近期,我们观察到SiMayRAT家族[l2] 在2022年4月有所活动SiMAyRAT是一个远控家族,攻击者通过邮件鱼叉钓鱼方式将病毒植入到受害者后,病毒通过从云端下载第二阶段的控制代码执行,从而达到控制主机的目的。该家族的一个有趣的特点在于样本(MD5:d9b0afa3d0935c50591acb98487d111d)在此次活动中利用了某云文档进行恶意代码的中转。在网络流量层面,中转过程中我们只能看到云文档的HTTPS加密流量,无法看到中转的恶意代码。这种白站点的利用可以说给加密流量检测带来很大的问题,该家族详细的说明见下文。
样本基本情况
(1)样本以webex主题投放运行。
图 1 样本信息
- 样本从某云文档中获取第二阶段载荷,从而进行下一步动作。文件读写执行主要在以下几步:
写入:C:\ProgramData\logging_info.txt
写入:C:\Users\Public\FBWJDQ.zip
写入:C:\Users\Public\Documents\efender\ZPTKQB\feqfq.f1fe1f
将上处文件名feqfq.f1fe1f修改为DXIAHH.exe名字并执行。
(3)样本中可以看到托管在共享的云文档(恶意代码)URL做为参数传入。
图 2 云文档参数
(4)从流量中可以看到样本访问了某云文档链接,通过某云文档来下载恶意代码。样本使用TLS通信,产生可信的中转流量。
图 3 中转流量
可信站点中转
- 通过浏览器访问URL可以看到分享的云文档。
参数为:hxxps://note.******.com/ynoteshare/index.html?id=f83f6c6da089d58ea8538c71344b8e64&type=notebook&_time=1648556707433,time时间转换为2022-03-29 20:25:07,用户名“vip0418123000”,文件夹名字为“签名正版”。
图 4 共享的恶意软件
- 我们通过关联发现其他同类样本,样本同样以某云文档作为中转,如下:
参数:hxxps://note.******com/ynoteshare/index.html?id=cfae45c9e7cc8a7734b72abe98235dd1&type=notebook&_time=1642761034339),其中time时间转换为2022-01-21 18:30:34 。可以看到关联的样本在2022年1月21日就存在。
图 5 较早的样本
- 样本中通过URL中的ID获取文件计算文件HASH从而下载文件:
- 样本从URL中hxxps://note.******.com/ynoteshare/index.html?id=cfae45c9e7cc8a7734b72abe98235dd1&type=notebook&_time=1642761034339获取id: "cfae45c9e7cc8a7734b72abe98235dd1"
- 第二次请求hxxps://note.******.com/yws/api/personal/share?method=get&shareKey=cfae45c9e7cc8a7734b72abe98235dd1,其中sharekey是上一个URI的id,响应回来的ID为dirID值。
- 第三次请求将上一步的dirID值做为请求参数,hxxps://note.******.com/yws/public/notebook/cfae45c9e7cc8a7734b72abe98235dd1/subdir/dirID,通过文件名从而获取具体FileHashID。
- 第四次通过FileHashID下载文件hxxps://note.******.com/yws/api/personal/file/%FileHashID%?method=download&shareKey=cfae45c9e7cc8a7734b72abe98235dd1
第二阶段文件情况
我们在4月26日下载了共享的较早的那批文件,可以看到用户名为“quanshiyu2022”的分享,分享的文件夹为GUDUO,文件列表如下:
序号 | 文件名 | 大小 | 最后修改 |
1 | m.zip | 822.93KB | 2022-04-26 |
2 | h.zip | 823.17KB | 2022-04-25 |
3 | j.zip | 823.1KB | 2022-04-25 |
4 | z.zip | 823.2KB | 2022-04-25 |
5 | w.zip | 823.18KB | 2022-04-25 |
6 | @.zip | 822.94KB | 2022-04-25 |
7 | i.zip | 823.09KB | 2022-04-25 |
8 | md.zip | 823.11KB | 2022-04-25 |
9 | a.zip | 822.96KB | 2022-04-25 |
10 | o.zip | 823.12KB | 2022-04-25 |
11 | e.zip | 823.05KB | 2022-04-25 |
12 | l.zip | 822.98KB | 2022-04-25 |
13 | y.zip | 823.14KB | 2022-04-25 |
14 | e1.zip | 1.11MB | 2022-04-24 |
15 | cs.zip | 534.5KB | 2022-04-24 |
16 | -.zip | 442.33KB | 2022-04-22 |
17 | v.zip | 530.04KB | 2022-04-19 |
18 | x.zip | 530.47KB | 2022-04-19 |
19 | d.zip | 530.67KB | 2022-04-19 |
20 | 0330.zip | 822.94KB | 2022-04-15 |
21 | 0412.zip | 898.37KB | 2022-04-13 |
22 | 0413.zip | 825.41KB | 2022-04-13 |
23 | 3030.zip | 830.01KB | 2022-04-08 |
24 | k.zip | 1.88MB | 2022-03-26 |
25 | s.zip | 1.32MB | 2022-03-15 |
26 | u.zip | 1.32MB | 2022-03-10 |
内部结构包含三个文件夹,分别是package、static、winzipper。
图 6 文件夹
其中package文件夹中包含三个文件,一个exe、一个dll、一个xml。我们判断样本通过exe加载dll文件来做劫持,从而获得系统执行避免检测。
图 7 package文件夹
其中一个exe文件,可以看到加载DDRAW.dll动作。
图 8 DLL加载
文件夹static文件中存在名为Windows-updatadfinder-CProgramData的文件,大小1247KB或0字节,目前不清楚该文件具体如何使用。
图 9 未知文件
文件夹winzipper主要包含数据:一个为360.zip安装包中360ZipPdfView.exe文件,一个为Winrar32位rar.exe文件。文件名以fdaf1.fda1gfq或fe1fa.feqfad命名。我们怀疑此处的文件仅仅作为压缩使用。
图 10 压缩功能文件
总结
利用白站点作为中转的例子已经很多,比如国内的使用某网盘中转,包括此次中使用的某云,国外较多使用的Dropbox也经常用来中转,APT组织使用Twitter下发指令等,这样的恶意软件将会越来越多,也给流量检测带来更大的挑战。