BoratRAT的深度分析

远程访问木马(RAT)是攻击者用来获得对用户系统的完全访问和远程控制的工具,包括鼠标和键盘控制、文件访问和网络资源访问等。Cyble Research Labs 在常规的 OSINT 研究中,发现了一个名为 Borat 的新远程访问木马 ( RAT ) 。与其它 RAT 不同,Borat 向攻击者提供勒索软件、DDOS 服务以及常见的 RAT 功能,进一步扩展了恶意软件的功能。

开发者将这款 RAT 命名为“波拉特”( Borat ),这是一部黑色喜剧伪纪录片,而 RAT 中使用的照片是演员萨沙·拜伦·科恩( Sacha Baron Cohen ),他是电影《波拉特》( Borat )的主角。Borat RAT 开发者声称该恶意软件具有如图1和图2所示功能。

图 1:Borat RAT 功能列表

图 2:Borat RAT 附加功能

Borat RAT 为攻击者提供了一个控制面板来执行 RAT 活动,还可以选择编译恶意软件二进制文件以对目标设备执行 DDoS 攻击和勒索攻击,如图 3 所示。

图 3:Borat RAT 控制面板

技术分析

研究人员详细分析了 Borat RAT 及其特征。Borat RAT 作为一个包提供,其中包括构建器二进制文件、支持模块和服务器证书等,如图 4 所示。

图 4:Borat 包

下图显示了负责执行 RAT 功能的支持模块,如图 5 所示。

图 5:用于执行功能的 DLL

键盘记录程序

模块“ keylogger.exe ”负责监控和存储目标中的键盘输入。下图显示了 RAT 用于键盘记录的与键盘相关的 API。捕获的键盘输入被保存在一个名为“ Sa8XOfH1BudXLog.txt ”的文件中以进行导出。

图 6:键盘相关 API

勒索软件

有趣的是,RAT 可以选择向目标设备发送勒索软件 payload,以加密用户的文件并索要赎金。与其它勒索软件一样,此 RAT 也能够在目标设备上创建赎金记录。

图 7:生成赎金记录的代码

支付赎金后,RAT 具有解密目标设备文件的代码,如下所示。

图 8:解密方法

DDOS

此 RAT 还可以通过执行 DDOS 攻击来破坏目标服务器的正常流量。下图显示了 RAT 用于 DDOS 攻击的代码。

图 9:DDoS 攻击代码

录音

Borat RAT 可以录制计算机的音频。最初,它会检查目标设备中是否存在麦克风。如果可以找到连接的麦克风,RAT 会记录所有音频并将其保存在名为 micaudio.wav 的文件中。

图 10:麦克风录音代码

网络摄像头录像

Borat RAT 可以通过目标设备中的任意网络摄像头录像。首先,它会识别目标设备中是否存在网络摄像头,如果摄像头可用,它就会开始录制视频。 

图 11:网络摄像头录像

远程桌面

该恶意软件获取目标设备的远程桌面。然后,它赋予攻击者执行活动所需的权限,例如控制目标的设备、鼠标、键盘和捕获屏幕。控制设备可以让攻击者执行诸多任务,例如删除重要文件和在目标中执行勒索软件等。下图显示了 RAT 用于执行远程桌面的功能。

图 12:用于执行远程桌面的函数

反向代理

RAT 具有启用反向代理以匿名执行 RAT 活动的代码。攻击者可以在与目标服务器通信时使用此选项隐藏其身份。

图 13:反向代理代码

收集设备信息

RAT 从目标设备上收集信息,包括操作系统名称、操作系统版本和系统型号等。下图显示了用于收集信息的命令。

图 14:用于收集设备信息的命令

进程空化(ProcessHollowing)

使用 RAT,攻击者可以使用进程空化( ProcessHollowing )技术将恶意代码注入合法进程。下图显示了 RAT 用于 Process Hollowing 的 API。

图 15:Process Hollowing

浏览器凭据窃取

Borat RAT 可以从基于 Chromium 的浏览器(如 Google Chrome、Edge 等)窃取 cookie、历史记录、书签和保存的登录凭据。 下图显示了 RAT 用于窃取浏览器凭据的功能。

图 16:用于窃取浏览器凭据的功能

Discord 令牌窃取

 RAT 还窃取 Discord 令牌并将被盗令牌信息发送给攻击者。

远程活动

RAT 通过以下活动来干扰目标:播放音频、替换鼠标按钮、显示/隐藏桌面、显示/隐藏任务栏、按住鼠标、启用/禁用网络摄像头灯、挂起系统、关闭监视器和黑屏等。

   

结论  

Borat RAT 是集远程访问木马、间谍软件和勒索软件的强大组合,使其对目标具有三重威胁。它具有录音、控制摄像头和执行信息窃取活动的能力,显然是一个重点关注的威胁。新增的 DDOS 攻击功能使其成为组织和个人需要提防的更危险的威胁。

建议 

研究人员列出了一些基本的网络安全最佳实践,可以创建第一道抵御攻击者的防线。建议用户遵循以下建议: 

·不要将重要文件保存在桌面、我的文档等常用位置。 

·尽可能使用强密码并实施多因素身份验证。 

·在计算机、移动设备和其它联网设备上打开自动软件更新功能。

·在连接的设备(包括 PC、笔记本电脑和移动设备)上使用知名的杀毒软件和网络安全软件包。 

·不要在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。 

·进行定期备份,并将这些备份脱机或保存在单独的网络中。 

 

MITRE ATT&CK®Techniques 

Tactic 

Technique ID 

Technique Name 

Execution 

T1204 

User  Execution 

Discovery  

T1518

Security  Software Discovery

T1087

Account  Discovery

T1083

File and Directory  Discovery

Collection

T1123

Audio  Capture

T1005

Data from  Local System

T1056 .001

Keylogging

T1113

Screen  Capture

T1125

Video  Capture

Command and Control

T1132

Data  Encoding

T1219

Remote  Access Software

Exfiltration

T1020

Automated Exfiltration

Impact

T1485

Data  Destruction

T1486

Data  Encrypted for Impact

T1565

Data  Manipulation

T1499

Endpoint  Denial of Service

 

Indicators Of Compromise(IoCs)

Indicators

Indicator type

Description

d3559d9f1ca15f1706af9654fd2f4ccc

MD5

Borat.zip

fb120d80a8c3e8891e22f20110c8f0aa59d1b036

SHA1

d2ce3aa530ba6bb79aaca91f5031aacc983fb0

SHA256

ddab2fe165c9cf38f04a614e

MD5

BoratRAT.exe

2a5ad37e94037a4fc39ce7ba2d66ed8ae4

SHA1

b47c77da51dd02dba067cf6cc4b8b3344e5cf791f5f41d20e

SHA256

3e645ccca1c44aa3b

MD5

BoratRat.exe.config

5d8eac505c1d10fdd64e494e512dba793

SHA1

f29e697efd7c5ecb928c0310eabfc8e1585e1b85cdcf

SHA256

f41bfa672cca0ec7a2b30ecebf7eac7e

MD5

ServerCertificate.p12

d24d4fbd79967df196e77dbbb2288d6

SHA1

8cae62e17ab05ad408c5fb5473ebccac514c8ddc17c47bc9fda451c91b

SHA256

9726d7fe49c8ba43845ad8e5e2802bb8

MD5

Audio.dll

8bcdfa2ac7adfc1e8b214e8de43e086b97

SHA1

df31a70ceb0ceeaffafd3df92f8b3ec97c0d0670f0e2259

SHA256

7eebbb20f65448aab05f1361d0

MD5

Discord.dll

2aef4ce7905c0408cb2443

SHA1

8fa7634b7dca1a451cfbe6aded04d5d70b6e727e5968e0b5f6

SHA256

62c231bafa469ab04f090fcb4475d360

MD5

Extra.dll

82dda56bc59ac7db05eddbe4bcf0fe9323e32073

SHA1

6a4f32bce68e8448c6f4b74b4c654f40fb2d462c1d6bbd4b4ef09053d

SHA256

4ccd3dfb14ffdddfa598d1096f0190ea

MD5

FileManager.dll

c68caca7205a7cbdb3bb1830d59c8

SHA1

7f8afcb0ee985a2b6d874c805f7f9b2062a1123ea4bb7f1eba90fc1b81

SHA256

0b7c33cba4f4b78c

MD5

FileSearcher.dll

b58555bebddf8ed34a863a647da547e

SHA1

2d9625f41793f62bfe32c10b2d5e05668e321bcaf8b73414b3c31ef677b9bff4   

SHA256

499fc6ac30b3bc79523be4a60c

MD5

Fun.dll

dcf1ed3fbc56d63b42c88ede88f9cad1d509e7ec

SHA1

dcac599b1bab37e1a388ac469e6cc5de1f35eb02beaa6778f07a1c090ce3ea04

SHA256

87651bdafd3e91f60d8aef5a

MD5

Information.dll

d5dbbffaedf684ea0dc4c335d

SHA1

a15d72dd06d89d7e11df2b16bcd5719a40298c19d046fa22c40d56af44

SHA256

0cd62cd02962be20ed92abcd0c9e9a25

MD5

ip2region.db

69fbadc8ac30cd0579d89fe5a2

SHA1

5c124a7e35025d3e94df6b17dca5332e9a5aaabdca2355c113f3c93bb7

SHA256

a45679bdcf30fbd37a194fa175

MD5

Keylogger.exe

f23fd98f28bb0b482f0aaee11536e4688c

SHA1

16beb1ae2de2974ccc2371d9f619fe590abb65d3102e362c8ec27f2bbb

SHA256

872145b37dc9aa8729bad42

MD5

Logger.dll

bcfa7ac379b1f0169a2a9ab384b9116b

SHA1

2ffd95da6cd912beb7203a9fd5e99da40341de67537edb75aadc

SHA256

590b00c87d5ff2ffe09079f0406eb2cd

MD5

MessagePackLib.dll

92c91f1db8c2c8cc34c2e1a26f4f970f1518a7ed

SHA1

adb00dee751b4ba620d3b0e002f5b6d8b89cf63b062f74ec65bba72294d553d1

SHA256

509d41da4a688a2e50fc8e3afca074c7

MD5

Miscellaneous.dll

228dec59ffbb558

SHA1

ffdce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a

SHA256

509d41da4a688a2e50fc8e3afca074c7

MD5

Miscellaneous.dll

228dec59ffbb558

SHA1

ffdce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a

SHA256

12911f5654d6346fe99ef91e90849c13

MD5

Netstat.dll

1b8e63d03feb84d995c02dcbb74da7edfaa8c763

SHA1

7eed1b90946a6db1fe978d177a80542b5db0bf3156c979dc8a8869a94811bf4b

SHA256

3a474b8deebd94f382

MD5

Options.dll

b31455f9583b89cac9f655cfb7b4b9a

SHA1

c9b8e795c5a024f9e3c85ba64534b9bf52cc8c3d29b95ff6417dc3a54bc68b95

SHA256

91edcbdf5fbf4ff123aa63199c

MD5

ProcessManager.dll

daaee9aa1a49defbaa746e

SHA1

5b1f80ff787bdcd7ee12aa64be1f2f5f1f658bd644bbc5fd73527b51da6ce0d6

SHA256

efd037fcdb2bde6d046f99db45

MD5

Ransomware.dll

1a38aecc64c20ece46ec0836c32ec7

SHA1

54f554b9ebf62b577bab35cdef941d3d0f6a3dbf91

SHA256

ea1ff113bd57fa8621f71f460f

MD5

Recovery.dll

535a4e525da7e98f4f4f69abc923a1065bd2d3fa

SHA1

58f9e3c90446dfecfec64221eb11167dd41d0e8dedda2ea9f83d9dda2890e6f3

SHA256

8749c78b8ad09a3b240dd1384a17539b

MD5

Regedit.dll

b9263ac725ccd8c664ae0f9da5fc0d00adcb8c5e

SHA1

657e3f1f449c0b710b0c571ec8eee689ae16793fb63b996ed768f89bd

SHA256

acbf0f8b09320f3e967ee83fcda26f5d

MD5

RemoteCamera.dll

bbee0fa1c88edcdfb026edc

SHA1

203300be75ad8fb2583a44e759cdd57390d6765df10288e

SHA256

0f93650dd78557f41b7c5467e3b6b6a7

MD5

RemoteDesktop.dll

382bd4496eb7439fde85832abca87cc21cb7872f

SHA1

cc5b49d2a2821d4f6ef6af8a1e50994c6690d6a4daa41bd048fe79bd8b

SHA256

e89a0b897f93d7d5cb433b3fd01764c9

MD5

ReverseProxy.dll

9e72e85d13fe70ce30d202f04b14324b6

SHA1

d8af2e874dc7ea2a393fadabddb87f4cfd9aaefcb72

SHA256

7f3a6c23c979f840d98b8b04a583cde9

MD5

SendFile.dll

941c50ac5f025fbb152a1a0754ac03c252

SHA1

0da1bd8e67d6f499cc3b296fcf7ca2f692fe76e3c0413b0e14df777

SHA256

d405b02cb6c624a7df4ebecefc5d23a9

MD5

SendMemory.dll

0272d8cc3456a9bdfff7431f9ce238c93511cacd

SHA1

e06a66122af82580a883ce21609f89628e5dd3d398c0661a1e5c1

SHA256

原文链接: