设为首页 加入收藏
首页
通信行业
电子行业
五金行业
电气行业
汽车行业
安防行业
暖通行业
食品行业
服装行业
教育行业
搜索: 全站搜索 文章 图片 软件 视频 商品 FLASH 产品

TOP

Palo Alto Networks最新发明:UBoatRAT长途木马拜候步伐入侵东亚歹意

    简报内容节选如下:

    Palo Alto Networks威逼谍报团队Unit42近日颁布发表发明一款名为UBoatRAT的新型长途拜候木马步伐(RAT),由其倡议的进击已被确认。该木马步伐的最第一版本于2017年5月被发明,其为一款简略HTTP后门步伐,哄骗香港大众博客办事和日本曾经遭到进击的web办事器一路构建C2办事器。今后,开发者很快为原有代码插手更多功效并在六月份公布更新版本。从玄月份最新变种所策动的进击来看,咱们发明有以下特色:

    •方针对象为与韩国和电子游戏行业相干的小我私家和组织

    •借助Google Drive分发歹意软件

    •从GitHub获取C2办事器地址

    •应用微软后台智能传输办事(BITS)连结连贯性

    方针

    此刻咱们还不明确该木马步伐所针对简直切方针。但咱们猜测这次进击的方针是无关韩国或电子游戏行业的员工或组织,缘故原由之一是基于进击者在通报歹意软件时应用的文件名。另一个缘故原由是UBoatRAT只有在被入侵计较机插手AD域时,才会在其上执行歹意操作。

    传输和植入

    咱们注意到有多个UBoatRAT种变来自Google Drive云盘。据咱们阐发,并不是所有的链接都是有用的,但有些链接(包孕上面的链接)是有用的。

从Google Drive云盘下载

 图1从Google Drive云盘下载

    紧缩文件托管于Google Drive云盘,此中包罗了歹意可执行文件,这些文件假装成文件夹或Microsoft Excel电子表格。UBoatRAT的最新变种于7月下旬或许更晚的时间公布,假装成Microsoft Word文档文件。

UBoatRAT伪装样本

图2 UBoatRAT假装样本

    在执行操作时,UBoatRAT会在被入侵的呆板上查抄以下两个前提。

    •检测虚构化软件,如VMWare,VirtualBox或QEmu。

    •从收集参数获取域名

    要是木马步伐检测到有虚构情况存在或无奈获取域名,就会显示以下虚伪差错信息提醒并退出。

虚假错误信息提示

图3 虚伪差错信息提醒

    不然,UBoatRAT将本身复制为C:\ programdata \ svchost.exe,创立C:\ programdata \ init.bat并执行bat文件。然后显示以下信息提醒并退出。

安装后的虚假错误信息提示

图4 安装后的虚伪差错信息提醒

    BITS连续传输

    UBoatRAT经由过程应用微软后台智能传输办事(BITS)完成长期性。BITS是一种在呆板间传输文件的办事。虽然应用该办事最闻名的使用步伐是Windows Update,但其余使用步伐或用户也可以应用该组件。

    C2 通讯和后门指令

    UboadRAT面前的进击者将C2地址和方针端口隐蔽在Github上的一个文件中,应用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md

    UBoatRAT应用自界说号令和节制和谈与进击者的办事器进行通讯。歹意软件在有用载荷或指令的顶部放置字符串“488”(十六进制中的0x34,0x38,0x38),并应用简略的XOR暗码,用动态密钥0x88加密整个缓冲区。如许的话收集负载老是以0xBC,0xB0,0xB0进行启动。

‘488’标记

图5‘488’标志

借助静态密钥对‘488’标记加密

图6 借助动态密钥对‘488’标志加密

    UBoatRAT的开发

    在撰写本文时,咱们曾经确定了14个UBoatRAT样本和一个与进击无关的下载步伐。如上所述,年夜部门UBoatRAT样本都从GitHub中获取C2地址。只有蒲月份公布的阿谁样本毗连到香港的大众博客办事器,入侵日本正当web办事器并将其用作C2办事器。该样本应用通例的HTTP和谈进行通讯。博客帐号“elsa_kr”注册于2016年4月,今朝没有任何无意义的内容。

公共博客服务被用作C2服务器

图7 大众博客办事被用作C2办事器

    总结

    只管最新版本的UBoatRAT已于9月份公布,但10月份在GitHub上咱们曾经看到了elsa999帐户的多个更新。开发者彷佛对此木马威逼的开发和测试乐此不疲。咱们将继续监督这次行为是否有更新。

    Palo Alto Networks的客户可经由过程以下方式免遭这次威逼:

    •咱们会商的所有样本都已被WildFire和Threat Prevention认定为歹意软件

    •Traps可阻止该歹意软件的执行

    •AutoFocus用户可对陈诉中说起的应用UBoatRAT的歹意软件进行跟踪

    进击参数

    UBoatRAT SHA256

    bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271

    6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c

    cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7

    7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1

    04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b

    42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac

    7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7

    460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5

    55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7

    9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82

    e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494

    eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e

    452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875

    66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5

    SHA256下载步伐

    f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3

    收集拜候

    https://raw.githubusercontent[.]com/r1ng/news/master/README.md

    https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md

    http://www.ak(masked)[.]jp/images/

    http://elsakrblog.blogspot[.]hk/2017/03/test.html

    C2办事器

    115.68.49[.]179:80

    115.68.49[.]179:443

    60.248.190[.]36:443

    115.68.52[.]66:443

    115.68.49[.]180:443

    122.147.187[.]173:443

    124.150.140[.]131:443

    文件途径

    C:\programdata\init.bat

    C:\programdata\svchost.exe

    欲知概况,敬请浏览完备博文:https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/

责任编纂:贾巍


本文章为原创文章,版权属于原创作者,如需要请联系原创作者。
您看到此篇文章时的感受是:
Tags:歹意 步伐 样本 木马 责任编辑:admin
】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部
分享到: 
上一篇腾讯使用宝微下载开释微信分发价.. 下一篇马来西亚微信乐游卡公布,Lingcod..

评论

我来说两句
帐号: 密码: (新用户注册)
验 证 码:
表 情:
内  容:

相关栏目

最新文章

热门文章

推荐文章

相关文章

重点文章

描述:南昌食监网" src="http://www.fxwyk.com/upload_files/label/1_20170416090452_jn4w1.png" width="88" height="31" border=0> 名称:天天食品网
描述:食品行业网 名称:中华卫生网
描述:理财问析题-理财问题分析投资网! 名称:无穷大投资网
描述: 名称:白来网普及
描述: 名称:信任投资商 -- 田地新闻  -- 农民科技种植技术资讯网
描述: 名称:火星人火花
描述: 名称:好朋友警察
描述: 名称:捍卫神州 -- 强胜火源游戏 -- 游戏技巧新闻网!
描述: 山西食品药品综合资讯网  bbi资讯  食品新闻网  手机门户网  健康卫生网  中国内幕揭秘  唐山监督信息网  晋城新农村  地球信息科学  滨海卫生新闻网  娱乐内幕网  南平食监网  美剧时间表  省政府新闻网  百合花投资  明光足球网  重庆满意度  教育综合网  综艺琅琊榜  长春食药卫生资讯  邯郸百姓网  吉林花草鱼  吉林行业新闻  医疗战线新闻网  中华美容院  播客城市群  南阳千里马