歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

JhoneRAT:針對中東國家的新型Python RAT

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

概要
近日,思科Talos發現了一類專門針對中東國家的新型RAT(遠程管理木馬)——“ JhoneRAT”。攻擊者利用常見云服務(Google Drive,Twitter,ImgBB和Google Forms)來托管各階段惡意負載,其最終的RAT病毒是攻擊者自己用Python開發的,并不像其他常見的RAT那樣大量“借鑒”了公開源碼。JhoneRAT配置了鍵盤布局檢測功能,能檢測受害者的使用習慣是否是阿拉伯語。根據分析的樣本,其目標是沙特阿拉伯、伊拉克、埃及、利比亞等中東國家。
JhoneRAT介紹
從opsec(開放式安全平臺)的角度來看,攻擊者決定利用四種不同的云服務(而不是他們自己的基礎設施)的做法是明智的,云服務商的基礎設施中的合法和惡意流量很難識別。此外,由于其基礎設施使用的是HTTPS,流量是加密的,防御者想要進行中間人攔截也變得更加復雜。當然,此次行動也不是第一次出現攻擊者利用云服務進行攻擊了。
 

圖1.用戶代理#1
 

圖2.用戶代理#2
 

圖3.用戶代理#3
甚至在使用這些服務時,JhoneRAT的作者更進一步,根據請求使用了不同的用戶代理字符串,甚至在下載程序中,攻擊也使用了其他用戶代理字符串。
攻擊者根據鍵盤的布局實施過濾。
 

圖4.鍵盤布局檢查
該惡意軟件僅針對以下鍵盤布局的機器執行,基于Microsoft網站,代號對應的國家分別為:
'0401'->沙特阿拉伯
'0801'->伊拉克
'0c01'->埃及
'1001'->利比亞
'1401'->阿爾及利亞
'1801'->摩洛哥
'1c01'->突尼斯
'2001'->阿曼
'2401'->也門
'2801'->敘利亞
'3801'->阿聯酋
'3401'->科威特
'3c01'->巴林
'3001'->黎巴嫩

圖5.攻擊國家分布
誘餌文件
我們已經確定了三個不同的惡意Microsoft Office誘餌文檔,它們用于下載另一些帶有惡意宏的文檔。下面顯示的是2019年11月最早觀測到的誘餌文檔,名為“ Urgent.docx”:
 

圖6.初始誘餌文件
文檔要求啟用英語和阿拉伯語的編輯。
2020年一月初發現的第二個文檔名為“ fb.docx”,其中包含來自所謂的“ Facebook”泄漏的用戶名和密碼:
 

圖7.誘餌文件二
最新文件來自一月中旬,據稱來自阿拉伯聯合酋長國組織。攻擊者對內容進行了模糊處理,要求用戶啟用編輯以查看內容:
 

圖8.誘餌文件三
宏加載
這三個文檔都利用了這三個文檔利用了Office漏洞CVE-2019-0199,能從Google Drive上下載一個包含惡意宏的Office文檔并執行。
 

圖9.Google Drive上的惡意文檔
感染流程
第1階段:Google Drive上的惡意文檔
Google Drive上存放的文檔中包含一個宏,宏能根據受害者環境中可用磁盤的序列號進行虛擬機檢測。因為某些VM沒有序列號,只有在存在序列號的情況下才執行宏。該信息通過執行WMIC命令實現。
 

圖10.宏WMI檢查
如果存在序列號,則執行其余代碼——從新的Google Drive鏈接處下載圖片文件:
 

圖11.圖片下載

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 排列五跨度金木水火土走势图 百宝彩湖北11选5基走势图 越南河内5分彩开奖快 幸运农场计划稳定版 福彩3d杀号定胆金胆 股票指数计算例题 最简单平码公式算法 中国一重股票行情走 北京pc蛋蛋全天技巧 乐透型彩票