HackingTeam新活动,Scout/Soldier重回视野

背景

HackingTeam是全世界知名的网络军火商,在2015年遭遇攻击后近400G的内部数据和工程化武器几乎被完全公开,在此之后一家名为Tablem的公司并购了"被破产"的HackingTeam,此后HackingTeam陷入沉寂。

360安全大脑在2018年"刻赤海峡"事件中捕获的一起针对俄罗斯的APT事件中,使用的后门疑似来自HackingTeam,在2019年一起影响中亚地区的APT事件中,同样发现了HackingTeam后门的身影,诸多信息表明HackingTeam依旧在全球恶意网络活动中活跃。

2020年1月,360安全大脑下诺亚实验室在日常的狩猎运营工作中,发现了一例高度模块化的RAT,并认定为HackingTeam RCS框架中的Soldier木马程序,在3月前夕,我们再次关联到该次活动使用Soldier的前置片段,并将其认定为HackingTeam RCS框架中的Scout木马程序,自此形成较为完整的活动拼图。

攻击流程及特点

从目前掌握的情况,本次HackingTeam RCS重现主要分为两个阶段

  • 第一阶段 通过伪装网络电视软件LiveNetTV,释放RCS框架中的Scout木马,进行系统基础信息收集,并具有一定ANTI机制
  • 第二阶段 通过伪装Java程序并执行RCS框架中Soldier木马,进行系统信息获取并窃取浏览器密码和cookie,窃取Facebook,Gmail,Twitter等信息

两个阶段的木马程序均使用了VMProtect加壳,通过历史HackingTeam泄露资料研究可知,两个木马具备创建共享内存空间联动的特性,这也是二者经常伴生出现的原因。

在本次捕获的样本中,我们发现样本具备以下特点:

  1. 使用了此前未知的有效证书签名
  2. 与此前泄露的RCS相比,现活跃的攻击样本均做了一定程度订制和变种
  3. 活动集中出现于2019年10月-2020年3月
  4. 依旧使用VMP壳保护

Unpack VMP

此处我们用到两种脱壳VMP的方式,一种用于提取关键信息,另一种则是进行完全脱壳。

方法一 通过运行样本,当样本开始解包自身时可以进行内存dump,一些关键信息可以在这个阶段dump拿到,且该方法也是HackingTeam团队自己处理VMP时的常用手段,并以此开发了工具VMProtect Dumper。

方法二 找到程序原始入口,找到.vmp部分调用,对原始API进行调用重写,最后对重写后的程序进行rebuild。

由于解决了VMP的问题,所以在接下来的样本分析过程中得到比较清晰的结果。

Stage1 分析

MD53f67b25082212393668c51710fe8191d
文件名LiveNetTV.exe
签名CODEMAT LTD
描述Scout木马

文件伪装

样本从远端进行下发压缩包hxxp://srv[.]cloudcepvep[.]ru/video.rar,内容包含两个视频内容和通过伪装网络电视直播软件LiveNetTV的Scout木马进行感染,并通过CODEMAT LTD签名(现已失效)。

同时伪装成微软的同步软件rapimgr:

杀软检测

样本进行了简单的杀软黑名单检测:

并针对Windows Defender进行了变种检测,通过WMI命令查看Windows Defender状态并关闭实时保护:

持久化准备

样本会判断当前运行的目录是否在指定目录中,不在则创建文件到指定目录。

通过创建计划任务做持久化准备:

0 0 vote
Article Rating

未经允许不得转载:x-sec » HackingTeam新活动,Scout/Soldier重回视野

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x