العملية TA505 ، الجزء الثاني: تعلم مستتر ServHelper مع NetSupport RAT

في نهاية يوليو 2019 ، اكتشفنا عينة مثيرة للاهتمام من البرامج الضارة TA505 . في 22 يوليو 2019 ، تم تحميله على ANY.RUN للتحليل الديناميكي. تم لفت انتباهنا إلى حقيقة أنه من بين العلامات المكشوفة ، بالإضافة إلى المعتاد في TA505 Servhelper ، ظهرت علامة دعم nets ، وبين حرائق توقيع الشبكة ، تم تحديد نفس اسم NetSupport RAT.



التين. 1. تاريخ التنزيل للبرامج الضارة والعلامات المحددة في محلل ANY.RUN عبر الإنترنت



التين. 2. تشغيل توقيع الشبكة على NetSupport RAT في أي رمل

للوهلة الأولى ، قد يبدو هذا غريبا: بعد كل شيء ، فإن الباب الخلفي لمجموعة ServHelper نفسها لديه وظائف رائعة للتحكم في جهاز الكمبيوتر الخاص بالضحية. حان الوقت للنظر في عمل البرامج الضارة بالتفصيل.

NSIS و PowerShell قطارات

ملف PE القابل للتنفيذ الذي يبدأ منه تحليلنا هو أداة تثبيت تستند إلى نظام Nullsoft Scriptable Install System (NSIS). يقوم البرنامج النصي NSIS الذي يقوم بعملية التثبيت باستخراج وتشغيل البرنامج النصي المدمج في PowerShell:



التين. 3. تعليمات البرنامج النصي NSIS

يحتوي البرنامج النصي PowerShell الذي تم إطلاقه على مخزن مؤقت مشفر Base64 (يتم اقتطاعه في الشكل أدناه من أجل الوضوح) ، والذي بعد فك تشفيره يتم فك تشفيره بواسطة Triple DES (3DES) في وضع CBC:



التين. 4. فك تشفير البيانات في برنامج PowerShell النصي

الجزء الأول من البرنامج النصي هو وظيفة تحمل اسم الناطق الرسمي وهي مسؤولة عن زيادة الامتيازات في النظام وتجاوز حماية UAC. يتم استخدام أسلوبين لهذا:

التقنية رقم 1: استخدام مهمة SilentCleanup في برنامج جدولة المهام:

• يمكن تشغيل المهمة من قبل المستخدم ، لكنها تعمل بامتيازات مرتفعة. تحتوي خصائص المهمة على المسار إلى الملف القابل للتنفيذ باستخدام متغير البيئة٪ windir٪. يمكنك تغيير قيمة متغير البيئة (على سبيل المثال ، تحديد بدء تشغيل البرنامج النصي PowerShell) ، ثم يؤدي تشغيل المهمة إلى تنفيذ البرنامج النصي PowerShell مع حقوق المسؤول دون تحذير UAC.
• يستخدم المهاجمون هذه التقنية على أنظمة Windows 8 و Windows 10.
• يشبه الكود الذي ينفذ هذه التقنية تنفيذ الوحدة النمطية لإطار Metasploit.

التين. 5. جزء من البرنامج النصي مع تقنية تجاوز مهمة SilentCleanup

تقنية رقم 2: استخدام الأداة المساعدة لنظام sysprep.exe وتقنية DLL التحميل الجانبي

• أولاً ، يتم إنشاء برنامج نصي مساعد لإعادة تشغيل البرنامج النصي PowerShell في الدليل C: \ Windows \ Temp. ثم يتم تشكيل أرشيف CAB ، والذي يحتوي على مكتبة DLL المساعدة CRYPTBASE.dll (يحتوي البرنامج النصي PowerShell على إصدارات x86 و x64 من المكتبة). باستخدام الأداة المساعدة للنظام wusa.exe ، يتم فك ضغط هذا الأرشيف في الدليل C: \ Windows \ System32 \ Sysprep. بعد ذلك ، يتم تشغيل الأداة المساعدة للنظام sysprep.exe ، والتي ستقوم بتحميل مكتبة DLL غير المعبأة سابقًا ، وستقوم بدورها بتنفيذ البرنامج المساعد. نتيجة لذلك ، سيتم إعادة تشغيل البرنامج النصي PowerShell مع حقوق المسؤول دون تحذير UAC.
• يستخدم المهاجمون هذه التقنية على نظام Windows 7.
• يمكن العثور على وصف تفصيلي في هذه المقالة ، وأمثلة التنفيذ ، على سبيل المثال ، في هذا المشروع على جيثب.

التين. 6. جزء من البرنامج النصي مع تقنية تجاوز الأداة المساعدة sysprep.exe

هناك الكثير من التعليقات في البرنامج النصي ، وهي وظيفة Test-Administrator غير مستخدمة ، وتستخدم بعض المتغيرات دون التهيئة: كل هذه علامات على رمز الاستعارة دون التحقق بعناية من الإيجاز.

بعد تشغيل البرنامج النصي بالامتيازات اللازمة ، يتم تنفيذ الجزء الثاني من البرنامج النصي. في هذه المرحلة ، يتم فك تشفير الحمولات المستهدفة:

• تم فك تشفير السلسلة بواسطة Base64 ،
• يتم توسيع المخزن المؤقت باستخدام Deflate ،
• السلسلة re-decoded بواسطة Base64.

التين. 7. الحمولة الخوارزمية فك التشفير

• نتيجة لذلك ، سيتم إنشاء الملفات التالية في النظام:
• ٪ systemroot٪ \ help \ hlp11.dat - الإصدار x86 / x64 من مكتبة التفاف RDP . يتم استخدامه لتوسيع وظيفة خدمة RDP ، بما في ذلك إمكانية إجراء عدة اتصالات متزامنة. من المهم ملاحظة أنه تم تعديل المكتبة: في بداية التنفيذ ، يتم فك تشفير السطر c: \ windows \ help \ hlp12.dat بواسطة XOR الخطي ، ثم يتم تحميل مكتبة DLL على المسار المستلم:

التين. 8. فك تشفير المسار إلى مكتبة DLL وتحميلها

• ٪ systemroot٪ \ help \ hlp12.dat هو الإصدار x86 / x64 من الباب الخلفي لـ ServHelper ، والذي سيتم مناقشته في القسم التالي ؛
• ٪ systemroot٪ \ help \ hlp13.dat - ملف التكوين لمكتبة التفاف RDP ،
• ٪ systemroot٪ \ system32 \ rdpclip.exe - أحد مكونات خدمة RDP من أجل القدرة على تبادل بيانات الحافظة ؛
• ٪ systemroot٪ \ system32 \ rfxvmt.dll هو مكون خدمة RDP لنقل البيانات باستخدام تقنيات RemoteFX .

بعد استخراج الحمولة الصافية وتسجيلها ، يقوم البرنامج النصي بإعداد العملية الصحيحة لمكوناته:

• تغيير مالك مكون rfxvmt.dll إلى NT SERVICE \ TrustedInstaller ويمنح الحقوق اللازمة؛
• يغير قيمة المنفذ لاتصالات RDP من 3389 إلى 7201 القياسية ؛
• يضيف حساب خدمات الشبكة إلى مجموعة المسؤولين المحليين
• تسجيل hlp11.dat كخدمة RDP وإعادة تشغيل الخدمة ؛
• حذف الملفات المؤقتة التي تم إنشاؤها.

ServHelper RAT → القطارة

إحدى نتائج أداة الإزالة هي DLL hlp12.dat ، وهو برنامج ضار ServHelper. يمكن إنشاء كل من إصدارات x86 و x64 من المكتبة وفقًا لحجم نظام التشغيل (لا توجد اختلافات جوهرية بينهما). تتم كتابة كلا الإصدارين في دلفي ، معبأة مع UPX 3.95 (x64) و PeCompact 2.20 (x86). قدم زملاؤنا من Proofpoint و Trend Micro تحليلًا لتوزيع وتشغيل هذا الباب الخلفي. تتلاقى ترسانة قدرات عينة من نواح كثيرة مع ما هو معروف بالفعل: على وجه الخصوص ، لم تتغير خوارزمية فك تشفير الأوتار المستخدمة ( تشفير Vigenere ):



التين. 9. الكود الكاذب لفك تشفير السلاسل باستخدام تشفير Vigenere

ومن المثير للاهتمام ، أن التشفير لا يتم تطبيقه على جميع السلاسل: على سبيل المثال ، تظل عناوين مجالات التحكم وروابط الويب مع المكونات الإضافية مفتوحة:



التين. 10. مجالات غير مشفرة وروابط الويب

عند الوصول إلى أحد هذه الروابط (hxxp: //letitbe.icu/2.txt) ، يتم تنزيل ملف مشفر (MD5: 0528104f496dd13438dd764e747d0778). عند تحليل نهاية الملف في محرر سداسي عشرية ، يمكنك ملاحظة التكرار المتكرر لقيمة البايت 0x09:



التين. 11. كرر البايت 0x09 في الملف الذي تم تنزيله

تعد قيم وحدات البايت المكررة علامة شائعة لاستخدام XOR أحادية البايت كتشفير. في هذه الحالة ، يتم تأكيد هذه النظرية بواسطة الكود:



التين. 12. أحادية البايت XOR وظيفة التشفير



التين. 13. تمرير قيمة بايت واحد إلى وظيفة XOR كوسيطة

نتيجة لفك التشفير ، سوف نتلقى أرشيف ZIP بالمحتويات التالية:



التين. 14. محتويات أرشيف ZIP المشفر

جميع الملفات هي برامج شرعية للتحكم عن بُعد بجهاز NetSupport Manager PC ، والذي استخدمه المهاجمون من مجموعات مختلفة بشكل متكرر.



التين. 15. وصف برنامج NetSupport Manager

أحد الملفات (client32.ini) هو ملف التكوين ، والذي يحتوي على عنوان العبارة الوسيطة التي من خلالها سيقوم جهاز الكمبيوتر الضحية بالاتصال بالمهاجمين:



التين. 16. عنوان المهاجمين كبوابة NetSupport Manager

يكون هذا الخيار منطقيًا إذا كان الضحية وراء جدار الحماية ، وكان الوصول إلى الإنترنت محدودًا بواسطة المنفذ. للعمل بشكل صحيح على الإنترنت ، يجب عليك فتح الوصول إلى منفذين على الأقل ، 80 (HTTP) و 443 (HTTPS) ، وبالتالي يزيد احتمال نجاح الاتصال.

في سبتمبر 2019 ، اكتشفنا العديد من عينات ServHelper مماثلة مع مجموعة محدودة للغاية من الخيارات. باستخدام أحدها كمثال (MD5: 5b79a0c06aec6126364ce1d5cbfedf66): من بين موارد ملف PE القابل للتنفيذ ، هناك بيانات مشفرة ذات خاصية مماثلة في شكل بايت متكرر:



التين. 17. تشفير البيانات في موارد ServHelper
هذا أرشيف ZIP مرة أخرى "انسداد" مع بايت واحد ، والذي يحتوي على نفس المكونات من NetSupport Manager ، على الرغم من هذه المرة مع بوابة وسيطة مختلفة: 179 [.] 43.146.90: 443.

النتائج

في هذه المقالة ، درسنا أحد الخيارات لتسليم واستخدام الباب الخلفي TA505 - ServHelper. بالإضافة إلى الميزات الغريبة التي سبقت تشغيل المكون الرئيسي (على سبيل المثال ، تجاوز UAC والامتيازات المتصاعدة) ، لاحظنا تحولًا مثيرًا للاهتمام من الباب الخلفي الرئيسي: تم استكمال الوظيفة الأساسية (سرقة البيانات ، التجسس وتنفيذ الأوامر) من خلال تضمين أداة أخرى للتحكم عن بعد بجهاز الكمبيوتر - NetSupport RAT. بالإضافة إلى ذلك ، لم تعد الإصدارات الجديدة من ServHelper تحتوي على الميزات الرئيسية التي تجعلها مستترًا كاملاً: الآن تعمل فقط كقطارة وسيطة لتثبيت NetSupport RAT. ربما ، وجد المهاجمون هذا النهج أكثر فعالية من حيث التنمية ومن حيث قدرات الكشف. ومع ذلك ، فإن قائمة أدوات المجموعة التي تهمنا لا تنتهي عند هذا الحد.

أرسلت بواسطة أليكسي فيشناكوف ، تقنيات إيجابية