RAT终结者在APT中的演变复杂化

2013-10-31 149628人围观 ,发现 3 个不明物体 WEB安全系统安全

Advanced Persistent Threat 简称 APT, 是以攻击企业和组织为目标,类似工业间谍,用户情报的收集和相关信息的获取。而且这种攻击,是一种持久性的攻击方式。APT攻击在最近的网络攻击事件报道中开始层出不穷。

高级威胁以控制中心为目标,通过民间收购或者自制0day的方式欺骗受害者,以获得相关信息。

比如软件:RAT终结者,这个软件就在最近的2起APT事件中被使用到。在针对台湾地区的APT攻击里,也收集到了相关的实体样本。知名安全公司火眼,分析了其欺骗过程是通过邮件钓鱼的方式来实现。

其实现过程如下:通过CVE-2012-0158这个微软Office漏洞,攻击者往受害者发送的email的附件里带有此类word文件。一旦触发,一个名为:DW20.exe的后面程序将被运行。

有时候,最简单的技术就能看出那些安全大佬和大企业是如何侦测这些恶意文件的,特别具有讽刺意味。那我们看看RAT都用了哪些逃逸方式来躲避侦测:

RAT会先创建并且选定自己的工作目录为:%UserProfile%\Microsoft” “%APPDATA%\2019“,在工作目录,在那里,它会存储下svchost_.exe和sss.exe。 典型的名字欺骗,障眼法。

然后,恶意终止自己,方便在安装完成以后移除自己。rat并不会立即执行,而是在重启后才执行。RAT(scvhost_.exe)会捆绑一个叫sss.exe的反弹软件。该软件接受控制端发出来的指令,服务器位于:liumingzhen.zapto.org/123.51.208.69 以及 liumingzhen.myftp.org/123.51.208.69.

恶意的sss程序扮演了网络中继的角色,在恶意软件和代理服务器之间工作。同时还监听端口:8000.

为了扰乱取证调查,“2019”的文件夹被配置成为新的程序启动点,通过注册表位置可以看到:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

当然,RAT也对基于文件系统的扫描有所提防,它可以将自己的文件大小扩展到40MB,这样可以逃过有些软件的扫描机制。(有些软件对于大文件和超大文件选择的是默认跳过的方式)。

这种很清晰的犯罪行为被混淆化以后变的越来越复杂和难以琢磨。如果你不是深入分析这些东西的话。黑客们总是采用隐形或者先进的恶意软件技术,通过对目标主机的渗透,窃取有价值的数据,得到越来越多的资料,使如今的apt攻击更加复杂,难以检测。

(译者多说一句:单凭借在企业外部对邮件系统进行过滤拦截来挫败apt攻击是不完全也是不足够的,前面的路任重而道远!)

参考翻译: http://thehackernews.com/2013/10/terminator-rat-became-more.html 

这些评论亮了

  • xt9 回复
    没看出作者 标题中的 “演变” “复杂” 体现在哪里
    )6( 亮了
发表评论

已有 3 条评论

取消
Loading...
css.php