18

Pekraut:近期新出现的RAT

 4 years ago
source link: https://www.freebuf.com/articles/others-articles/232550.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

最近新出现了一个功能丰富的 RAT 名为 Pekraut,经过分析后推测可能来源于德国。

在日常通过可疑路径检索新兴恶意软件时,一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注意。该 样本ConfuserEx 加壳的 .NET 程序。名为netRat.exe的该文件已上传到 VirusTotal。文件版本信息中的InternalName与OriginalFilename相同,版本信息还包含 2019 年的版权声明。

如下所示是 ConfuserEx 加壳的 Pekrau 样本的 PortexAnalyzer 的结果:

7Bniumu.jpg!web

如下所示,是脱壳的 Pekrau 样本的 PortexAnalyzer 的结果:

UnY73yr.jpg!web

通过相似样本检索,我们发现了第二个 样本 。该样本在前一个样本一天后被上传到 VirusTotal。该样本虽然没有加壳,但是使用了 Dotfuscator 加了混淆。第一个样本脱壳 ConfuserEx 后会得到几乎与第二个文件相同的文件。

混淆模糊了 .NET 符号的原始名称,比如类、变量、函数。我们没有发现任何未混淆的 Pekraut 样本,因此我们手动命名这些符号。去混淆后的 样本 也适用于本文的截图,请注意,这些符号名称不是源代码的一部分,不能以此作为检测签名。

Pekraut RAT 的命令列表

Pekraut 的客户端可接受 27 条命令,help命令可以得到命令的德文描述,但是命令本身还是英文的。某些命令没有提供解释性描述信息,例如dbg命令。如下所示,负责管理所有命令的类在命令列表中有七个占位符对象。可能是在打印所有命令的帮助描述时放置换行符的奇怪方式。

FjInaqa.jpg!web

综上所述,除调试命令外,整个 RAT 的功能已经十分丰富了。恶意软件的作者对代码如此自信,以至于都忽略了阻碍分析的措施。下表总结了对命令实现的细节分析:

命令 描述 spy_cb 读取剪贴板数据发送回 C&C 服务器,支持存储在剪贴板内的图像 spy_keylogger 记录键盘按键。支持以下特殊键 VK_OEM_NEC_EQUAL、VK_LShift、VK_RShift、VK_Scroll、VK_LMenu、VK_RMenu、VK_RControl、VK_LControl spy_mic 使用设备的麦克风开始\停止录制,将数据发送回 C&C 服务器 spy_scr 显示有关显示器的信息或为特定的屏幕截图,将数据发送回 C&C 服务器 spy_cam 使用设备的摄像头拍摄单张照片或将视频流传输到 C&C 服务器 reg_list 列出指定注册表项的所有子项和值 reg_del 删除注册表项,然后将删除项发送到 C&C 服务器 reg_read 读取注册表项,将数据发送到 C&C 服务器 reg_value 在注册表中创建/写入值 proc_kill 通过进程名称或 ID 终止进程 proc_list 将所有正在运行的进程名称发送到 C&C 服务器 proc_start 通过指定路径执行文件 file_delete 删除文件或文件夹 file_download 通过指定 URL 下载文件 file_info 将文件的文件名、扩展名、大小、创建日期、上次访问、只读属性发送回 C&C 服务器 file_list 将文件夹的所有文件与文件夹名称发送到 C&C 服务器,列出所有可用驱动器 file_send 将文件发送到 C&C 服务器 exploit_admin_win10 使用 Windows 10 UAC Bypass 以管理员权限启动给定程序 pc_cmd 通过 cmd.exe 执行命令,将输出发回 C&C 服务器 pc_shutdown 关闭计算机 sysinfo 将设备名称、用户名、操作系统、处理器体系接哦古、屏幕数量、摄像头数量、麦克风数量等信息发送回 C&C 服务器 dbg 目前为无限循环,根据命令猜测为调试客户端程序,但尚未完全实现 exit 与服务器断开连接自行终止 help 所有命令/描述信息 client_err 将最后一个错误发送到 C&C 服务器 tasks 将当前执行的命令发送到 C&C 服务器,并可以选择命令终止 client_install 通过使用 Pekraut RAT 的 install/uninstall 来安装/卸载客户端

通过 ComputerDefaults.exe 的 UAC 绕过

Pekraut RAT 利用 CoumputerDefaults.exe,该方法于 2018 年 10 月被 Fabien Dromas文章 中提出。步骤如下:

创建注册表键HKCU\Software\Classes\ms-settings\shell\open\command

创建无数据的HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute的值

将要以管理员权限启动的程序的数据写入HKCU\Software\Classes\ms-settings\shell\open\command\(default)的值中

执行 ComputerDefaults.exe

由于存在 DelegateExecute 的值,ComputerDefaults.exe 将会执行程序。执行 ComputerDefaults.exe 之后,Pekraut 将会删除 UAC 绕过的所有注册表项。

reMBJb2.jpg!web

Pekraut RAT 的安装/卸载

Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。

安装

将自身复制到%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe

将 svchost.exe 文件设置为隐藏与系统文件。这将使该文件从常规文件系统中不可见,并且成为系统文件

注册表HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell值默认包含字符串 explorer.exe。Pekraut 将HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell追加到其后。这会在登录后执行 explorer.exe 和伪装的 svchost.exe

在C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IExplorerUpdate.lnk处创建快捷方式文件,指向%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe。由于快捷方式位置是硬编码的,所以对于系统不安装在 C 盘的计算机上不起作用

最后,会执行三遍 ping 8.8.8.8.然后删除原始文件并复制%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe

VvaAJzZ.jpg!web

卸载

将注册表键HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell恢复到默认值explorer.exe

删除创建的快捷方式

执行 ping 8.8.8.8 随后删除自身

安装与卸载设置

安装与卸载设置中共有九个配置选项和四个静态字符串(分别表示安装位置、安装子文件夹、复制文件名称和 Windows 快捷方式名称)。这些配置可能是使用恶意软件生成工具设置的,如下所示,除了useInstallSubFolder选项之外,此样本的其余选项均已启用。执行后文件会被复制到%USERPROFILE%\AppData\Roaming\Microsoft\<installSubFolder>\svchost.exe处。

i2yaqaj.jpg!web

连接 C&C 服务器

Pekraut RAT 的 C&C 通信使用 portfowarding 的 portmap.io 隐藏 C&C 服务器的真实 IP 地址。如此一来,服务器甚至可以使用攻击者的家用台式机。

Pekraut RAT 支持发送/接收以下类型的数据:按键、文本、图片、音频、视频、错误、文件、身份验证信息。文本数据通过配置文件中的 AES 密钥进行加密,其他数据使用 zlib 进行加密。

uAv2QrQ.jpg!web

如上所示,端口使用 37648,认证 ID 为Nga8tG123hragGJjqt10jgag123,加密密钥为Ag2asgh2thGas37。

结论

目前为止,我们还没有看到其他样本出现,但是有迹象表明该恶意软件即将对外发布:

配置中显示版本号为 1.1

RAT 提供了丰富的功能可以批量创建修改版

为攻击者提供恶意软件构建工具的话就会发现更多版本

良性远程访问工具不会伪装 svchost.exe 和 Internet Explorer 更新进行持久化

IOC 

cbc500b76995d36c76d04061c58ceaf93a1880af32be494e5ac1e099663ed0fd
2dab95abe3460e34954527e88223662a03512938a9a28ab57e7f0a8ec298f367
4a89c3676dd86531c1fefb4e76d49cc31dc07a1a68c149dd08967e6fd7f6135a
9dfffcbfb6537dc051b60f630ed1cd3f768bb0024a8e998752ab9ef6f4c30c65
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IExplorerUpdate.lnk%APPDATA%\Microsoft\svchost.exe
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell] = “explorer.exe, %APPDATA%\Microsoft\svchost.exe”
[HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute] = “”
[HKCU\Software\Classes\ms-settings\shell\open\command(default)] =

*参考来源: GData ,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK