安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
近日卡巴斯基披露了一种专门针对亚太地区各种工业组织的FatalRAT攻击活动,该攻击活动中使用了一个命名为梵高的远控样本,攻击者使用合法的云内容交付网络(CDN),例如myqcloud和有道云笔记服务等作为其攻击基础设施的一部分,采用复杂的多阶段有效载荷交付框架来逃避各大安全厂商的检测。
原报告链接:
https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/
卡巴斯基报道的这些攻击活动,在国内有一个统一的称号就是“银狐”黑产组织,使用各种RAT远控工具进行各种黑灰产活动,这些远控工具包含:各种修改版本的Gh0st RAT、SimayRAT、Zegost RAT 和 FatalRAT等。
通过威胁情报网站,查询卡巴斯基披露的攻击活动相关基础设施,如下所示:
关联到相关的样本,如下所示:
笔者通过微步威胁情报平台进行关联分析,下载相关的样本对该攻击活动进行了详细分析。
样本分析
1.母体样本使用UPX加壳,如下所示:
2.使用UPX工具脱壳,如下所示:
3.样本的PDB信息,如下所示:
4.从远程服务器上下载一个JSON配置文件,如下所示:
5.解析JSON配置文件内容,如下所示:
6.按JSON配置文件顺序,依次下载相关的恶意加密文件,如下所示:
7.解密加密的文件,如下所示:
8.下载第一阶段DLL的PDB信息,如下所示:
9.从远程服务器下载加密的数据,如下所示:
10.下载第二阶段的DLL的PDB信息,如下所示:
11.读取配置文件中加密文件信息,解密加密的文件,如下所示:
12.生成加密的压缩包文件,如下所示:
13.解压缩之后,如下所示:
14.BAT脚本文件内容,如下所示:
15.采用白+黑方式加载执行恶意DLL模块,如下所示:
16.获取到第三阶段的DLL的PDB信息,如下所示:
17.最后通过第三阶段的DLL从远程服务器下载最终的FatalRAT远控,如下所示:
到此整个FatalRAT远控攻击活动就完整的还原了,中间使用了梵高远控攻击样本,整个分析过程比较复杂,样本使用了多种加壳,混淆以及免杀技术,有兴趣的可以自行研究一下,有啥问题再交流。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
对恶意样本分析感兴趣的,但是又完全没有基础的读者,可以学习笔者的《恶意软件分析基础教程》,基本上是从零基础开始入门恶意软件分析。
对高级恶意软件分析和研究感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族,笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族,这些恶意软件家族都是全球最流行的,也是黑客攻击活动中最常见的恶意软件家族,被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):银狐黑产组织FatalRAT攻击活动详细分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论