远程访问木马(RAT)是攻击者用来获得对用户系统的完全访问和远程控制的工具,包括鼠标和键盘控制、文件访问和网络资源访问等。Cyble Research Labs 在常规的 OSINT 研究中,发现了一个名为 Borat 的新远程访问木马 ( RAT ) 。与其它 RAT 不同,Borat 向攻击者提供勒索软件、DDOS 服务以及常见的 RAT 功能,进一步扩展了恶意软件的功能。
开发者将这款 RAT 命名为“波拉特”( Borat ),这是一部黑色喜剧伪纪录片,而 RAT 中使用的照片是演员萨沙·拜伦·科恩( Sacha Baron Cohen ),他是电影《波拉特》( Borat )的主角。Borat RAT 开发者声称该恶意软件具有如图1和图2所示功能。
图 1:Borat RAT 功能列表
图 2:Borat RAT 附加功能
Borat RAT 为攻击者提供了一个控制面板来执行 RAT 活动,还可以选择编译恶意软件二进制文件以对目标设备执行 DDoS 攻击和勒索攻击,如图 3 所示。
图 3:Borat RAT 控制面板
目录
技术分析
研究人员详细分析了 Borat RAT 及其特征。Borat RAT 作为一个包提供,其中包括构建器二进制文件、支持模块和服务器证书等,如图 4 所示。
图 4:Borat 包
下图显示了负责执行 RAT 功能的支持模块,如图 5 所示。
图 5:用于执行功能的 DLL
键盘记录程序
模块“ keylogger.exe ”负责监控和存储目标中的键盘输入。下图显示了 RAT 用于键盘记录的与键盘相关的 API。捕获的键盘输入被保存在一个名为“ Sa8XOfH1BudXLog.txt ”的文件中以进行导出。
图 6:键盘相关 API
勒索软件
有趣的是,RAT 可以选择向目标设备发送勒索软件 payload,以加密用户的文件并索要赎金。与其它勒索软件一样,此 RAT 也能够在目标设备上创建赎金记录。
图 7:生成赎金记录的代码
支付赎金后,RAT 具有解密目标设备文件的代码,如下所示。
图 8:解密方法
DDOS
此 RAT 还可以通过执行 DDOS 攻击来破坏目标服务器的正常流量。下图显示了 RAT 用于 DDOS 攻击的代码。
图 9:DDoS 攻击代码
录音
Borat RAT 可以录制计算机的音频。最初,它会检查目标设备中是否存在麦克风。如果可以找到连接的麦克风,RAT 会记录所有音频并将其保存在名为 micaudio.wav 的文件中。
图 10:麦克风录音代码
网络摄像头录像
Borat RAT 可以通过目标设备中的任意网络摄像头录像。首先,它会识别目标设备中是否存在网络摄像头,如果摄像头可用,它就会开始录制视频。
图 11:网络摄像头录像
远程桌面
该恶意软件获取目标设备的远程桌面。然后,它赋予攻击者执行活动所需的权限,例如控制目标的设备、鼠标、键盘和捕获屏幕。控制设备可以让攻击者执行诸多任务,例如删除重要文件和在目标中执行勒索软件等。下图显示了 RAT 用于执行远程桌面的功能。
图 12:用于执行远程桌面的函数
反向代理
RAT 具有启用反向代理以匿名执行 RAT 活动的代码。攻击者可以在与目标服务器通信时使用此选项隐藏其身份。
图 13:反向代理代码
收集设备信息
RAT 从目标设备上收集信息,包括操作系统名称、操作系统版本和系统型号等。下图显示了用于收集信息的命令。
图 14:用于收集设备信息的命令
进程空化(ProcessHollowing)
使用 RAT,攻击者可以使用进程空化( ProcessHollowing )技术将恶意代码注入合法进程。下图显示了 RAT 用于 Process Hollowing 的 API。
图 15:Process Hollowing
浏览器凭据窃取
Borat RAT 可以从基于 Chromium 的浏览器(如 Google Chrome、Edge 等)窃取 cookie、历史记录、书签和保存的登录凭据。 下图显示了 RAT 用于窃取浏览器凭据的功能。
图 16:用于窃取浏览器凭据的功能
Discord 令牌窃取
RAT 还窃取 Discord 令牌并将被盗令牌信息发送给攻击者。
远程活动
RAT 通过以下活动来干扰目标:播放音频、替换鼠标按钮、显示/隐藏桌面、显示/隐藏任务栏、按住鼠标、启用/禁用网络摄像头灯、挂起系统、关闭监视器和黑屏等。
结论
Borat RAT 是集远程访问木马、间谍软件和勒索软件的强大组合,使其对目标具有三重威胁。它具有录音、控制摄像头和执行信息窃取活动的能力,显然是一个重点关注的威胁。新增的 DDOS 攻击功能使其成为组织和个人需要提防的更危险的威胁。
建议
研究人员列出了一些基本的网络安全最佳实践,可以创建第一道抵御攻击者的防线。建议用户遵循以下建议:
·不要将重要文件保存在桌面、我的文档等常用位置。
·尽可能使用强密码并实施多因素身份验证。
·在计算机、移动设备和其它联网设备上打开自动软件更新功能。
·在连接的设备(包括 PC、笔记本电脑和移动设备)上使用知名的杀毒软件和网络安全软件包。
·不要在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。
·进行定期备份,并将这些备份脱机或保存在单独的网络中。
MITRE ATT&CK®Techniques
Tactic
Technique ID
Technique Name
Execution
T1204
User Execution
Discovery
T1518
Security Software Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
Collection
T1123
Audio Capture
T1005
Data from Local System
T1056 .001
Keylogging
T1113
Screen Capture
T1125
Video Capture
Command and Control
T1132
Data Encoding
T1219
Remote Access Software
Exfiltration
T1020
Automated Exfiltration
Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
T1565
Data Manipulation
T1499
Endpoint Denial of Service
Indicators Of Compromise(IoCs)
Indicators
Indicator type
Description
d3559d9f1ca15f1706af9654fd2f4ccc
MD5
Borat.zip
fb120d80a8c3e8891e22f20110c8f0aa59d1b036
SHA1
d2ce3aa530ba6bb79aaca91f5031aacc983fb0
SHA256
ddab2fe165c9cf38f04a614e
MD5
BoratRAT.exe
2a5ad37e94037a4fc39ce7ba2d66ed8ae4
SHA1
b47c77da51dd02dba067cf6cc4b8b3344e5cf791f5f41d20e
SHA256
3e645ccca1c44aa3b
MD5
BoratRat.exe.config
5d8eac505c1d10fdd64e494e512dba793
SHA1
f29e697efd7c5ecb928c0310eabfc8e1585e1b85cdcf
SHA256
f41bfa672cca0ec7a2b30ecebf7eac7e
MD5
ServerCertificate.p12
d24d4fbd79967df196e77dbbb2288d6
SHA1
8cae62e17ab05ad408c5fb5473ebccac514c8ddc17c47bc9fda451c91b
SHA256
9726d7fe49c8ba43845ad8e5e2802bb8
MD5
Audio.dll
8bcdfa2ac7adfc1e8b214e8de43e086b97
SHA1
df31a70ceb0ceeaffafd3df92f8b3ec97c0d0670f0e2259
SHA256
7eebbb20f65448aab05f1361d0
MD5
Discord.dll
2aef4ce7905c0408cb2443
SHA1
8fa7634b7dca1a451cfbe6aded04d5d70b6e727e5968e0b5f6
SHA256
62c231bafa469ab04f090fcb4475d360
MD5
Extra.dll
82dda56bc59ac7db05eddbe4bcf0fe9323e32073
SHA1
6a4f32bce68e8448c6f4b74b4c654f40fb2d462c1d6bbd4b4ef09053d
SHA256
4ccd3dfb14ffdddfa598d1096f0190ea
MD5
FileManager.dll
c68caca7205a7cbdb3bb1830d59c8
SHA1
7f8afcb0ee985a2b6d874c805f7f9b2062a1123ea4bb7f1eba90fc1b81
SHA256
0b7c33cba4f4b78c
MD5
FileSearcher.dll
b58555bebddf8ed34a863a647da547e
SHA1
2d9625f41793f62bfe32c10b2d5e05668e321bcaf8b73414b3c31ef677b9bff4
SHA256
499fc6ac30b3bc79523be4a60c
MD5
Fun.dll
dcf1ed3fbc56d63b42c88ede88f9cad1d509e7ec
SHA1
dcac599b1bab37e1a388ac469e6cc5de1f35eb02beaa6778f07a1c090ce3ea04
SHA256
87651bdafd3e91f60d8aef5a
MD5
Information.dll
d5dbbffaedf684ea0dc4c335d
SHA1
a15d72dd06d89d7e11df2b16bcd5719a40298c19d046fa22c40d56af44
SHA256
0cd62cd02962be20ed92abcd0c9e9a25
MD5
ip2region.db
69fbadc8ac30cd0579d89fe5a2
SHA1
5c124a7e35025d3e94df6b17dca5332e9a5aaabdca2355c113f3c93bb7
SHA256
a45679bdcf30fbd37a194fa175
MD5
Keylogger.exe
f23fd98f28bb0b482f0aaee11536e4688c
SHA1
16beb1ae2de2974ccc2371d9f619fe590abb65d3102e362c8ec27f2bbb
SHA256
872145b37dc9aa8729bad42
MD5
Logger.dll
bcfa7ac379b1f0169a2a9ab384b9116b
SHA1
2ffd95da6cd912beb7203a9fd5e99da40341de67537edb75aadc
SHA256
590b00c87d5ff2ffe09079f0406eb2cd
MD5
MessagePackLib.dll
92c91f1db8c2c8cc34c2e1a26f4f970f1518a7ed
SHA1
adb00dee751b4ba620d3b0e002f5b6d8b89cf63b062f74ec65bba72294d553d1
SHA256
509d41da4a688a2e50fc8e3afca074c7
MD5
Miscellaneous.dll
228dec59ffbb558
SHA1
ffdce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a
SHA256
509d41da4a688a2e50fc8e3afca074c7
MD5
Miscellaneous.dll
228dec59ffbb558
SHA1
ffdce317f3e7a89df8c91a5efadcfa61e5ccce687bf3580a
SHA256
12911f5654d6346fe99ef91e90849c13
MD5
Netstat.dll
1b8e63d03feb84d995c02dcbb74da7edfaa8c763
SHA1
7eed1b90946a6db1fe978d177a80542b5db0bf3156c979dc8a8869a94811bf4b
SHA256
3a474b8deebd94f382
MD5
Options.dll
b31455f9583b89cac9f655cfb7b4b9a
SHA1
c9b8e795c5a024f9e3c85ba64534b9bf52cc8c3d29b95ff6417dc3a54bc68b95
SHA256
91edcbdf5fbf4ff123aa63199c
MD5
ProcessManager.dll
daaee9aa1a49defbaa746e
SHA1
5b1f80ff787bdcd7ee12aa64be1f2f5f1f658bd644bbc5fd73527b51da6ce0d6
SHA256
efd037fcdb2bde6d046f99db45
MD5
Ransomware.dll
1a38aecc64c20ece46ec0836c32ec7
SHA1
54f554b9ebf62b577bab35cdef941d3d0f6a3dbf91
SHA256
ea1ff113bd57fa8621f71f460f
MD5
Recovery.dll
535a4e525da7e98f4f4f69abc923a1065bd2d3fa
SHA1
58f9e3c90446dfecfec64221eb11167dd41d0e8dedda2ea9f83d9dda2890e6f3
SHA256
8749c78b8ad09a3b240dd1384a17539b
MD5
Regedit.dll
b9263ac725ccd8c664ae0f9da5fc0d00adcb8c5e
SHA1
657e3f1f449c0b710b0c571ec8eee689ae16793fb63b996ed768f89bd
SHA256
acbf0f8b09320f3e967ee83fcda26f5d
MD5
RemoteCamera.dll
bbee0fa1c88edcdfb026edc
SHA1
203300be75ad8fb2583a44e759cdd57390d6765df10288e
SHA256
0f93650dd78557f41b7c5467e3b6b6a7
MD5
RemoteDesktop.dll
382bd4496eb7439fde85832abca87cc21cb7872f
SHA1
cc5b49d2a2821d4f6ef6af8a1e50994c6690d6a4daa41bd048fe79bd8b
SHA256
e89a0b897f93d7d5cb433b3fd01764c9
MD5
ReverseProxy.dll
9e72e85d13fe70ce30d202f04b14324b6
SHA1
d8af2e874dc7ea2a393fadabddb87f4cfd9aaefcb72
SHA256
7f3a6c23c979f840d98b8b04a583cde9
MD5
SendFile.dll
941c50ac5f025fbb152a1a0754ac03c252
SHA1
0da1bd8e67d6f499cc3b296fcf7ca2f692fe76e3c0413b0e14df777
SHA256
d405b02cb6c624a7df4ebecefc5d23a9
MD5
SendMemory.dll
0272d8cc3456a9bdfff7431f9ce238c93511cacd
SHA1
e06a66122af82580a883ce21609f89628e5dd3d398c0661a1e5c1
SHA256
原文链接: