远程访问木马(RAT)是攻击者用来获得对用户系统的完全访问和远程控制的工具,包括鼠标和键盘控制、文件访问和网络资源访问等。Cyble Research Labs 在常规的 OSINT 研究中,发现了一个名为 Borat 的新远程访问木马 ( RAT ) 。与其它 RAT 不同,Borat 向攻击者提供勒索软件、DDOS 服务以及常见的 RAT 功能,进一步扩展了恶意软件的功能。
开发者将这款 RAT 命名为“波拉特”( Borat ),这是一部黑色喜剧伪纪录片,而 RAT 中使用的照片是演员萨沙·拜伦·科恩( Sacha Baron Cohen ),他是电影《波拉特》( Borat )的主角。Borat RAT 开发者声称该恶意软件具有如图1和图2所示功能。
图 1:Borat RAT 功能列表
图 2:Borat RAT 附加功能
Borat RAT 为攻击者提供了一个控制面板来执行 RAT 活动,还可以选择编译恶意软件二进制文件以对目标设备执行 DDoS 攻击和勒索攻击,如图 3 所示。
图 3:Borat RAT 控制面板
技术分析
研究人员详细分析了 Borat RAT 及其特征。Borat RAT 作为一个包提供,其中包括构建器二进制文件、支持模块和服务器证书等,如图 4 所示。
图 4:Borat 包
下图显示了负责执行 RAT 功能的支持模块,如图 5 所示。
图 5:用于执行功能的 DLL
键盘记录程序
模块“ keylogger.exe ”负责监控和存储目标中的键盘输入。下图显示了 RAT 用于键盘记录的与键盘相关的 API。捕获的键盘输入被保存在一个名为“ Sa8XOfH1BudXLog.txt ”的文件中以进行导出。
图 6:键盘相关 API
勒索软件
有趣的是,RAT 可以选择向目标设备发送勒索软件 payload,以加密用户的文件并索要赎金。与其它勒索软件一样,此 RAT 也能够在目标设备上创建赎金记录。
图 7:生成赎金记录的代码
支付赎金后,RAT 具有解密目标设备文件的代码,如下所示。
图 8:解密方法
DDOS
此 RAT 还可以通过执行 DDOS 攻击来破坏目标服务器的正常流量。下图显示了 RAT 用于 DDOS 攻击的代码。
图 9:DDoS 攻击代码
录音
Borat RAT 可以录制计算机的音频。最初,它会检查目标设备中是否存在麦克风。如果可以找到连接的麦克风,RAT 会记录所有音频并将其保存在名为 micaudio.wav 的文件中。
图 10:麦克风录音代码
网络摄像头录像
Borat RAT 可以通过目标设备中的任意网络摄像头录像。首先,它会识别目标设备中是否存在网络摄像头,如果摄像头可用,它就会开始录制视频。
图 11:网络摄像头录像
远程桌面
该恶意软件获取目标设备的远程桌面。然后,它赋予攻击者执行活动所需的权限,例如控制目标的设备、鼠标、键盘和捕获屏幕。控制设备可以让攻击者执行诸多任务,例如删除重要文件和在目标中执行勒索软件等。下图显示了 RAT 用于执行远程桌面的功能。
图 12:用于执行远程桌面的函数
反向代理
RAT 具有启用反向代理以匿名执行 RAT 活动的代码。攻击者可以在与目标服务器通信时使用此选项隐藏其身份。
图 13:反向代理代码
收集设备信息
RAT 从目标设备上收集信息,包括操作系统名称、操作系统版本和系统型号等。下图显示了用于收集信息的命令。
图 14:用于收集设备信息的命令
进程空化(ProcessHollowing)
使用 RAT,攻击者可以使用进程空化( ProcessHollowing )技术将恶意代码注入合法进程。下图显示了 RAT 用于 Process Hollowing 的 API。
图 15:Process Hollowing
浏览器凭据窃取
Borat RAT 可以从基于 Chromium 的浏览器(如 Google Chrome、Edge 等)窃取 cookie、历史记录、书签和保存的登录凭据。 下图显示了 RAT 用于窃取浏览器凭据的功能。
图 16:用于窃取浏览器凭据的功能
Discord 令牌窃取
RAT 还窃取 Discord 令牌并将被盗令牌信息发送给攻击者。
远程活动
RAT 通过以下活动来干扰目标:播放音频、替换鼠标按钮、显示/隐藏桌面、显示/隐藏任务栏、按住鼠标、启用/禁用网络摄像头灯、挂起系统、关闭监视器和黑屏等。
结论
Borat RAT 是集远程访问木马、间谍软件和勒索软件的强大组合,使其对目标具有三重威胁。它具有录音、控制摄像头和执行信息窃取活动的能力,显然是一个重点关注的威胁。新增的 DDOS 攻击功能使其成为组织和个人需要提防的更危险的威胁。
建议
研究人员列出了一些基本的网络安全最佳实践,可以创建第一道抵御攻击者的防线。建议用户遵循以下建议:
·不要将重要文件保存在桌面、我的文档等常用位置。
·尽可能使用强密码并实施多因素身份验证。
·在计算机、移动设备和其它联网设备上打开自动软件更新功能。
·在连接的设备(包括 PC、笔记本电脑和移动设备)上使用知名的杀毒软件和网络安全软件包。
·不要在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。
·进行定期备份,并将这些备份脱机或保存在单独的网络中。
MITRE ATT&CK®Techniques
|
Tactic |
Technique ID |
Technique Name |
|
Execution |
T1204 |
User Execution |
|
Discovery |
T1518 |
Security Software Discovery |
|
T1087 |
Account Discovery |
|
|
T1083 |
File and Directory Discovery |
|
|
Collection |
T1123 |
Audio Capture |
|
T1005 |
Data from Local System |
|
|
T1056 .001 |
Keylogging |
|
|
T1113 |
Screen Capture |
|
|
T1125 |
Video Capture |
|
|
Command and Control |
T1132 |
Data Encoding |
|
T1219 |
Remote Access Software |
|
|
Exfiltration |
T1020 |
Automated Exfiltration |
|
Impact |
T1485 |
Data Destruction |
|
T1486 |
Data Encrypted for Impact |
|
|
T1565 |
Data Manipulation |
|
|
T1499 |
Endpoint Denial of Service |
Indicators Of Compromise(IoCs)
|
Indicators |
Indicator type |
Description |
|
d3559d9f1ca15f1706af9654fd2f4ccc |
MD5 |
Borat.zip |
|
fb120d80a8c3e8891e22f20110c8f0aa59d1b036 |
SHA1 |
|
|
d2ce3aa530ba6b6680759b79aa691260244ca91f5031aa9670248924cc983fb0 |
SHA256 |
|
|
ddab2fe165c9c02281780f38f04a614e |
MD5 |
BoratRAT.exe |
|
2a5ad37e94037a4fc39ce7ba2d66ed8a424383e4 |
SHA1 |
|
|
b47c77d237243747a51dd02d836444ba067cf6cc4b8b3344e5cf791f5f41d20e |
SHA256 |
|
|
3e645ccca1c44a00210924a3b0780955 |
MD5 |
BoratRat.exe.config |
|
5d8e8115489ac505c1d10fdd64e494e512dba793 |
SHA1 |
|
|
f29e697efd7c5ecb928c0310ea832325bf6518786c8e1585e1b85cdc8701602f |
SHA256 |
|
|
f41bfa672cca0ec7a2b30ecebf7eac7e |
MD5 |
ServerCertificate.p12 |
|
d24d4fbd79967df196e77d127744659bbb2288d6 |
SHA1 |
|
|
8c300944ae62e17ab05ad408c5fb5473ebccac514c8ddc17c47bc9fda451c91b |
SHA256 |
|
|
9726d7fe49c8ba43845ad8e5e2802bb8 |
MD5 |
Audio.dll |
|
8bcdf790826a2ac7adfc1e8b214e8de43e086b97 |
SHA1 |
|
|
df31a70ceb0c481646eeaf94189242200fafd3df92f8b3ec97c0d0670f0e2259 |
SHA256 |
|
|
7ee673594bbb20f65448aab05f1361d0 |
MD5 |
Discord.dll |
|
2a29736882439ef4c9088913e7905c0408cb2443 |
SHA1 |
|
|
8fa7634b7dca1a451cf8940429be6ad2440821ed04d5d70b6e727e5968e0b5f6 |
SHA256 |
|
|
62c231bafa469ab04f090fcb4475d360 |
MD5 |
Extra.dll |
|
82dda56bc59ac7db05eddbe4bcf0fe9323e32073 |
SHA1 |
|
|
6a4f32b0228092ce68e8448c6f4b74b4c654f40fb2d462c1d6bbd4b4ef09053d |
SHA256 |
|
|
4ccd3dfb14ffdddfa598d1096f0190ea |
MD5 |
FileManager.dll |
|
c68c30355599461aca7205a7cbdb3bb1830d59c8 |
SHA1 |
|
|
7f8a306826fcb0ee985a2b6d874c805f7f9b2062a1123ea4bb7f1eba90fc1b81 |
SHA256 |
|
|
0b7c33c5739903ba4f4b78c446773528 |
MD5 |
FileSearcher.dll |
|
b58555bebddf8e695880014d34a863a647da547e |
SHA1 |
|
|
2d9625f41793f62bfe32c10b2d5e05668e321bcaf8b73414b3c31ef677b9bff4 |
SHA256 |
|
|
499fc6ac30b3b342833c79523be4a60c |
MD5 |
Fun.dll |
|
dcf1ed3fbc56d63b42c88ede88f9cad1d509e7ec |
SHA1 |
|
|
dcac599b1bab37e1a388ac469e6cc5de1f35eb02beaa6778f07a1c090ce3ea04 |
SHA256 |
|
|
87651b12453131dafd3e91f60d8aef5a |
MD5 |
Information.dll |
|
d5db880256bffa098718894edf684ea0dc4c335d |
SHA1 |
|
|
a15d72d990686d06d89d7e11df2b16bcd5719a40298c19d046fa22c40d56af44 |
SHA256 |
|
|
0cd62cd02962be20ed92abcd0c9e9a25 |
MD5 |
ip2region.db |
|
69fbadc8a4461413c30cd0579d89f8668187e5a2 |
SHA1 |
|
|
5c124a7e35025d3e94df6b17dca5332e9a5aaabdca2355c113f3c93b572281b7 |
SHA256 |
|
|
a45679bdcf30f068032bd37a194fa175 |
MD5 |
Keylogger.exe |
|
f23fd98f28bb0b482f0aae028172e11536e4688c |
SHA1 |
|
|
16beb1ae2de2974ccc2371d9f619f492295e590abb65d3102e362c8ec27f2bbb |
SHA256 |
|
|
872145b37d107144894c9aa8729bad42 |
MD5 |
Logger.dll |
|
01610587bcfa7ac379b1f0169a2a9ab384b9116b |
SHA1 |
|
|
2f258949fd95da6cd912beb7203a9fd5e99d050309a40341de67537edb75aadc |
SHA256 |
|
|
590b00c87d5ff2ffe09079f0406eb2cd |
MD5 |
MessagePackLib.dll |
|
92c91f1db8c2c8cc34c2e1a26f4f970f1518a7ed |
SHA1 |
|
|
adb00dee751b4ba620d3b0e002f5b6d8b89cf63b062f74ec65bba72294d553d1 |
SHA256 |
|
|
509d41da4a688a2e50fc8e3afca074c7 |
MD5 |
Miscellaneous.dll |
|
228de17938071733585842c59ffb99177831b558 |
SHA1 |
|
|
f91973113fd01465999ce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a |
SHA256 |
|
|
509d41da4a688a2e50fc8e3afca074c7 |
MD5 |
Miscellaneous.dll |
|
228de17938071733585842c59ffb99177831b558 |
SHA1 |
|
|
f91973113fd01465999ce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a |
SHA256 |
|
|
12911f5654d6346fe99ef91e90849c13 |
MD5 |
Netstat.dll |
|
1b8e63d03feb84d995c02dcbb74da7edfaa8c763 |
SHA1 |
|
|
7eed1b90946a6db1fe978d177a80542b5db0bf3156c979dc8a8869a94811bf4b |
SHA256 |
|
|
3a474b8dee059562b31887197d94f382 |
MD5 |
Options.dll |
|
b31455f9583b89cac9f655c136801673fb7b4b9a |
SHA1 |
|
|
c9b8e795c5a024f9e3c85ba64534b9bf52cc8c3d29b95ff6417dc3a54bc68b95 |
SHA256 |
|
|
91edcb945924df5fbf4ff123aa63199c |
MD5 |
ProcessManager.dll |
|
d124869aaee9aa1a49def714774b834335aa746e |
SHA1 |
|
|
5b1f80ff787bdcd7ee12aa64be1f2f5f1f658bd644bbc5fd73527b51da6ce0d6 |
SHA256 |
|
|
ef998529d037fcdb2bde6d046f99db45 |
MD5 |
Ransomware.dll |
|
1a38a1182155429ecc64c20ece46ec0836c32ec7 |
SHA1 |
|
|
54f554b9e330476b3903756f62b577bab35cdef941d3d0f6a3d607862762bf91 |
SHA256 |
|
|
ea1ff113b847312d57fa8621f71f460f |
MD5 |
Recovery.dll |
|
535a4e525da7e98f4f4f69abc923a1065bd2d3fa |
SHA1 |
|
|
58f9e3c90446dfecfec64221eb11167dd41d0e8dedda2ea9f83d9dda2890e6f3 |
SHA256 |
|
|
8749c78b8ad09a3b240dd1384a17539b |
MD5 |
Regedit.dll |
|
b9263ac725ccd8c664ae0f9da5fc0d00adcb8c5e |
SHA1 |
|
|
657e3f1f449c0b710b0c571ec8eee689ae16793fb63b996e0182420d768f89bd |
SHA256 |
|
|
acbf0f8b09320f3e967ee83fcda26f5d |
MD5 |
RemoteCamera.dll |
|
bbee0fa1c88edcd0469974223fb026e1176256dc |
SHA1 |
|
|
203300be75ad8f57972324519b2583a44e759cdd57390d6765df10288e249789 |
SHA256 |
|
|
0f93650dd78557f41b7c5467e3b6b6a7 |
MD5 |
RemoteDesktop.dll |
|
382bd4496eb7439fde85832abca87cc21cb7872f |
SHA1 |
|
|
cc5b49d2a2821d4f6ef6af8a1e50994c6690d6a4daa41bd048fe79bd8b578988 |
SHA256 |
|
|
e89a0b897f93d7d5cb433b3fd01764c9 |
MD5 |
ReverseProxy.dll |
|
9e72e85d13fe70c2518041e30d202f04b14324b6 |
SHA1 |
|
|
d8a115310142f2e874dc7ea2a393fada679838bddb87f4cfd9aaef631641cb72 |
SHA256 |
|
|
7f3a6c23c979f840d98b8b04a583cde9 |
MD5 |
SendFile.dll |
|
941c50a425479c5f025fbb152a1a0754ac03c252 |
SHA1 |
|
|
0da1bd8e67d6f499cc3b296fc278103497f7ca2f692fe76e3c0413b0e14df777 |
SHA256 |
|
|
d405b02cb6c624a7df4ebecefc5d23a9 |
MD5 |
SendMemory.dll |
|
0272d8cc3456a9bdfff7431f9ce238c93511cacd |
SHA1 |
|
|
e06a66122af82580a883ce21609f89628e5dd648726307693d398c0661a1e5c1 |
SHA256 |
原文链接:
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/
原文始发于微信公众号(维他命安全):Borat RAT的深度分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论