持续使用KimJongRAT和PCRat发动攻击：BabyShark恶意软件分析

一、摘要

2019年2月，Unit42发布了一篇关于BabyShark恶意软件系列的文章，其中涉及到针对美国国家智库的相关鱼叉式网络钓鱼活动。自该文章发布以来，直到2019年3月和4月，攻击者已经将目标扩展到加密货币行业，表明这些攻击背后的攻击者也在尝试获取经济利益。

在跟踪该威胁组织的最新活动时，Unit42的研究人员收集了BabyShark恶意软件的服务器端和客户端文件，以及两个编码后的二级PE Payload文件，恶意软件在收到恶意运营者的命令之后会安装这些文件。通过分析这些文件，我们可以进一步从整体上了解BabyShark恶意软件的多阶段结构和功能，例如它如何尝试维护操作安全性和支持的远程管理命令。根据我们的研究，恶意软件作者似乎将编码后的二级Payload称为“Cowboy”，无论恶意软件是属于什么家族。

我们的研究表明，BabyShark恶意软件系列的最新恶意活动似乎是出于以下两个目的：

1、关于核安全和朝鲜半岛国家安全问题的间谍活动；

2、基于样本中使用的诱饵内容，重点关注加密货币行业的经济收益，如下图所示。Xcryptocrash是一种在线的加密货币赌博游戏。

与加密货币相关的BabyShark恶意文件诱饵：

我们推断，BabyShark恶意软件工具集在具有关联的恶意组织之间共享，或者是同一组织被分配了不同的任务。

在我们的分析中，我们发现BabyShark攻击使用KimJongRAT和PCRat作为编码的二级Payload，因此将其称为“Cowboys”。

二、可疑访问日志记录

BabyShark有一个多阶段的感染链，每个阶段之间都有检查，以确保只有目标主机才能进入到下一个阶段，最后才会向攻击者发回信号。

BabyShark恶意软件整体结构：中国菜刀

具体而言，这一过程是通过维护一个针对服务器进行可疑访问尝试的黑名单来实现的，在黑名单中记录了IP地址和计算机名称，这是一种可能使分析变得更难的技术。在黑名单中的IP地址和计算机名称，以Base64编码格式写在[BASE_URI]/blackip.txt中，如下图所示。

blacktip.txt中列入黑名单的IP地址和计算机名称：

当使用与黑名单匹配的数据进行新的访问尝试时，服务器将不会进入到下一阶段，并会通过下图所示的独立日志文件向恶意运营者者发出警报。

恶意运营者的可疑活动日志报告：

BabyShark的C2服务器还会记录对其基本URI的访问，并重定向到http://go.microsoft[.]com。这样做的目的，可能是避免由于托管Web服务器的潜在错误配置而看到其他文件。

if($ff=fopen(“resp_suspect”,”a”))
{
fwrite($ff, $date . ”  ” . $ip . ” suspected access ” . $useragent .”\r\n”);
     fclose($ff);
}
header(‘Location: http://go.microsoft[.]com/’);
exit;

三、远程命令

恶意运营者可以向受BabyShark感染的受害者系统发出基于VBS和PowerShell的命令。我们从C2找到的远程命令位于下表中，但是，BabyShark不仅限于这些命令，因为攻击者可以创建更多VBS或PowerShell命令文件。

1. 基于VBS的远程命令

(1) getfiles – 将BabyShark基本路径中的所有文件压缩为ZIP格式，然后上传到C2。

(2) exe_down – 下载二级Payload的文件，具体如下：

· Cowboy，一个自定义编码的PE Payload；

· 一个EXE格式的加载器，可以在内存中解码并加载Cowboy；

· 一个DLL类型的加载器，可以在内存中解码并加载Cowboy。

(3) redirect_vbs – 由于缺少密钥文件，所以该命令的用途尚不明确，可能会更改C2路径。

2. 基于PowerShell的远程管理命令

(1) keyhook – 使用PowerShell和C#实现的两种键盘记录器：

· 基于PowerShell的密钥记录器，可以在GitHub上公开找到，其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中；

· 基于C#的密钥记录器，其记录内容被保存在%APPDATA%\Microsoft\ttmp.log中。

(2) dir list – 收集主机信息，并将结果保存在%APPDATA%\Microsoft\ttmp.log中，为完成主机信息收集工作，会使用如下命令：

· whoami

· hostname

· ipconfig

· net user

· arp -a

· dir “%appdata%\Microsoft”

· dir “%systemroot%\SysWOW64\WindowsPowerShell\”

· vol c: d: e: f: g: h: i: j: k: l: m: n: o: p: q: r: s: t: u: v: w: x: y: z:

· dir “%userprofile%\Downloads”

· dir “%userprofile%\Documents”

· dir “%userprofile%\AppData\Local\Google\Chrome\User Data\Default”

· tasklist

此外，还会通过检查注册表项值的方式，对UAC可访问性和Microsoft Office安全设置进行测试。

(3) power com – 将%APPDATA%\Microsoft\delemd.tmp0复制到%APPDATA%\Microsoft\XXYYZZ.tmp，并作为DLL加载。

(4) exe del – 清理与二级Payload执行相关的所有文件：

· %APPDATA%\Microsoft\desktop.r3u（编码后的Cowboy Payload）；

· %APPDATA%\Microsoft\fstnur（用于检查是否为首次执行的文件）；

· %APPDATA%\Microsoft\*.tmp。

(5) execute – 将%APPDATA%\Microsoft\deleme.tmp0复制到%APPDATA%\Microsoft\deleme.tmp，并执行该文件。

四、使用KimJongRAT和PCRat

所有的二级恶意软件将作为一个组合被提供，其中包括：一个EXE加载器、一个DLL加载器、一个编码后的Payload。

EXE加载器和DLL加载器的功能是相同的，唯一的区别是文件类型。这些加载器随后在接收到执行命令“execute”时运行，并调用EXE类型加载器或使用“power com”命令来启动DLL类型的加载器。我们推断，之所以要设置两种不同类型的加载器，其原因在于反病毒软件可能会中断其中一种类型的加载。在这种情况下，恶意软件可以具备加载Payload的备份机制。加载器会加载自定义编码的二级Payload，也就是Cowboy，并在内存中完成解码和执行的过程。天空彩

在我们之前的研究中，我们发现了BabyShark与KimJongRAT恶意软件家族之间存在一些可能的关联性。我们是根据恶意软件行为的相似性、所选取目标的一致性，和此前曾经从相同的威胁行为者看到过新编译的KimJongRAT恶意软件样本这些事实来综合判断的。在我们的最新分析过程中，我们从BabyShark的C2服务器收集了两个二级Payload文件cow_pass.gif和cow.gif。在解码后，我们发现这些样本分别是KimJongRAT和PCRat。两个文件的元数据如下所示。

解码后的PCRat Payload的元数据：

(1) SHA256 f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8

(2) 时间戳 2010-07-14 08:47:40

(3) 文件大小 124,928

(4) 导入哈希 d742aa65c4880f85ae43feebb0781b67

(5) C2 173.248.170[.]149:80

解码后的KimJongRAT Payload的元数据：

(1) SHA256 d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712

(2) 时间戳 2018-12-25 11:11:47

(3) 文件大小 787,968

(4) 导入哈希 daab894b81cc375f0684ae66981b357d

PCRat是一个知名的远程管理木马，其源代码可以在公共互联网上找到。该恶意软件是Gh0st RAT恶意软件系列的变体，它与Gh0st有许多相似之处，包括其网络信标结构，如下图所示。

PCRat与位于173.248.170[.]149:80的C2通信

最初，我们对样本的时间戳如此古老感到好奇，我们很难理解为什么多年来都使用原始的PCRat二进制文件，而没有对其进行修改。但是，当我们在分析过程中，观察到它与C2服务器进行的通信时，确认了恶意运营者似乎正在积极地运营这一恶意软件。

解码后的KimJongRAT样本似乎在代码中展现了过去报告的变种中出现的一些变化。该样本中增加了混淆API字符串所使用的变化的加密方法，如下图所示，这样一来，可以隐藏恶意软件的意图，并移除用于C2数据泄漏的网络功能，可能有利于密码收集过程，我们将在下文中重点讨论。

KimJongRAT中的加密API字符串：

正如原始文件名“cow_pass.fig”所体现的那样，KimJongRAT似乎完全被威胁行为者用于密码提取和信息窃取的工具，并且这些收集到的数据，会通过BabyShark或PCRat等恶意软件发送到C2。KimJongRAT恶意软件从受害者计算机窃取的信息包括：来自Microsoft Outlook和Mozilla Thunderbird的电子邮件凭据，来自Internet Explorer、Chrome、Mozilla Firefox和Yandex浏览器的Google、Facebook和Yahoo!帐户的登录凭据。所有这些信息，连同受害者计算机的操作系统版本信息一起，都被存储在文件“%APPDATA%\Microsoft\ttmp.log”中。“ttmp.log”中的内容始终以字符串“AAAAFFFF0000CCCC”开头，然后附加经过Base64编码后的被窃取凭据。

五、利用CVE-2018-8174漏洞

目前，我们还没有在野外观察到实际的案例，但我们确实在BabyShark C2服务器上找到了一个利用CVE-2018-8174漏洞（Windows VBScript引擎远程代码执行漏洞）的PHP示例，这表明威胁行为者可能会利用此漏洞，通过水坑攻击或鱼叉式网络钓鱼电子邮件攻击的方式，诱导用户点击恶意URL，从而加载BabyShark的第一阶段HTA。

如果从同一IP地址发生多次访问，那么攻击者的漏洞利用脚本会记录受害者的远程IP地址，并重定向到http://google[.]com。这可能是一种旨在防止安全人员进行研究的策略。

if(file_exists($filename))
{
     if($ff=fopen(“resp”,”a”))
     {
          fwrite($ff, $date . ”  ” . $ip .  ”    “.$useragent.”     reopen document.” .”\r\n”);
          fclose($ff);
     }
     header(“location: http://google[.]com”);
     exit;
}
if($ff=fopen(“resp”,”a”))
{
     fwrite($ff, $date . ”  ” . $ip .  ”    “.$useragent.”            open document.” .”\r\n”);
     fclose($ff);
}

六、Cowboy转换工具

在我们的研究过程中，我们还发现了一个基于图形用户界面（GUI）的程序，该程序可能由BabyShark恶意软件作者从公共恶意软件存储库中创建。该文件将用作文件编码器工具，将PE文件转换为前面描述的Cowboy EXE和DLL加载器加载的Payload格式。我们相信，BabyShark作者使用该工具来创建他们的攻击。该工具的元数据如下：

(1) SHA256 bd6efb16527b025a5fd256bb357a91b4ff92aff599105252e50b87f1335db9e1

(2) 时间戳 2019-01-30 18:22:51

(3) 大小 24,576

(4) 导入哈希 bde663d08d4e2e17940d890ccf2e6e74

该工具只是在当前目录中打开一个名为“cowboy”的文件，并将其编码为Cowboy的编码格式，如下所述。如果找不到名为“cowboy”的文件，则会弹出一个消息框，通知“The file cowboy isn't there!”（文件cowboy不存在！），如下图所示。

编码通过下面的三个步骤来完成：

(1) 反转从文件“cowboy”中读取的原始字节内容；

(2) 将反转后的字节进行Base64编码；

(3) 将Base64编码后的字符串分为10个块，并反转这些块的先后顺序。

我们使用Python编写了一个解码器脚本，可以在本文的附录部分看到。

七、总结

自从我们此前的研究发布以来，利用BabyShark恶意软件的恶意攻击仍然在持续。事实上，攻击者扩大了他们的“业务覆盖面”，瞄准了加密货币行业。恶意软件的服务器端实现表明，恶意软件作者已经做出一些努力，来维护恶意软件的运营和C2基础架构运营的安全性。威胁行为者在其活动中，已经利用了一些其他商品和定制开发的工具。具体而言，他们在这一系列恶意活动中使用的是PCRat和KimJongRAT，但可能会在未来更改为其他恶意软件系列。使用BabyShark恶意软件的恶意攻击似乎还会持续，并且可能会继续扩展到针对新的行业。

八、IoC

1. 恶意Word宏文档

· 75917cc1bd9ecd7ef57b7ef428107778b19f46e8c38c00f1c70efc118cb8aab5

2. PCRat

· f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8

3. KimJongRAT

· d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712

4. Cowboy加载器

· 4b3416fb6d1ed1f762772b4dd4f4f652e63ba41f7809b25c5fa0ee9010f7dae7

· 33ce9bcaeb0733a77ff0d85263ce03502ac20873bf58a118d1810861caced254

5. Cowboy转换工具

· bd6efb16527b025a5fd256bb357a91b4ff92aff599105252e50b87f1335db9e1

附录：解码Cowboy的Python脚本

import base64
with open(‘cowboy’, ‘r’) as file_in, open(‘cowboy_clear.bin’, ‘wb’) as file_out:
    EncStr = file_in.read()
    BlkSz = 10
    len_EncStr = len(EncStr)
    NonBlk10_ptr = len_EncStr – (BlkSz -1) * (len_EncStr // BlkSz)
    NonBlk10 = EncStr [:NonBlk10_ptr]
    result = ”
    EncStr = EncStr [NonBlk10_ptr::]
    #print EncStr
    x = range (-1,BlkSz-1)
    Blksize1 = len_EncStr // BlkSz
    for n in x:
        loop_buff1_ptr = n * (len_EncStr // BlkSz)
        loop_buff1 = EncStr [loop_buff1_ptr:loop_buff1_ptr+Blksize1]
        #print loop_buff1
        result = loop_buff1 + result
    result = result + NonBlk10
    clear = base64.b64decode(result)[::-1]
    print clear
file_out.write(clear)