GravityRAT间谍软件分析

2018年研究人员发布GravityRAT研究报告，印度计算机应急响应小组（CERT-IN）于2017年首次发现该木马。该软件被认定隶属于巴基斯坦的黑客组织，至少自2015年以来一直保持活跃，主要针对Windows机器，2018年将Android设备添加到了目标列表中。

软件分析

2019年在VirusTotal发现一个Android间谍软件，经过分析它与GravityRAT有关。攻击者在Travel Mate中增加了一个间谍模块，Travel Mate是一个面向印度旅客的Android应用程序，其源代码可在Github上获得。

攻击者使用了Github上2018年10月发布的版本，添加了恶意代码并更名为Travel Mate Pro。

木马的清单文件包括Services和Receiver：

木马app中的class：

间谍软件具有标准功能：它将设备数据，联系人列表，电子邮件地址以，通话和文本日志发送到C＆C服务器。此外木马会在设备内存以及连接的媒体上搜索扩展名为.jpg，.jpeg，.log，.png，.txt，.pdf，.xml，.doc，.xls，.xlsx 、. ppt，.pptx，.docx和.opus的文件，并将它们发送到C＆C，url如下：

木马使用的C＆C地址：

nortonupdates[.]online:64443
nortonupdates[.]online:64443

研究中还发现了名为Enigma.ps1的恶意PowerShell脚本，可执行C＃代码，通过n3.nortonupdates[.]online:64443下载在计算机上找到的文件的数据（.doc，.ppt，.pdf，.xls，.docx，.pptx 、. xlsx）以及受感染机器的数据。

PowerShell script：

检测到一个非常相似的VBS脚本，其名称为iV.dll，但没有指定的路径：

除了VBS模板之外，还有Windows Task Scheduler的XML模板，名称为aeS.dll，rsA.dll，eA.dll和eS.dll：

在主程序中，将所需的路径和名称写入模板，并添加了计划任务：

该程序与服务器通过download.enigma.net[.]in/90954349.php通信，其具有简单的图形界面以及加密和文件交换逻辑：

除了Enigma和Titanium之外，还包含以下间谍木马程序：

Wpd.exe
Taskhostex.exe
WCNsvc.exe
SMTPHost.exe
CSRP.exe

他们的C＆C：

windowsupdates[.]eu:46769
windowsupdates[.]eu:46769
mozillaupdates[.]com:46769
mozillaupdates[.]com:46769
mozillaupdates[.]us

GravityRAT系列使用了相同的46769端口，进一步搜索找到了PE文件Xray.exe：

此版本收集数据并将其发送到n1.nortonupdates[.]online和n2.nortonupdates[.]online。

n*.nortonupdates[.]online解析为213.152.161[.]219，在Passive DNS数据库中发现了可疑的域u01.msoftserver[.]eu。通过对该域的搜索找到了应用ZW.exe，该应用程序由Python编写并使用PyInstaller打包，ZW.exe调用的C＆C地址：

msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443

间谍软件从服务器接收命令：

获取系统信息
搜索扩展名为.doc，.docx，.ppt，.pptx，.xls，.xlsx，.pdf，.odt，.odp和.ods的文件，并将其上传到服务器
获取正在运行的进程的列表
键盘记录
截屏
执行任意的shell命令
录制音频（此版本未实现）
扫描端口

该代码是多平台的：

特征路径确认了新版本的GravityRAT：

其他版本的GravityRAT

lolomycin&Co

GravityRAT的较旧版本Whisper也包含在组件whisper.exe中，字符串“ lolomycin＆Co”为ZIP文件密码：

通过此字符串，在应用程序中找到了较新的.NET版本的GravityRAT：

WeShare
TrustX
Click2Chat
Bollywood

新版本的GravityRAT

.NET版本

Sharify
MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

Electron版本

Android版本

SavitaBhabi

IoCs

MD5

Travel Mate Pro — df6e86d804af7084c569aa809b2e2134

iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68

enigma.exe — b6af1494766fd8d808753c931381a945

Titanium — 7bd970995a1689b0c0333b54dffb49b6

Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72

Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94

WCNsvc.exe — cceca8bca9874569e398d5dc8716123c

SMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4

CSRP.exe — e73b4b2138a67008836cb986ba5cee2f

Chat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3

AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cd

Xray.exe — 1f484cdf77ac662f982287fba6ed050d

ZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9

RW.exe — 78506a097d96c630*5bd3d8fa92363

TW.exe — 86c865a0f04b1570d8417187c9e23b74

Whisper — 31f64aa248e7be0be97a34587ec50f67

WeShare —e202b3bbb88b1d32dd034e6c307ceb99

TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257

Click2Chat — defcd751054227bc2dd3070e368b697d

Bollywood — c0df894f72fd560c94089f17d45c0d88

Sharify — 2b6e5eefc7c14905c5e8371e82648830

MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015

GoZap — 6689ecf015e036ccf142415dd5e42385

StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac)

TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac)

OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac)

CvStyler — df1bf7d30a502e6388e2566ada4fe9c8

SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)

URLs

daily.windowsupdates[.]eu

nightly.windowsupdates[.]eu

dailybuild.mozillaupdates[.]com

nightlybuild.mozillaupdates[.]com

u01.msoftserver[.]eu

u02.msoftserver[.]eu

u03.msoftserver[.]eu

u04.msoftserver[.]eu

n1.nortonupdates[.]online

n2.nortonupdates[.]online

n3.nortonupdates[.]online

n4.nortonupdates[.]online

sake.mozillaupdates[.]us

gyzu.mozillaupdates[.]us

chuki.mozillaupdates[.]us

zen.mozillaupdates[.]us

ud01.microsoftupdate[.]in

ud02.microsoftupdate[.]in

ud03.microsoftupdate[.]in

ud04.microsoftupdate[.]in

chat2hire[.]net

wesharex[.]net

click2chat[.]org

x-trust[.]net

bollywoods[.]co[.]in

enigma[.]net[.]in

titaniumx[.]co[.]in

sharify[.]co[.]in

strongbox[.]in

teraspace[.]co[.]in

gozap[.]co[.]in

orangevault[.]net

savitabhabi[.]co[.]in

melodymate[.]co[.]in

cvstyler[.]co[.]in

原文链接

https://securelist.com/gravityrat-the-spy-returns/99097/

本文转自：freebuf