Crutch是一款什么軟件

小編給大家分享一下Crutch是一款什么軟件，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

寫在前面的話

根據(jù)ESET的最新報(bào)道，ESET的研究人員近期發(fā)現(xiàn)了一個(gè)此前沒有任何記錄的后門和文件竊取惡意軟件。這款惡意軟件的開發(fā)人員將其命名為Crutch，并且現(xiàn)已將其跟臭名昭著的Turla APT組織聯(lián)系到了一起。在2015年至2020年初的一系列網(wǎng)絡(luò)間諜活動中，俄羅斯黑客組織Turla就使用了這款此前從未被發(fā)現(xiàn)的惡意軟件框架來針對各種政府機(jī)構(gòu)進(jìn)行攻擊。據(jù)了解，俄羅斯黑客組織Turla所使用的Crutch惡意軟件可以幫助網(wǎng)絡(luò)攻擊者收集和提取泄露的敏感文件。

我們對俄羅斯黑客組織Turla以及他們所使用的Crutch惡意軟件框架進(jìn)行了深入分析，而Turla的攻擊復(fù)雜程度以及相關(guān)的技術(shù)細(xì)節(jié)也足以證明，俄羅斯黑客組織Turla絕對擁有大量的資源來運(yùn)營和維護(hù)如此龐大而多樣化的網(wǎng)絡(luò)攻擊武器庫。

Crutch屬于俄羅斯黑客組織Turla

ESET的安全研究專家之所以能夠?qū)rutch惡意軟件與俄羅斯黑客組織Turla（APT組織）聯(lián)系起來，主要是根據(jù)該黑客組織在2016年至2017年之間所使用的后門特性才下的結(jié)論。當(dāng)時(shí)，該黑客組織當(dāng)時(shí)使用的第二階段后門為Gazer（SHA-1 1AE4775EFF21FB59708E8C2B55967CD24840C8D9），這款后門程序也被稱為WhiteBear，而它跟Crutch惡意軟件（SHA-1 A010D5449D29A1916827FDB443E3C84C*405CB2A5）在某些方面有著高度的相似性：

• 這兩個(gè)樣本的惡意文件在目標(biāo)設(shè)備上的存儲路徑均為“C:\Intel\~intel_upd.exe”；

• 這兩個(gè)樣本都會投放CAB文件，其中包含各種惡意軟件組件；

• 這兩個(gè)惡意軟件加載器的的PBD路徑也具有高度相關(guān)性：即C:\Users\user\Documents\Visual Studio 2012\Projects\MemoryStarter\Release\Extractor.pdb和C:\Users\user\Documents\Visual Studio 2012\Projects\MemoryStarter\x64\Release\Extractor.pdb；

• 加載器在解密Payload時(shí)使用的是相同的RC*4密鑰：E8 8E 77 7E C7 80 8E E7 CE CE CE C6 C6 CE C6 68；

鑒于這些因素以及兩者之間的相似性，而且此前也沒有發(fā)現(xiàn)Turla惡意軟件家族有跟其他的網(wǎng)絡(luò)犯罪組織共享過代碼，因此我們有理由認(rèn)為Crutch惡意軟件就是屬于Turla網(wǎng)絡(luò)攻擊武器庫的一部分。

另一個(gè)有意思的地方在于，研究人員竟然還在同一臺受感染主機(jī)中同時(shí)發(fā)現(xiàn)了FatDuke和Crutch。前者是Dukes/APT29所使用的第三階段后門，不過目前還沒有任何證據(jù)表明這兩個(gè)惡意軟件家族之間有什么相關(guān)性。

網(wǎng)絡(luò)間諜活動

根據(jù)ESET LiveGrid?的數(shù)據(jù)，Turla使用了Crutch來對歐盟某國外交部的幾臺機(jī)器執(zhí)行了攻擊，而Crutch可以幫助網(wǎng)絡(luò)攻擊者收集和提取泄露的敏感文件，并將這些收集到的文件存儲至Dropbox賬號中以備后續(xù)使用。

在分析過程中，我們捕捉到了幾個(gè)由攻擊者發(fā)送至幾個(gè)Crutch v3實(shí)例的某些控制命令，這些信息可以幫助我們更好地了解攻擊者的目的，其中涉及到了大量網(wǎng)絡(luò)偵察、橫向滲透和網(wǎng)絡(luò)間諜活動。

該惡意軟件的主要而已活動是文檔和各種文件的暫存、壓縮和過濾，具體如下代碼所示：

copy /y \\<redacted>\C$\users\<redacted>\prog\csrftokens.txt c:\programdata\ & dir /x c:\programdata\

copy /y \\<redacted>\c$\users\user\Downloads\FWD___~1.ZIP %temp%\

copy /y \\<redacted>\c$\docume~1\User\My Documents\Downloads\8937.pdf %temp%

"C:\Program Files\WinRAR\Rar.exe" a -hp<redacted> -ri10 -r -y -u -m2 -v30m "%temp%\~res.dat" "d:\<redacted>\*.*" "d:\$RECYCLE.BIN\*.doc*" "d:\$RECYCLE.BIN\*.pdf*" "d:\$RECYCLE.BIN\*.xls*" "d:\Recycled\*.doc*" "d:\Recycled\*.pdf*" "d:\<redacted>\*.pdf"

這些命令是由攻擊者手動執(zhí)行的，因此不會顯示驅(qū)動器監(jiān)視器組件自動收集文檔的情況。文件提取則是由后門命令執(zhí)行的，這些會在之后的部分進(jìn)行介紹。

最后，攻擊者還會在某個(gè)時(shí)刻執(zhí)行下列命令：

mkdir %temp%\Illbeback

攻擊者的工作時(shí)間

為了了解Turla的工作時(shí)間，我們對其上傳至Dropbox的ZIP文件時(shí)間進(jìn)行了分析。這些ZIP文件中包含了后門控制命令，并由攻擊者從后門讀取和執(zhí)行其內(nèi)容時(shí)起異步上傳到Dropbox。我們收集了506個(gè)不同的時(shí)間戳，范圍從2018年10月到2019年7月。具體如下圖所示：

由此可見，他們的工作時(shí)間與俄羅斯UTC + 3時(shí)區(qū)一致。

入侵/惡意軟件傳播

早在2017年，俄羅斯黑客組織Turla在攻擊的第一個(gè)階段會選擇使用Skipper來對目標(biāo)主機(jī)進(jìn)行感染攻擊，然后在第二個(gè)階段，他們才會使用Crutch惡意軟件來作為第二階段后門程序。但是在某些情況下，俄羅斯黑客組織Turla還會使用開源的PowerShell Empire后滲透框架來進(jìn)行攻擊。

在2015年至2019年年中這段時(shí)間里的Crutch還是早期的版本，當(dāng)時(shí)版本的Crutch使用了后門通信信道并通過Dropbox的官方HTTP API接口來跟硬編碼的Dropbox賬號進(jìn)行通信，并使用了不具備網(wǎng)絡(luò)通信功能的驅(qū)動器監(jiān)控工具來存儲、搜索、提取和加密敏感文件。

下面給出的是Crutch v3惡意軟件的實(shí)現(xiàn)架構(gòu)：

在此之后，Crutch的開發(fā)者又使用了一個(gè)更新版本（ESET將其標(biāo)記為“version 4”）。在這個(gè)版本中，Crutch新增了一個(gè)網(wǎng)絡(luò)通信功能的可移動驅(qū)動器監(jiān)視器，并移除了后門功能。

但是，由于這個(gè)新版本的Crutch能夠使用使用Windows版本的Wget實(shí)用程序自動將在本地驅(qū)動器和可移動驅(qū)動器上收集到的敏感文件上傳到Dropbox網(wǎng)絡(luò)存儲之中，也就是說，這個(gè)版本的Crutch實(shí)現(xiàn)的是一種更加簡單的敏感文件收集方法。

下面給出的是Crutch v4惡意軟件的實(shí)現(xiàn)架構(gòu)：

Crutch v4的工作目錄為C:\Intel，其中包含下列組件：

• dll：Crutch DLL；

• exe：合法的Microsoft Outlook程序（SHA-1: 31D82C554ABAB3DD8917D058C2A46509272668C3）；

• dat：Crutch配置文件，其中包含Dropbox API令牌；

• exe：RAR工具（SHA-1: A92C801F491485F6E27B7EF6E52E02B461DBCFAA）；

• exe：Windows版Wget工具（SHA-1: 457B1CD985ED07BAFFD8C66FF40E9C1B6DA93753）；

跟Crutch v3類似，Crutch v4也使用了DLL劫持技術(shù)，以便在安裝了Chrome、Firefox或OneDrive的受感染設(shè)備上實(shí)現(xiàn)持久化感染，此時(shí)的Cruch version 4會以“一個(gè)舊的Microsoft Outlook組件”的身份來感染目標(biāo)主機(jī)。

入侵威脅指標(biāo)IoC

哈希：

路徑：

C:\Intel\

C:\AMD\Temp\

文件名：

C:\Intel\outllib.dll

C:\Intel\lang.nls

C:\Intel\~intel_upd.exe

C:\Intel\~csrss.exe

C:\Program Files (x86)\Google\Chrome\Application\dwmapi.dll

C:\Program Files (x86)\Mozilla Firefox\rasadhlp.dll

%LOCALAPPDATA%\Microsoft\OneDrive\dwmapi.dll

網(wǎng)絡(luò)：

hotspot.accesscam[.]org

highcolumn.webredirect[.]org

ethdns.mywire[.]org

theguardian.webredirect[.]org

https://raw.githubusercontent[.]com/ksRD18pro/ksRD18/master/ntk.tmp

以上是“Crutch是一款什么軟件”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注億速云行業(yè)資訊頻道！