导语:本文分析一款通过钓鱼邮件活动来传播的新恶意软件——Dark Comet RAT。
该恶意软件是一款RAT木马,但是伪装成了开源的小工具PeaZip。研究人员发现恶意软件作者复制了文件信息,使其看起来很像合法的PeaZip软件。分析发现,该恶意软件实际上是一个重打包的Dark Comet RAT木马,本文对该恶意软件进行深入分析并讨论相应的发现。
过去,该恶意软件的一个版本已经攻击过另一个主流的Heaventools的产品PE EXPLORER,本文也将分析其相关性。
首先看一下恶意软件的对比,包括恶意软件二进制文件、配置文件,这些文件主要来自于原始软件。
二进制文件比较
恶意软件配置文件
Heaventools
恶意软件之前已经攻击过PE Explorer,恶意软件通过打包使其看起来很像真实的PE Explorer,并通过钓鱼邮件活动进行传播。
恶意软件打包成Heaventools软件产品
与伪装为Heaventools的PE Explorer的恶意软件代码对比,可以看出PeaRAT中的代码中有很多相似性。一些数据字符串也是相同的,二进制文件的RCData也是相同的。
PeaRAT
在恶意软件中有很多的线索都指向了俄罗斯(至少是说俄语)的MalActor。下面是从二进制文件中提取的一些图标:
通过以上分析就建立了MalActor过去的版本和恶意软件本身的关联。下面对恶意软件进行分析:
下面是从恶意软件中提取的一些模块和函数
User32.dll
GetKeyboardType CreateWindowExA
Comctl32.dll
_TrackMouseEvent
Urlmon.dll
URLDownloadToFileA
Shell32.dll
ShellExecuteA
Winspool.drv
OpenPrinterA
代码分析
下面进行代码和恶意软件执行过程的分析:
恶意软件是经过打包的,使用的包是ASProtect v1.0。在解包后,恶意软件创建了一个从Music文件夹启动的子进程。
出于分析的目的,下面对创建的子进程进行分析:
从下图可以看出,恶意软件使用基本函数来获取进出栈的数据,并用做后期的处理。
从中可以看出其他RAT类的代码,向栈中推送数据(时间和日期等):
我们看到一个下入磁盘的文件,下面是代码的执行过程和执行的结果分析:
可以看到,上面看到的内存中的文件现在在磁盘中了:
这是文件的内容,可以看到计算机上发生的所有活动的日志文件:
下面对图中标号的事件进行分析:
1.通过调试器(Olly)启动进程;
2.复制到剪贴板的值(复制regex来找出memdump中的IP地址);
3.尝试从开始菜单来启动notepad;
4.在memdump中运行字符串搜索;
5.保存文件;
6.打开恶意进程的特性。
下面看一下代码的网络端:
为了从二进制文件中提取网络IoC,研究人员在网络函数段中插入了内存(读/写)中断。当执行到该区域后,就会中断并看到写入内存的C2 IP地址。
代码成功执行后,该值就会传递给寄存器:
下面的动图就是函数的执行过程:
下面是在被C2访问前传递给栈处理的信息:
结论
恶意软件已经通过不同的版本运行了一段时间了,反病毒软件还没有正确的识别出。反病毒软件甚至将恶意软件的早期版本识别为generic、Dynamer、Barys等,但这并不能说明是恶意的。因为MalActor尝试通过合法软件推送恶意软件,因此之后也可能会攻击其他公司的产品。
MalActor有一个非常聪明的动作就是将恶意软件打包为PeaZip。因为PeaZip是一个著名的压缩解压软件,所以可以在同一封钓鱼邮件中捆绑其他恶意软件,并要求受害者来解压附件中的其他恶意软件。
因此,在安装软件之前最好先检查软件的合法性。