AhnLab 安全情报中心 (ASEC) 最近发现通过免费在线记事本平台 aNotepad 传播后门恶意软件。该恶意软件既支持针对Windows系统的PE格式,又支持针对Linux系统的ELF格式。由于威胁行为者在恶意软件的开发过程中使用了字符串“WingOfGod”,因此它被归类为 WogRAT。
图1. 攻击中使用的aNotepad平台
1. 分销案例
据推测,自 2022 年底直到最近,WogRAT 一直被用于攻击。虽然尚未发现针对 Linux 的攻击,但假设针对 Windows 系统的恶意软件,攻击是通过根据收集到的文件名将自身伪装成合法实用工具,提示用户下载恶意软件来进行的。
恶意软件菌株将其名称伪装成合法的实用工具,例如“ flashsetup_LL3gjJ7.exe ”、“ WindowsApp.exe ”、“ WindowsTool.exe ”、“ BrowserFixup.exe ”、“ ChromeFixup.exe ”、“ HttpDownload.exe ”和“ ToolKit ” 。EXE文件”。根据VirusTotal收集的国家信息,可以预测WogRAT的主要目标是香港、新加坡、中国和日本等亚洲国家。
2.WogRAT(Windows)
在众多样本中,将使用一种适用于 Windows 的 WogRAT 恶意软件进行进一步说明。首先,伪装成 Adobe 工具的分布式恶意软件是使用 .NET 开发的。类名显示它是一个 Chrome 网络浏览器工具,但实际上它是一个伪装的文件,其中包含加密的下载器恶意软件的源代码。
图 2. 加密的源代码
当恶意软件运行时,它首先编译源代码并加载它。加载的DLL负责从aNotepad平台下载字符串,使用Base64算法解密,然后加载它们。访问 aNotepad URL 后,您可以发现以 Base64 加密的 .NET 二进制文件以字符串形式保存在记事本中。
图 3. 保存在记事本中的字符串以及用于加载它们的解密例程
最终加载的DLL是一个名为WingsOfGod的后门恶意软件。当WogRAT第一次运行时,它会收集受感染系统的基本信息并将其发送到C&C服务器。然后,恶意软件支持执行命令、发送结果、下载文件和上传这些文件等命令。
图 4. WingOfGod RAT 的主例程
WogRAT 根据初始连接、命令下载和命令执行结果,通过 POST 请求发送以下结构的数据。例如,当用户第一次访问记事本时发送以下数据。
初始连接时发送的数据(示例):“act=on&bid=4844-1708721090438&name=TestPCTestUser”
表1. 数据发送结构
下载命令时,它会接收命令类型、任务 ID 以及与命令相关的数据等信息。例如,以下数据是任务名为“upldr”的命令,该命令读取“C:malware.exe”中的文件,并将其发送到 C&C 服务器。
- 收到的命令(示例):“task_id=upldr&task_type=3&task_data=C:malware.exe”
表 2. 命令结构
表 3. 支持的命令
FTP协议用于文件上传。考虑到文件上传的URL为测试URL,因此用于分析的恶意软件不支持该功能。但是,可以假设其他恶意软件菌株正在使用这些功能。
图 5. 使用 FTP 协议的文件上传命令
3.WogRAT(Linux)
尽管没有找到最初的分发方法,但 AhnLab 在使用同一 C&C 服务器查看恶意软件菌株时发现了针对 Linux 系统的 WogRAT 恶意软件。Linux版本的WogRAT与Windows版本类似,与Rekoobe后门一样,使用了开源恶意软件Tiny SHell的套路。
当 WogRAT 执行时,它会像其他恶意软件一样将其名称更改为合法进程,以避免检测。迄今为止发现的 WogRAT 恶意软件菌株已将其所有名称更改为“[kblockd]”。然后,它会像 Windows 版本一样从受感染的系统收集并发送基本信息。
图6. 与Windows版本类似的例程
初始连接时发送的数据(示例) :“Online#beacon_id=1407-1708746837279&pid=1407&hostname=testPC&ip=xxx.xxx.xxx.xxx&uid=0&username=root”
表 4. 发送的数据结构
发送的数据结构与 Windows 版本略有不同。然而,从C&C服务器接收的数据使用相同的“task_id”、“task_type”和“task_data”结构。除了缺少下载命令外,支持的命令与 Windows 版本几乎相同。然而,Windows 和 Linux 版本之间的一个区别在于字符串的使用方式。对于 Windows,这些字符串在与 C&C 服务器通信时按原样使用。对于 Linux,它们在发送到 C&C 服务器之前会再次加密。
表 5. 支持的命令
WogRAT Linux 版本的主要特点是它接收命令的方式。它不是直接从C&C服务器接收命令,而是从负责反向shell的服务器接收地址,并连接到该地址接收命令。威胁行为者可能设置了一个 Tiny SHell 服务器,以便 WogRAT 连接和接收命令。这可以从 Tiny SHell 而不是 WogRAT 从同一地址分发,或者两者如何共享反向 shell 的相同例程中看出。
威胁行为者在制作 WogRAT 时还使用了 Tiny SHell 的 C&C 通信方法和反向 shell 功能。这意味着 WogRAT 和 Tiny SHell 都使用根据 HMAC SHA1 算法创建的 AES-128 密钥来加密 C&C 通信,并使用完整性扫描中的 0x10 字节值而不改变其值。
图 7. 与 Tiny SHell 相同的例程和数据
然而,两种恶意软件菌株使用不同的密码字符串,WogRAT 为“03c7c0ace395d80182db07ae2c30f034”,Tiny SHell 为“194112c60cb936ed1c195b98142ff49d”。
4.结论
最近,AhnLab 发现了针对 Windows 和 Linux 系统的 WogRAT 恶意软件菌株的分布。尽管尚未找到具体的攻击媒介,但攻击者很可能使用收集的文件名并将其伪装成合法的实用程序来提示下载。
从文件共享站点运行可执行文件时,用户必须小心。建议从其官方网站下载实用程序和游戏等产品。另外,V3应该更新到最新版本,以防止恶意软件感染。
文件检测
– Downloader/Win.WogRAT.R636364 (2024.02.25.00)
– Backdoor/Win.WogRAT.C5593109 (2024.02.25.00)
– Backdoor/Win.WogRAT.C5593110 (2024.02.25.00)
– Backdoor/Win.WogRAT.R636365 (2024.02.25.00)
– Trojan/Win.Generic.C5387450 (2023.02.24.03)
– Backdoor/Linux.Rekoobe.67840 (2023.07.13.00)
– Backdoor/Linux.TinySHell.63712 (2024.02.26.03)
AMSI 检测
– Backdoor/Win.WogRAT.C5593109 (2024.02.25.00)
IOC
MD5
– 5769d2f0209708b4df05aec89e841f31 : WogRAT Downloader (WindowsTool.exe)
– 655b3449574550e073e93ba694981ef4 : WogRAT Downloader (WindowsApp.exe)
– 929b8f0bdbb2a061e4cf2ce03d0bbc4c : WogRAT Downloader (flashsetup_LL3gjJ7.exe)
– da3588a9bd8f4b81c9ab6a46e9cddedd : WogRAT Downloader (BrowserFixup.exe)
– fff21684df37fa7203ebe3116e5301c1 : WogRAT Downloader (ToolKit.exe)
– e9ac99f98e8fbd69794a9f3c5afdcb52 : WogRAT Downloader (HttpDownload.exe)
– 290789ea9d99813a07294ac848f808c9 : WogRAT – Windows (WingsOfGod.dll)
– 3669959fdb0f83239dba1a2068ba25b3 : WogRAT – Windows (WingsOfGod.dll)
– f97fa0eb03952cd58195a224d48f1124 : WogRAT – Windows (WingsOfGod.dll)
– f271e0ae24a9751f84c5ae02d29f4f0e : WogRAT – Windows (WingsOfGod.dll)
– 1341e507f31fb247c07beeb14f583f4f : WogRAT – Windows (ChromeFixup.exe)
– 7bcfea3889f07f1d8261213a77110091 : Tiny SHell (dddddd_oo)
– 1aebf536268a9ed43b9c2a68281f0455 : WogRAT – Linux (abc)
– a35c6fbe8985d67a69c918edcb89827e : WogRAT – Linux (a14407a2)
C&C URL
– w.linuxwork[.]net:443
– linuxwork[.]net:80
– hxxps://t0rguard[.]net/c/
– hxxps://w.newujs[.]com/c/
– hxxps ://newujs[.]com/tt.php?fuckyou=1
下载地址
– hxxp://newujs[.]com/dddddd_oo
– hxxp://newujs[.]com/abc
– hxxp://newujs[.]com/a14407a2
– hxxps://js.domaiso[.]com /jquery.min-2.js
– hxxps://jp.anotepad[.]com/note/read/b896abi9
– hxxp://newujs[.]com/cff/wins.jpg
参考链接: https://asec.ahnlab.com/en/62446/
图片来源网络目标可联系删除