe，该文件在资源中以“ BIN”的名称嵌入了可执行文件。

运行此有效负载时，它将上述资源中的dll（随机名称）拖放到system32文件夹中，并作为名为“ NetworkServices”的服务安装在受感染的系统上。将DLL创建到system32文件夹后，mfc.exe调用dll的Install（）函数。

此DLL具有以下四个导出功能：

• 安装
• 发射
• 服务主
• 卸载

下面是此示例中观察到的C2命令：

• 安装键盘挂钩
• 流程枚举
• 远程外壳
• 音讯撷取
• 下载并执行文件

安装键盘挂钩

下图XX显示已创建一个线程来安装键盘挂钩。所有按键记录数据都将写入一个名为“ syslog.dat”的文件。

图XX显示了类似的Gh0st 鼠键盘记录程序代码。

流程枚举

进程枚举涉及获取正在运行的进程列表以枚举模块。

远程外壳

此函数将创建一个远程外壳程序以接受并执行任何命令。

音讯撷取

该函数借助waveInOpen（），waveInStart（），waveInStop（）等功能来记录音频。

下载并执行文件

从远程服务器下载可执行文件并执行它的功能。

国际奥委会

• FF6511DE176A434FA2F7C939795A13CC
• A6CC92A1993F040E87090F8B89836332
• 550C055339A9FEC141997CDA3F32FD0A
• A2B75BD7254997BEC6A19D752E26FA50
• 4B8C6D70A186FEC7C79D5B52B2FF0E76
• E22E5A85ED5294B179EBD416EEB5BEBB
• 5CE36CBD7D4A58A1B1A8C5B7BE194F23
• E94F9AF9EA11301831AAA1BDE34D3DEB
• 23D4EC869960CE02865C98F64581136A
• 367150E5DA2ED1BFAAE9210105BCEEA1
• BFB095C595FAA47CBFD4AB6199A7E297
• CA07E26D95D927953197840EA93EDD03
• 6B8A19DF9827CFB95F6461FEF9929F83
• 7DC43FCA774E612BF611ACD882400308
• 1127149CB5378FCA7181F81EB8149FC9
• F1E921F5730919E946D9A64019867E13
• B80A559CD7D48C9D3115A013EA662263
• 9403464BB99D87A02667E3E5DBA4A57C

快讯

结论

这些样本是Gh0st 鼠的修改变体，参与者正在不断对其进行更新以规避AV检测。在受害者组织中看到的样本和TTP大多与中国的APT组织有关。我们在过去的1个月中一直在跟踪这些样本，但无法确定初始攻击媒介。由于它们针对特定行业，因此我们怀疑会找到与这些攻击链相关的更多恶意软件。有趣的是，在同一时期，遇难者中还很少有人感染过门罗币矿工。我们将密切监视该运动以寻找整个感染链。

主题专家

帕万库玛（Pavankumar Chaudhari）

卡尔佩什·曼特里