官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
最近新出现了一个功能丰富的 RAT 名为 Pekraut,经过分析后推测可能来源于德国。
在日常通过可疑路径检索新兴恶意软件时,一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注意。该样本是ConfuserEx加壳的 .NET 程序。名为netRat.exe的该文件已上传到 VirusTotal。文件版本信息中的InternalName与OriginalFilename相同,版本信息还包含 2019 年的版权声明。
如下所示是 ConfuserEx 加壳的 Pekrau 样本的 PortexAnalyzer 的结果:
如下所示,是脱壳的 Pekrau 样本的 PortexAnalyzer 的结果:
通过相似样本检索,我们发现了第二个样本。该样本在前一个样本一天后被上传到 VirusTotal。该样本虽然没有加壳,但是使用了 Dotfuscator 加了混淆。第一个样本脱壳 ConfuserEx 后会得到几乎与第二个文件相同的文件。
混淆模糊了 .NET 符号的原始名称,比如类、变量、函数。我们没有发现任何未混淆的 Pekraut 样本,因此我们手动命名这些符号。去混淆后的样本也适用于本文的截图,请注意,这些符号名称不是源代码的一部分,不能以此作为检测签名。
Pekraut RAT 的命令列表
Pekraut 的客户端可接受 27 条命令,help命令可以得到命令的德文描述,但是命令本身还是英文的。某些命令没有提供解释性描述信息,例如dbg命令。如下所示,负责管理所有命令的类在命令列表中有七个占位符对象。可能是在打印所有命令的帮助描述时放置换行符的奇怪方式。
综上所述,除调试命令外,整个 RAT 的功能已经十分丰富了。恶意软件的作者对代码如此自信,以至于都忽略了阻碍分析的措施。下表总结了对命令实现的细节分析:
| 命令 | 描述 |
|---|---|
| spy_cb | 读取剪贴板数据发送回 C&C 服务器,支持存储在剪贴板内的图像 |
| spy_keylogger | 记录键盘按键。支持以下特殊键 VK_OEM_NEC_EQUAL、VK_LShift、VK_RShift、VK_Scroll、VK_LMenu、VK_RMenu、VK_RControl、VK_LControl |
| spy_mic | 使用设备的麦克风开始\停止录制,将数据发送回 C&C 服务器 |
| spy_scr | 显示有关显示器的信息或为特定的屏幕截图,将数据发送回 C&C 服务器 |
| spy_cam | 使用设备的摄像头拍摄单张照片或将视频流传输到 C&C 服务器 |
| reg_list | 列出指定注册表项的所有子项和值 |
| reg_del | 删除注册表项,然后将删除项发送到 C&C 服务器 |
| reg_read | 读取注册表项,将数据发送到 C&C 服务器 |
| reg_value | 在注册表中创建/写入值 |
| proc_kill | 通过进程名称或 ID 终止进程 |
| proc_list | 将所有正在运行的进程名称发送到 C&C 服务器 |
| proc_start | 通过指定路径执行文件 |
| file_delete | 删除文件或文件夹 |
| file_download | 通过指定 URL 下载文件 |
| file_info | 将文件的文件名、扩展名、大小、创建日期、上次访问、只读属性发送回 C&C 服务器 |
| file_list | 将文件夹的所有文件与文件夹名称发送到 C&C 服务器,列出所有可用驱动器 |
| file_send | 将文件发送到 C&C 服务器 |
| exploit_admin_win10 | 使用 Windows 10 UAC Bypass 以管理员权限启动给定程序 |
| pc_cmd | 通过 cmd.exe 执行命令,将输出发回 C&C 服务器 |
| pc_shutdown | 关闭计算机 |
| sysinfo | 将设备名称、用户名、操作系统、处理器体系接哦古、屏幕数量、摄像头数量、麦克风数量等信息发送回 C&C 服务器 |
| dbg | 目前为无限循环,根据命令猜测为调试客户端程序,但尚未完全实现 |
| exit | 与服务器断开连接自行终止 |
| help | 所有命令/描述信息 |
| client_err | 将最后一个错误发送到 C&C 服务器 |
| tasks | 将当前执行的命令发送到 C&C 服务器,并可以选择命令终止 |
| client_install | 通过使用 Pekraut RAT 的 install/uninstall 来安装/卸载客户端 |
通过 ComputerDefaults.exe 的 UAC 绕过
Pekraut RAT 利用 CoumputerDefaults.exe,该方法于 2018 年 10 月被Fabien Dromas在文章中提出。步骤如下:
创建注册表键HKCU\Software\Classes\ms-settings\shell\open\command
创建无数据的HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute的值
将要以管理员权限启动的程序的数据写入HKCU\Software\Classes\ms-settings\shell\open\command\(default)的值中
执行 ComputerDefaults.exe
由于存在 DelegateExecute 的值,ComputerDefaults.exe 将会执行程序。执行 ComputerDefaults.exe 之后,Pekraut 将会删除 UAC 绕过的所有注册表项。
Pekraut RAT 的安装/卸载
Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。
安装
将自身复制到%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe
将 svchost.exe 文件设置为隐藏与系统文件。这将使该文件从常规文件系统中不可见,并且成为系统文件
注册表HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell值默认包含字符串 explorer.exe。Pekraut 将HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell追加到其后。这会在登录后执行 explorer.exe 和伪装的 svchost.exe
在C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IExplorerUpdate.lnk处创建快捷方式文件,指向%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe。由于快捷方式位置是硬编码的,所以对于系统不安装在 C 盘的计算机上不起作用
最后,会执行三遍 ping 8.8.8.8.然后删除原始文件并复制%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe
卸载
将注册表键HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell恢复到默认值explorer.exe
删除创建的快捷方式
执行 ping 8.8.8.8 随后删除自身
安装与卸载设置
安装与卸载设置中共有九个配置选项和四个静态字符串(分别表示安装位置、安装子文件夹、复制文件名称和 Windows 快捷方式名称)。这些配置可能是使用恶意软件生成工具设置的,如下所示,除了useInstallSubFolder选项之外,此样本的其余选项均已启用。执行后文件会被复制到%USERPROFILE%\AppData\Roaming\Microsoft\<installSubFolder>\svchost.exe处。
连接 C&C 服务器
Pekraut RAT 的 C&C 通信使用 portfowarding 的portmap.io隐藏 C&C 服务器的真实 IP 地址。如此一来,服务器甚至可以使用攻击者的家用台式机。
Pekraut RAT 支持发送/接收以下类型的数据:按键、文本、图片、音频、视频、错误、文件、身份验证信息。文本数据通过配置文件中的 AES 密钥进行加密,其他数据使用 zlib 进行加密。
如上所示,端口使用 37648,认证 ID 为Nga8tG123hragGJjqt10jgag123,加密密钥为Ag2asgh2thGas37。
结论
目前为止,我们还没有看到其他样本出现,但是有迹象表明该恶意软件即将对外发布:
配置中显示版本号为 1.1
RAT 提供了丰富的功能可以批量创建修改版
为攻击者提供恶意软件构建工具的话就会发现更多版本
良性远程访问工具不会伪装 svchost.exe 和 Internet Explorer 更新进行持久化
IOC
cbc500b76995d36c76d04061c58ceaf93a1880af32be494e5ac1e099663ed0fd
2dab95abe3460e34954527e88223662a03512938a9a28ab57e7f0a8ec298f367
4a89c3676dd86531c1fefb4e76d49cc31dc07a1a68c149dd08967e6fd7f6135a
9dfffcbfb6537dc051b60f630ed1cd3f768bb0024a8e998752ab9ef6f4c30c65
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IExplorerUpdate.lnk%APPDATA%\Microsoft\svchost.exe
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell] = "explorer.exe, %APPDATA%\Microsoft\svchost.exe"
[HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute] = ""
[HKCU\Software\Classes\ms-settings\shell\open\command(default)] =
*参考来源:GData,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM
- 0 文章数
- 0 关注者