注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 306|回复: 0

[网络安全] GravityRAT间谍软件分析

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47167
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   669 小时
   最后登录
   2020-11-30
发表于 2020-11-11 23:04:49 | 显示全部楼层 |阅读模式

2018年研究人员发布GravityRAT研究报告,印度计算机应急响应小组(CERT-IN)于2017年首次发现该木马。该软件被认定隶属于巴基斯坦的黑客组织,至少自2015年以来一直保持活跃,主要针对Windows机器,2018年将Android设备添加到了目标列表中。

软件分析

2019年在VirusTotal发现一个Android间谍软件,经过分析它与GravityRAT有关。攻击者在Travel Mate中增加了一个间谍模块,Travel Mate是一个面向印度旅客的Android应用程序,其源代码可在Github上获得。

攻击者使用了Github上2018年10月发布的版本,添加了恶意代码并更名为Travel Mate Pro。

木马的清单文件包括Services和Receiver:

木马app中的class:

间谍软件具有标准功能:它将设备数据,联系人列表,电子邮件地址以,通话和文本日志发送到C&C服务器。此外木马会在设备内存以及连接的媒体上搜索扩展名为.jpg,.jpeg,.log,.png,.txt,.pdf,.xml,.doc,.xls,.xlsx 、. ppt,.pptx,.docx和.opus的文件,并将它们发送到C&C,url如下:

木马使用的C&C地址:

nortonupdates[.]online:64443
nortonupdates[.]online:64443

研究中还发现了名为Enigma.ps1的恶意PowerShell脚本,可执行C#代码,通过n3.nortonupdates[.]online:64443下载在计算机上找到的文件的数据(.doc,.ppt,.pdf,.xls,.docx,.pptx 、. xlsx)以及受感染机器的数据。

PowerShell script:

检测到一个非常相似的VBS脚本,其名称为iV.dll,但没有指定的路径:

除了VBS模板之外,还有Windows Task Scheduler的XML模板,名称为aeS.dll,rsA.dll,eA.dll和eS.dll:

在主程序中,将所需的路径和名称写入模板,并添加了计划任务:

该程序与服务器通过download.enigma.net[.]in/90954349.php通信,其具有简单的图形界面以及加密和文件交换逻辑:

除了Enigma和Titanium之外,还包含以下间谍木马程序:

Wpd.exe
Taskhostex.exe
WCNsvc.exe
SMTPHost.exe
CSRP.exe

他们的C&C:

windowsupdates[.]eu:46769
windowsupdates[.]eu:46769
mozillaupdates[.]com:46769
mozillaupdates[.]com:46769
mozillaupdates[.]us

GravityRAT系列使用了相同的46769端口,进一步搜索找到了PE文件Xray.exe:

此版本收集数据并将其发送到n1.nortonupdates[.]online和n2.nortonupdates[.]online。

n*.nortonupdates[.]online解析为213.152.161[.]219,在Passive DNS数据库中发现了可疑的域u01.msoftserver[.]eu。通过对该域的搜索找到了应用ZW.exe,该应用程序由Python编写并使用PyInstaller打包,ZW.exe调用的C&C地址:

msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443
msoftserver[.]eu:64443

间谍软件从服务器接收命令:

获取系统信息
搜索扩展名为.doc,.docx,.ppt,.pptx,.xls,.xlsx,.pdf,.odt,.odp和.ods的文件,并将其上传到服务器
获取正在运行的进程的列表
键盘记录
截屏
执行任意的shell命令
录制音频(此版本未实现)
扫描端口

该代码是多平台的:

特征路径确认了新版本的GravityRAT:

其他版本的GravityRAT

lolomycin&Co

GravityRAT的较旧版本Whisper也包含在组件whisper.exe中,字符串“ lolomycin&Co”为ZIP文件密码:

通过此字符串,在应用程序中找到了较新的.NET版本的GravityRAT:

WeShare
TrustX
Click2Chat
Bollywood

新版本的GravityRAT

.NET版本

Sharify
MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

Electron版本

Android版本

SavitaBhabi

IoCs

MD5

Travel Mate Pro — df6e86d804af7084c569aa809b2e2134

iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68

enigma.exe — b6af1494766fd8d808753c931381a945

Titanium — 7bd970995a1689b0c0333b54dffb49b6

Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72

Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94

WCNsvc.exe — cceca8bca9874569e398d5dc8716123c

SMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4

CSRP.exe — e73b4b2138a67008836cb986ba5cee2f

Chat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3

AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cd

Xray.exe — 1f484cdf77ac662f982287fba6ed050d

ZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9

RW.exe — 78506a097d96c630*5bd3d8fa92363

TW.exe — 86c865a0f04b1570d8417187c9e23b74

Whisper — 31f64aa248e7be0be97a34587ec50f67

WeShare —e202b3bbb88b1d32dd034e6c307ceb99

TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257

Click2Chat — defcd751054227bc2dd3070e368b697d

Bollywood — c0df894f72fd560c94089f17d45c0d88

Sharify — 2b6e5eefc7c14905c5e8371e82648830

MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015

GoZap — 6689ecf015e036ccf142415dd5e42385

StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac)

TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac)

OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac)

CvStyler — df1bf7d30a502e6388e2566ada4fe9c8

SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)

URLs

daily.windowsupdates[.]eu

nightly.windowsupdates[.]eu

dailybuild.mozillaupdates[.]com

nightlybuild.mozillaupdates[.]com

u01.msoftserver[.]eu

u02.msoftserver[.]eu

u03.msoftserver[.]eu

u04.msoftserver[.]eu

n1.nortonupdates[.]online

n2.nortonupdates[.]online

n3.nortonupdates[.]online

n4.nortonupdates[.]online

sake.mozillaupdates[.]us

gyzu.mozillaupdates[.]us

chuki.mozillaupdates[.]us

zen.mozillaupdates[.]us

ud01.microsoftupdate[.]in

ud02.microsoftupdate[.]in

ud03.microsoftupdate[.]in

ud04.microsoftupdate[.]in

chat2hire[.]net

wesharex[.]net

click2chat[.]org

x-trust[.]net

bollywoods[.]co[.]in

enigma[.]net[.]in

titaniumx[.]co[.]in

sharify[.]co[.]in

strongbox[.]in

teraspace[.]co[.]in

gozap[.]co[.]in

orangevault[.]net

savitabhabi[.]co[.]in

melodymate[.]co[.]in

cvstyler[.]co[.]in


发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表