NetSupport Manager RAT通過虛假更新進行傳播
責編:mhshi |2018-04-09 11:25:24一個商用RAT,NetSupport Manager被管理員用來遠程訪問客戶端計算機。然而,合法應用程序也可能被惡意行為者濫用,惡意行為者在沒有所有者知識的情況下將其安裝到受害者計算機上,以便未經授權訪問他們的機器。
為了分發,參與者濫用受損網站并將RAT偽裝成流行應用程序(包括Adobe Flash,Chrome和FireFox)的假更新。如果用戶接受更新,則會下載惡意JavaScript文件,主要來自Dropbox鏈接。
該文件收集基本的系統信息并將其發送到服務器,從服務器接收額外的命令,然后執行JavaScript以提供最終的有效負載。命名為Update.js,FireEye表示,在wscript.exe的幫助下,提供有效載荷的JavaScript從%AppData%執行。
惡意軟件作者對最初的JavaScript應用了多層模糊處理,并試圖對第二個JavaScript文件進行更難分析。通過使用調用者函數和被調用者函數代碼來獲取解密密鑰,攻擊者可以確保一旦分析人員添加或刪除任何內容,腳本將不會檢索密鑰,并會以異常終止。
初始執??行后,JavaScript啟動與命令和控制(C&C)服務器的連接,并以編碼格式發送名為tid的值和系統的當前日期。然后腳本解碼服務器響應并將其作為名為step2的函數執行。
該功能收集各種系統信息并對其進行編碼并發送給服務器:體系結構,計算機名稱,用戶名,處理器,操作系統,域,制造商,型號,BIOS版本,反間諜軟件產品,防病毒產品,MAC地址,鍵盤,指點設備,顯示控制器配置和進程列表。
然后服務器用編碼內容進行響應:一個名為step3和Update.js的函數,它下載并執行最終的有效負載。
該代碼利用PowerShell命令從服務器下載多個文件,其中包括7zip獨立可執行文件,包含RAT的受密碼保護的歸檔文件以及用于在系統上安裝NetSupport客戶端的批處理腳本。
批處理腳本還設計用于禁用Windows錯誤報告和應用程序兼容性,將遠程控制客戶端可執行文件添加到防火墻的允許程序列表中,添加運行注冊表項或將快捷方式文件下載到啟動文件夾以實現持久性,隱藏文件,刪除工件,并執行RAT。在分析過程中,研究人員發現該腳本定期由惡意軟件更新。
在NetSupport Manager的幫助下,攻擊者可以遠程訪問受損系統,傳輸文件,啟動應用程序,獲取系統位置以及遠程檢索庫存和系統信息。
最終的JavaScript還下載了一個包含IP地址列表的txt文件,研究人員稱這些文件可能會被入侵系統。這些IP主要屬于美國,德國和荷蘭,但也適用于其他地區。