tRat是什么

這篇文章主要介紹了tRat是什么，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

概述

TA505是Proofpoint研究團(tuán)隊(duì)一直在跟蹤的一個(gè)活動(dòng)非常頻繁的網(wǎng)絡(luò)犯罪組織，根據(jù)目前收集到的數(shù)據(jù)，該組織操作過(guò)始于2014年的上百次Dridex惡意活動(dòng)，以及2016年和2017年的大規(guī)模Locky攻擊活動(dòng)，而且其中的很多攻擊活動(dòng)涉及到了全世界數(shù)以億計(jì)的惡意消息。近期，該組織又開(kāi)始傳播各種遠(yuǎn)程訪問(wèn)木馬（RAT），以及各類(lèi)信息提取、加載和網(wǎng)絡(luò)偵偵查工具了，其中就包括我們之前沒(méi)介紹過(guò)的tRat。

tRat是一款采用Delphi開(kāi)發(fā)的模塊化RAT，這款RAT在今年9月份和10月份的惡意活動(dòng)中首次出現(xiàn)。那么在這篇文章中，我們將對(duì)這款RAT進(jìn)行簡(jiǎn)單的分析。

惡意活動(dòng)

在2018年9月27日，Proofpoint檢測(cè)到了一次惡意郵件活動(dòng)，該活動(dòng)中的惡意Microsoft Word文檔使用了宏功能來(lái)下載tRat。這份惡意文檔中標(biāo)記了Norton殺毒引擎的字樣，并且通過(guò)文檔名稱和嵌入的圖片告訴用戶這份文件是受卡巴斯基安全產(chǎn)品保護(hù)的。郵件的主題欄包含了“安全共享文件”的字樣，這里同樣也使用了社工技術(shù)來(lái)安裝tRat：

在2018年10月11日，我們還觀察到了另一個(gè)傳播tRAT的惡意活動(dòng)。這次活動(dòng)背后的攻擊者就是TA505，而且這一活動(dòng)比之前的更加復(fù)雜，他們使用了Microsoft和Microsoft Publisher文件，并且豐富了主題欄和發(fā)送方的內(nèi)容。通過(guò)分析來(lái)看，此次活動(dòng)似乎針對(duì)的是商業(yè)銀行機(jī)構(gòu)的用戶。

在這一活動(dòng)中，帶有惡意Microsoft Publisher文檔的消息會(huì)標(biāo)記上“計(jì)費(fèi)單”和“收貨單”等字樣。比如說(shuō)，有的惡意郵件主題為“呼叫通知-[隨機(jī)數(shù)字]-[隨機(jī)數(shù)字]”，攜帶的附件名為“Report.doc”：

其中，郵件附件會(huì)包含惡意宏，啟用之后，便會(huì)下載tRat：

惡意文件分析

在對(duì)惡意軟件樣本進(jìn)行了分析之后，我們發(fā)現(xiàn)tRat會(huì)通過(guò)將代碼拷貝到下列位置來(lái)實(shí)現(xiàn)持續(xù)性感染：

C:\Users\<user>\AppData\Roaming\Adobe\FlashPlayer\Services\Frame Host\fhost.exe

接下來(lái)，tRat會(huì)在啟動(dòng)目錄中創(chuàng)建一個(gè)LNK文件，然后目標(biāo)設(shè)備會(huì)在系統(tǒng)啟動(dòng)時(shí)執(zhí)行惡意代碼：

C:\Users\<user>\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\bfhost.lnk

tRat中大多數(shù)的重要字符串都會(huì)加密存儲(chǔ)，并使用了十六進(jìn)制轉(zhuǎn)碼。這里給大家提供了一個(gè)Python腳本來(lái)對(duì)這些字符串進(jìn)行解密?！灸_本下載】

tRat使用TCP（端口80）來(lái)與遠(yuǎn)程C2服務(wù)器進(jìn)行通信，數(shù)據(jù)進(jìn)行了加密并以十六進(jìn)制形式發(fā)送。為了生成解密密鑰，tRat會(huì)連接三個(gè)字符串，并生成一個(gè)大寫(xiě)的十六進(jìn)制編碼字符串，我們解碼出的樣本字符串如下：

"Fx@%gJ_2oK""AC8FFF33D07229BF84E7A429CADC33BFEAE7AC4A87AE33ACEAAC8192A68C55A6""&LmcF#7R2m"

目前我們還不知道不同惡意軟件樣本的這些字符串會(huì)不會(huì)變化。

為了生成密鑰，tRat會(huì)在解密過(guò)程中使用一個(gè)1536字節(jié)的密碼表，雖然我們現(xiàn)在還沒(méi)弄清楚這個(gè)密碼表中所有元素的明確含義，但是我們發(fā)現(xiàn)代碼會(huì)進(jìn)行異或計(jì)算，而且算法中的部分值是從加密數(shù)據(jù)中獲取的?！久艽a表獲取】

tRat的初始網(wǎng)絡(luò)請(qǐng)求為“ATUH_INF”，解密樣本如下：

MfB5aV1dybxQNLfg:D29A79D6CD2F47389A66BB5F2891D64C8A87F05AE3E1C6C5CBA4A79AA5ECA29F8E8C8FFCA6A2892B8B6E

這個(gè)字符串包含了兩個(gè)子字符串，由“:”分隔。第一個(gè)子字符串是一個(gè)硬編碼的標(biāo)識(shí)符（加密字符串），第二個(gè)子字符串包含了加密的系統(tǒng)數(shù)據(jù)，樣本如下：

FASHYEOHAL/nXAiDQWdGwORzt:3A176D130C266A4D

這些數(shù)據(jù)中會(huì)包含受感染主機(jī)的名稱、系統(tǒng)用戶名和tRat bot ID。

目前，我們還沒(méi)觀察到tRat的遠(yuǎn)程C2服務(wù)器發(fā)送任何新的功能模塊，所以我們現(xiàn)在還無(wú)法確定新版本惡意軟件會(huì)增加哪些功能。

入侵威脅指標(biāo)IoC

IoC：cd0f52f5d56aa933e4c2129416233b52a391b5c6f372c079ed2c6eaca1b96b85

IoC類(lèi)型：SHA256

IoC描述：tRat樣本哈希，9月27日活動(dòng)

IoC：cdb8a02189a8739dbe5283f8bc4679bf28933adbe56bff6d050bad348932352b

IoC類(lèi)型：SHA256

IoC描述：tRat樣本哈希，10月1日活動(dòng)

IoC：51.15.70[.]74

IoC類(lèi)型：IP

IoC描述：C&C

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“tRat是什么”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!