远程访问木马 StrRat 重返意大利

admin 2024年8月12日09:00:35评论11 views字数 1557阅读5分11秒阅读模式

远程访问木马 StrRat 重返意大利

本周StrRat恶意软件再次影响意大利。CERT -AGID随后返回研究新样本,以便为分析人员提供快速解码工具。

回想一下,StrRat 是一种用 Java 编写的远程访问木马 ( RAT ),主要用于信息盗窃,还配备了 后门功能。

它使用插件架构为攻击者提供完全远程访问,并包括针对凭据盗窃、键盘记录和其他插件集成的功能。

远程访问木马 StrRat 重返意大利

“config.txt ”文件的位置和内容

由于与C2相关的所有有用信息、用于下载插件的端口和 URL 均在随附的 config.txt文件中加密,并且解码已记录在案。

因此 CERT-AgID 创建了一个 CyberChef配方 ,该配方利用了高级功能可促进和加速解码过程。

远程访问木马 StrRat 重返意大利

远程访问木马 StrRat 重返意大利

这个概念很简单:配方采用Base64 编码输入,将其解码为十六进制,通过删除空格来清理文本,提取密钥和 IV,使用 PBKDF2 派生密钥,最后使用 AES 解密剩余数据。

一切都基于由已知密码“ strigoi ”生成的密钥。

链接:

https://gchq.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true,false)To_Hex('Space',0)Find_/_Replace(%7B'option':'Regex','string':'%5C%5Cs'%7D,'',true,false,true,false)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'%5E.%7B8%7D'%7D,'',true,false,true,false)Register('(%5E.%7B32%7D)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'%5E.%7B32%7D'%7D,'',true,false,true,false)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Derive_PBKDF2_key(%7B'option':'UTF8','string':'strigoi'%7D,128,65536,'SHA1',%7B'option':'Hex','string':'%24R1'%7D)Register('(%5B%5C%5Cs%5C%5CS%5D*)',true,false,false)Find_/_Replace(%7B'option':'Regex','string':'.*'%7D,'%24R2',false,false,false,false)AES_Decrypt(%7B'option':'Hex','string':'%24R3'%7D,%7B'option':'Hex','string':'%24R1'%7D,'CBC','Hex','Raw',%7B'option':'Hex','string':''%7D,%7B'option':'Hex','string':''%7D)&input=

注意: 该配方对过去 3 年检测到的所有 StrRat 样本均有效,因为它们基于已知密码“strigoi”。但是,如果您的密码发生变化,您可能需要更新您的配方以继续确保正确的解码。”

妥协指标

为了公开分析样本的详细信息,获得的 IoC 报告如下:

下载 IoC 链接: 

https://cert-agid.gov.it/wp-content/uploads/2024/08/StrRat_07-08-2024.json

原文始发于微信公众号(网络研究观):远程访问木马 StrRat 重返意大利

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月12日09:00:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   远程访问木马 StrRat 重返意大利http://cn-sec.com/archives/3057152.html

发表评论

匿名网友 填写信息