老樹開新花——njRAT家族惡意軟件分析報告

報告編號： B6-2018-062601

報告來源： 360CERT

報告作者： 360CERT

更新日期： 2018-06-26

0x00 前言

近日，360CERT監測到「njRAT」家族惡意軟件的新型變種正在活躍，該木馬家族使用.NET框架編寫，並且本文中所講的樣本帶有嚴重代碼混淆妨礙安全人員分析。

njRAT又稱Bladabindi，是一個插件化的遠控木馬程序，由於木馬簡單易學，大大降低了利用門檻，在該團伙的惡意利用過程中，我們總結出以下特點：

• 惡意載荷層層加密存儲
• 解密流程可控
• 代碼混淆，做了較強anti reverse
• 全局字符串加密存儲
• 具備勒索軟件能力（新功能）
• 盜取數字貨幣（新功能）

此外，我們在後續的追蹤關聯過程中，發現該團伙的歷史行為，均為通過高交互強社工技巧配合釣魚郵件傳播惡意軟件，且目標均為銀行，稅務等機構，本次我們捕獲到的樣本相較以往更多的利用了漏洞、低交互攻擊技巧進行樣本落地。

0x01 技術分析

DDE是Inter-Process Communication（進程間通信-IPC）機制下的一種遺留功能，最早可以追溯到1987年，它可以與一個由其他基於Microsoft Windows程序所創建的文檔建立一條動態數據交換（DDE）鏈接。在office場景下，除了漏洞，宏之外。DDE也是一種常用的載荷投遞方式。

DDE常用的攻擊方法，是嵌入DDEAUTO對象，例如：

{DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe"}

與Powershell結合，可以進行遠程載荷下載，惡意代碼解碼釋放，遠程命令執行等。因為DDE的危險性，微軟在去年12月，在office中禁用了DDE協議。

本次樣本是一個excel文件，請求更新通過DDE協議執行msiexec遠程下載並運行惡意載荷。

首先執行的文件為memo.msi文件，在臨時目錄繼續釋放下一層載荷運行，裏面包含一個Base64編碼的C#代碼，轉碼後對代碼動態轉換為程序集，使用Invoke()加載。運行後會再次釋放一段Payload進行加載運行，經過兩次釋放，惡意代碼主體開始運行。

具體釋放流程如下：

1、通過DDE執行下載惡意載荷並釋放至「C:\Users\ADMINI~1\AppData\Local\Temp\mome.msi」執行。

2、在臨時目錄繼續釋放下一層載荷運行。

3、解密通過BASE64編碼的C#代碼動態轉換為程序集後將自身資源內數據解密加載進入下一層載荷。

4、讀取自身文件的資源通過特定算法解密，得到Stub.exe(病毒主體)與adderalldll.dll(注入功能DLL)。

5、添加開機啟動項後通過加載adderalldll.dll(注入功能DLL)將Stub.exe(病毒主體)注入到RegAsm.exe(傀儡進程)運行。

樣本流程圖

樣本釋放：

病毒執行：

• 主要功能概述
• 計劃任務建立及刪除
• 獲取主機信息
• 註冊表操作
• USB設備感染
• 鍵盤記錄
• 獲取當前窗口Tittle
• 獲取運行進程信息
• 檢測殺軟及運行環境
• 比特幣行為監控
• 勒索
• DDOS(slowloris和ARME)
• 向遠程C2發送數據
• 接收C2指令，進行指定操作

C2指令

技術細節

樣本屬於njRAT家族，使用C#編寫生成。當成功感染目標後，樣本自身copy到主機中進行駐留（樣本最初在內存中運行），並添加計劃任務常駐系統。

樣本做了混淆，關鍵部位的參數和字段都進行了加密。首先進行解密，解密後相關位置的內存為：

可以編寫腳本進行字段查詢，或者批量解密字段。

樣本運行時，根據運行狀態，會開啟以下幾個主要線程：

• MyAntiProcess（檢測殺軟）
• Bitgrb（監控比特幣應用）
• CHuNbRc6NBDgA1N5fN.RLSH5Jqs2M.WRK（鍵盤及窗口tittle記錄）
• CHuNbRc6NBDgA1N5fN.C6yF5G7kY（發送數據及接收C2指令）

MyAntiProcess

MyAntiProcess 主要功能是檢測殺軟和反調試反沙箱，如果檢測一些進程到會嘗試進行關閉。

Bitgrb

Bitgrb進程啟動後，會進行進程掃描，對含有BITCOIN字符串的進程命進行監測。當進行購買或者銷售比特幣時，會對加密錢包進行跟蹤。同時伴有對剪切板內容的一些操作。

CHuNbRc6NBDgA1N5fN.RLSH5Jqs2M.WRK

這個函數是進行鍵盤記錄和窗口tittle記錄的。每次記錄20480個數據。將鍵盤記錄的信息寫到註冊表中，進行數據中轉。

CHuNbRc6NBDgA1N5fN.C6yF5G7kY

C6yF5G7kY分為三個部分，第一個是循環發送主機信息，其中包括：

• 系統名稱
• 用戶名
• Windows版本(64位/32位)
• 網絡攝像頭（是/否）
• 活動窗口tittle
• CPU
• GPU
• 內存
• 磁盤
• 感染時間

第二部分接受C2指令，進行相關操作。

C2的指令是通過savage進行分割，並且提取第一部分的hash值進行區分。

第三個是提供一個Socket.send接口，向C2發送一些信息。函數名為ISqOs4Ltj。傳入一個字符串，會將其信息發送給C2。

關於C2的信息:

主機名: apache202[.]duckdns[.]org

端口：7752

C2的信息，位於：

進行Tcp連接的位置為：

執行的兩種方法

樣本中執行的方法可以分為兩種，一個是使用Interaction.shell

另外一種是使用thread.start()進行執行操作

勒索

勒索主要的指令有三個RwareDEC，RwareSU，Rware。

Rware為加密模塊，採用AES進行加密，主要是對拓展名.lime的文件。

在此隨機生成一個字符數組，Lime將輸出字符串放在％AppData％\ Microsoft \ MMC \hash位置

並且會對界面輸出勒索信息：

U盤感染

樣本有U盤感染的行為，首先檢測主機上的磁盤盤符，之後會對檢索到的磁盤盤符遞增一個，進行文件複製。如果只有C，D盤，則在複製目錄數組返回C，D，E，因為插入優盤時盤符自增，所以達到傳播到U盤的目的。

Bypass UAC

樣本中有一個提權操作，使用了註冊表劫持來Bypass UAC。

0x02 樣本關聯分析

從頂級域名上來看：這是個動態域名，其頂級域名註冊人與本次事件並無關聯。

我們根據C&C指向的IP 185.208.211.142發現：

歷史解析域名：

secureserver202[.]duckdns[.]org

我們在HYBRID沙箱中發現了一個樣本與該域名有關聯：

https://www.hybrid-analysis.com/sample/9a76ac2c893154592a09a179e5af2c86c8871265d009014bfb5ab25fabdb448a?environmentId=120

從沙箱的報告中得知，該樣本功能與本文中所提到的樣本功能類似，但他會分別連接兩個服務器：181[.]215[.]247[.]31、185[.]208[.]211[.]142。與我們發現的樣本不同的是C&C端口為25255。

根據IP：181[.]215[.]247[.]31我們在360威脅情報中心獲得他的歷史關聯信息：

根據關聯信息我們得知該團伙還有個域名：sandeeprecruit[.]duckdns[.]org

目前該域名A記錄解析：91[.]192[.]100[.]26

根據VT的信息來看，該團伙的樣本至少在2月24日就開始在活躍。

三台機器開放的服務猶如克隆一般，不過根據樣本獲知的C2端口(2404、25255、7752、1933)均已關閉。

anotis[.]publicvm[.]com

在該域名下我們發現了兩個IOC樣本：

8cabb48e50d72bcc315bc53a5ab62907dae22f68d08c78a5e7ed42270080d4d1

21e16f82275a9c168f0ce0d5c817cdbbc5d6d7764bb2e2ab8b63dff70f972600

而通過這兩個樣本我們找到了由proofpoint在今年3月23日發佈的分析報告：https://www.proofpoint.com/us/threat-insight/post/tax-themed-email-campaigns-steal-credentials-spread-banking-trojans-rats-ransomware

報告中指出：該樣本以稅收為主題通過電子郵件傳播銀行木馬、RAT和勒索軟件，其利用方式與本文中所說樣本類似。

anotiz[.]erlivia[.]ltd

目前該域名解析的IP地址：198.54.117.200

通過威脅情報我們得知：

該團伙很有可能利用過或者正在利用該服務器通過郵件傳播惡意載荷。

根據他們之間的關係，最終我們總結了一張圖：

上圖數據來源：360NetLab

0x03 IOC

0x04 總結

njRAT這個木馬簡單易學，在網上隨便搜搜就有一大片配置木馬或做免殺的文章教程，且他強大的功能完全可以滿足犯罪的需要，所以近年來該家族的木馬在互聯網上非常的活躍，我們在分析完以後總結出以下幾點：

1、勒索

2、數字貨幣盜取

3、鍵盤記錄

4、自動感染USB設備

5、檢測殺軟及反調試

6、遠程控制

7、劫持HOST

8、惡意載荷加密混淆

9、字符串加密

10、代碼混淆

11、注入傀儡進程運行

我們在分析過程中發現該樣本在利用傀儡進程運行時，注入完成後存在兼容性問題，可能需要在指定環境中才可以成功執行，所以我們推斷這可能是一次定向攻擊，並非大範圍攻擊，我們溯源後得知該團伙至少在今年2月24日就開始在活 躍，並且目前他的服務器還保持可連通狀態，根據360安全大腦-大數據提供的相關信息來看，目前還沒有發現中國的計算機受到該團伙的攻擊。

0x05 安全建議

1、請不要接收或者打開任何陌生人通過郵件或者聊天軟件等發來的任何文檔。

2、下載安裝「360安全衛士」並保持所有防護開啟狀態並定時檢查軟件更新。

0x06 時間線

2018-06-26 360CERT完成分析報告

0x07 參考鏈接

1. https://www.proofpoint.com/us/threat-insight/post/tax-themed-email-campaigns-steal-credentials-spread-banking-trojans-rats-ransomware