在今年3月份的一次取证调查中，我们找回了一些文件。经过我们初步的判定，这些文件极有可能与一个知名组织Iron Tiger有关。

从我们的研究分析中，我们认为攻击者在此次攻击中并没有使用任何高级的攻击技术。实际上，攻击者的主要目标是挖掘加密货币。在调查中，我们还发现了一些攻击者使用过的工具，例如password dumpers，Monero加密货币矿工，可移动可执行（PE）注入器，以及Gh0st RAT的修改版。尽管Bitdefender和TrendMicro已发布了对该组织使用的一些工具的详细描述报告[1] [2]，但我们却并没有找到对此特定修改版本Gh0st RAT的任何引用和参考信息。因此，这篇文章的目的就是向大家简要描述，该组织所使用的Gh0st RAT修改版。

恶意payload

首先，一个位于C:\ProgramData中的一个新文件夹下并以随机名称命名的恶意可执行文件会被执行。该文件一旦执行，就会删除一个批处理文件（install.bat）和一个cabinet文件（data.cab）。cabinet文件包含两个文件：部分加密的恶意shellcode和将执行恶意shellcode的动态链接库（DLL）。然后恶意可执行文件将执行批处理文件，该文件将解压缩并执行DLL文件。权限维持主要是通过创建新服务或新注册表项来实现的，具体取决于恶意软件具有的权限。一旦将执行传递给shellcode，它将使用单个字节作为eXclusive OR（XOR）循环中的密钥，来解密其余的加密数据。解密后，我们可以看到以下的字符串：

Microsoft.Windows.BNG|[C&C IP address]:443;|1;1;1;1;1;1;1;|00-24;|1

shellcode的主要目标是在内存中加载和执行攻击者的插件。

被修改的Gh0st RAT

在分析以前的文件时，我们发现了一个名为'Plugins'的文件夹，里面有一些有趣的DLL和两个需要执行密码的文件（如下图所示）。

逆向分析后，我们发现密码没有被硬编码。 相反，密码基于当前的年份和月份。例如，2018年3月份的密码是'201803'。

第一个名为'Noodles'的文件，似乎是基于编译日期和功能的Gh0st RAT旧的修改版本。名为'Mozilla'的第二个文件是用于此次攻击的主要工具。我们可以在下面看到两个面板的外观：

目前，这两种工具都可以侦听任何给定的端口，但只有'Mozilla'可以连接到绑定端口。支持的协议包括安全套接字层（SSL）和传输控制协议（TCP）。列表中其中一个协议被命名，但目前还不支持，并显示错误消息。这可能表明这个工具仍在开发中，并且计划增加额外的功能。

另外，对Mozilla工具的分析确定了二进制内的程序数据库（PDB）路径：

K:\Mozilla\Mozillav6.0.x_dll\WorkActive\Release\Mozilla.pdb

该工具严重依赖于插件。 当有新的受害者连接时，攻击者可以使用PluginManager将新插件加载到受感染的机器。

大多数可用的插件都基于Gh0st RAT源码，并且可以在下面找到它们的摘要：

网络通信

受害者和攻击者之间的网络流量使用Rivest Cipher 4（RC4）加密。密钥对于每个请求都是唯一的，并且使用'XOR'和'AND'指令进行加密。密钥存储在请求的前28个字节中。我们编写了一个Python脚本，将网络捕获（PCAP）作为输入并对其进行解密，你可以在我们的Github存储库中找到它：https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/gh0st_variant_c2

例如，下面我们可以在名为sent的机器上看到受害者和C2服务器之间的初始连接，

数据到服务器..

[i] Found key: C8410061440A01c762FA9000
00000000: 0501570049004E00  2D00510047004F00  ..W.I.N.-.Q.G.O.
00000010: 3400430051004E00  49004F004E003500  4.C.Q.N.I.O.N.5.

并且在PE文件的独特开头下面可以看到，因为插件已被传送到客户端。

数据到客户端..

[i] Found key: C841006804EC089c84EA9020
00000000: 4D5A900003000000  04000000FFFF0000  MZ..............
00000010: B800000000000000  4000000000000000  ........@.......
00000020: 0000000000000000  0000000000000000  ................
00000030: 0000000000000000  00000000F0000000  ................
00000040: 0E1FBA0E00B409CD  21B8014CCD215468  ........!..L.!Th
00000050: 69732070726F6772  616D2063616E6E6F  is program canno
00000060: 742062652072756E  20696E20444F5320  t be run in DOS
00000070: 6D6F64652E0D0D0A  2400000000000000  mode....$.......

IOCs

命令和控制（C&C) IP：

23.227.207.137

89.249.65.194

恶意文件目录：

C:\ProgramData\HIDMgr

C:\ProgramData\Rascon

C:\ProgramData\TrkSvr

恶意服务名称：

HIDMgr

RasconMan

TrkSvr

用于持久性的注册表项：

‘rundll32.exe_malicious_DLL_path’ in ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’

文件名和哈希：

参考

https://www.erai.com/CustomUploads/ca/wp/2015_12_wp_operation_iron_tiger.pdf

https://labs.bitdefender.com/wp-content/uploads/downloads/operation-pzchao-inside-a-highly-specialized-espionage-infrastructure/

*参考来源：nccgroup，FB小编 secist 编译，转载请注明来自FreeBuf.COM