本周StrRat恶意软件再次影响意大利。CERT -AGID随后返回研究新样本,以便为分析人员提供快速解码工具。
回想一下,StrRat 是一种用 Java 编写的远程访问木马 ( RAT ),主要用于信息盗窃,还配备了 后门功能。
它使用插件架构为攻击者提供完全远程访问,并包括针对凭据盗窃、键盘记录和其他插件集成的功能。
“config.txt ”文件的位置和内容
由于与C2相关的所有有用信息、用于下载插件的端口和 URL 均在随附的 config.txt文件中加密,并且解码已记录在案。
因此 CERT-AgID 创建了一个 CyberChef配方 ,该配方利用了高级功能可促进和加速解码过程。
这个概念很简单:配方采用Base64 编码输入,将其解码为十六进制,通过删除空格来清理文本,提取密钥和 IV,使用 PBKDF2 派生密钥,最后使用 AES 解密剩余数据。
一切都基于由已知密码“ strigoi ”生成的密钥。
链接:
https://gchq.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true,false)To_Hex('Space',0)Find_/_Replace(%7B'option':'Regex','string':'%5C%5Cs'%7D,'',true,false,true,false)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'%5E.%7B8%7D'%7D,'',true,false,true,false)Register('(%5E.%7B32%7D)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'%5E.%7B32%7D'%7D,'',true,false,true,false)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Derive_PBKDF2_key(%7B'option':'UTF8','string':'strigoi'%7D,128,65536,'SHA1',%7B'option':'Hex','string':'%24R1'%7D)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'.*'%7D,'%24R2',false,false,false,false)AES_Decrypt(%7B'option':'Hex','string':'%24R3'%7D,%7B'option':'Hex','string':'%24R1'%7D,'CBC','Hex','Raw',%7B'option':'Hex','string':''%7D,%7B'option':'Hex','string':''%7D)&input=
注意: 该配方对过去 3 年检测到的所有 StrRat 样本均有效,因为它们基于已知密码“strigoi”。但是,如果您的密码发生变化,您可能需要更新您的配方以继续确保正确的解码。”
妥协指标
为了公开分析样本的详细信息,获得的 IoC 报告如下:
下载 IoC 链接:
https://cert-agid.gov.it/wp-content/uploads/2024/08/StrRat_07-08-2024.json
原文始发于微信公众号(网络研究观):远程访问木马 StrRat 重返意大利
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论