本文翻译自:https://www.welivesecurity.com/2018/10/11/new-telebots-backdoor-linking-industroyer-notpetya/
ESET对TeleBots使用的Exaramel新后门进行分析发现,其与Industroyer主后门有大量代码重叠,这将Industroyer和TeleBots关联在一起,而TeleBots是NotPetya勒索软件背后的运营者,因此最终也将NotPetya和BlackEnergy关联在一起。
Win32/Exaramel后门分析
Win32/Exaramel后门最初是dropper初始化的。Dropper中的元数据表明后门是用Microsoft Visual Studio编译的。
图1. Win32/Exaramel后门dropper中的PE时间戳
执行后,dropper会在Windows系统目录中应用Win32/Exaramel后门,并创建和开启一个名为wsmproav的Windows服务,服务的描述为“Windows Check AV”。文件名和Windows服务描述是硬编码在dropper中的。
图2. Win32/Exaramel后门创建的Windows服务注册表设置
此外,dropper还会将Windows注册表中的后门配置以XML格式写入Windows注册表中。
图3. Win32/Exaramel后门XML配置
配置数据中含有以下区块:
- Interval – Sleep函数使用的时间
- Servers – C2服务器地址列表
- Check – 用于确定主机是否有网络连接的网站
- Proxy – 主机所在网络上的代理服务器
- Storage – 用于保存计划窃取的文件的路径
从配置数据的第一行可以看出,攻击者根据使用的安全措施将目标进行了分组。Industroyer工具集中也有类似的行为,一些Industroyer后门伪装成AV相关的服务并使用系统的分组。
另一个有趣的点是后门使用的C2服务器域名模拟了属于ESET的域名。除了配置数据中的esetsmart[.]org外,还有一个相似的域名um10eset[.]net,该域名由最近发现的Telebots恶意软件Linux版本中使用。而攻击者控制的服务器与ESET合法服务器基础设施是没有关系的。
后门运行时,就会连接到C2服务器,并接收将要执行的命令。接收的命令有:
- Launch process 启动进程
- Launch process under specified Windows user 在特定Windows用户下启动进程
- Write data to a file in specified path 在特定路径下的文件中写入数据
- Copy file into storage sub-directory (Upload file) 将文件保存到存储子目录(Upload file)中
- Execute shell command 执行shell命令
- Execute shell command as specified Windows user以特定的Windows用户执行shell命令
- Execute VBS code using MSScriptControl.ScriptControl 用MSScriptControl.ScriptControl执行VBS代码
命令循环的代码和前条命令的实现也与Industroyer工具集使用的后门非常相似:
图4. Win32/Exaramel后门(左)和Win32/Industroyer后门(右)反编译代码比较
这两个恶意软件家族都使用一个report文件来保存执行shell命令和启动的进程的结果。在win32/ Industroyer后门中,report文件以随机文件名保存在临时文件夹下;Win32/Exaramel的report文件名为report.txt,保存路径预定义在后门的配置文件中了。
为了重定向report文件的标准输出(stdout)和标准错误(stderr),这两个后门都将hStdOutput和hStdError参数设定为report文件的句柄。这也是两款恶意软件家族的另一个设计相似性。
图5. Win32/Exaramel后门(上)和Win32/Industroyer后门(下)反编译代码比较
如果恶意软件运营者想要从受害者计算机中窃取数据,只需要将文件复制到配置文件预定义的存储路径子目录中即可。因为后门要创建一个到C2服务器的新连接,在发送前会自动压缩和加密所有的文件。
Industroyer工具集的后门和新TeleBots后门的主要区别是后者的通信和配置都使用XML格式,而不是传统的二进制文件格式。
密码窃取工具
除了Exaramel后门外,Telebots组织还使用一些之前使用过的工具,包括一个密码窃取器CredRaptor和修改过的Mimikatz。
CredRaptor是一款定制的密码窃取工具,Telebots组织2016年开始使用该工具。相比之前的版本,最新更新的版本不仅会从浏览器收集保存的密码还会从Outlook、许多FTP客户端收集保存的密码。下面是支持的应用列表:
- BitKinex FTP
- BulletProof FTP Client
- Classic FTP
- CoffeeCup
- Core FTP
- Cryer WebSitePublisher
- CuteFTP
- FAR Manager
- FileZilla
- FlashFXP
- Frigate3
- FTP Commander
- FTP Explorer
- FTP Navigator
- Google Chrome
- Internet Explorer 7 – 11
- Mozilla Firefox
- Opera
- Outlook 2010, 2013, 2016
- SmartFTP
- SoftX FTP Client
- Total Commander
- TurboFTP
- Windows Vault
- WinSCP
- WS_FTP Client
这种改善使攻击者可以收集webmaster的凭证和内部基础设施服务器的凭证。一旦获取了此类服务器的访问权限,攻击者就可以植入其他的后门。因为这类服务器一般都不是Windows操作系统,所以攻击者必须修改其后门。
事实上,研究人员在进行事件响应的过程中还发现一个TeleBots使用的Linux后门——Linux/Exaramel.A。
Linux/Exaramel后门分析
该后门是用GO语言编写的,编译为64位的ELF二进制文件。攻击者可以在选择的目录中以任意名应用后门。
如果攻击者用字符串none作为命令行参数执行该后门,后门就会尝试使用驻留机制,以达到重启后自动运行的目的。如果后门并没有以root账户执行,就使用crontab文件。如果以root账户运行,就可以支持不同的Linux init系统,可以通过下面的命令来确定当前运行的是哪个init系统:
strings /sbin/init | awk ‘match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit; }’基于命令运行的结果,会使用下列硬编码的位置用作驻留:
在开机过程中,后门会尝试打开一个配置文件config.json,配置文件与后门保存在同一目录。如果配置文件不存在,就创建一个新文件。配置文件使用的加密算法为RC4,key为s0m3t3rr0r。
图6.解密的Linux/Exaramel后门JSON配置
后门会连接到硬编码的C2服务器或配置文件HOSTs值中的C2服务器。通信是通过HTTPS方式发送的。后门支持的命令有:
- App.Update 更新自己
- App.Delete 从系统中删除自己
- App.SetProxy 在配置中设置代理
- App.SetServer 在配置中更新C2服务器
- App.SetTimeout 设置timeout值(连接C2服务器的时间间隔)
- IO.WriteFile 从远程服务器下载文件
- IO.ReadFile 从本地硬盘上传文件到C2服务器
- OS.ShellExecute 执行shell命令
结论
Exaramel后门的发现说明TeleBots组织仍然活跃,并且在不断更新和改进其工具和技术。Win32/Exaramel后门和Industroyer主后门有很多代码相似性,这将Industroyer和TeleBots关联在一起,也将NotPetya和BlackEnergy关联在一起。研究人员还发现了Exaramel后门的win32和Linux版本。攻击中有趣的一点是攻击者在攻击活动中使用了ESET主体的域名,攻击者选择这些域名是为了隐藏其恶意活动。
