freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

深入分析 Ave MariaWarzone RAT
  • 关注
深入分析 Ave MariaWarzone RAT
2023-10-08 23:34:56

Ave Maria 也称为 Warzone RAT,是一种远控木马。该远控木马允许攻击者访问失陷主机,并且进行数据盗窃、权限提升、远程桌面控制、电子邮件凭据收集、浏览器凭据解析等恶意行为。

Ave Maria/Warzone RAT 最早在 2018 年被发现,目前仍在活跃并未停息,该远控木马也被多个 APT 组织用于控制失陷主机。

下图展示了 Ave Maria RAT 的恶意网络钓鱼攻击行动,该行动中使用能够下载远控木马的 RTF 文件。

1696778719_6522c9df86b9c0865d534.png!small?1696778720446

攻击基础设施

初始访问

Ave Maria (Warzone) RAT 因通过垃圾邮件分发恶意软件而臭名昭著,这些垃圾邮件带有恶意附件。恶意附件会利用 Office 公式编辑器中的漏洞 CVE-2017-11882 来感染失陷主机:

1696778738_6522c9f2999d96c087a65.png!small?1696778739079

垃圾邮件

利用该漏洞,Word 文件或者 RTF 文件会触发执行 Shellcode,将 Ave Maria RAT 下载到失陷主机上。下图显示了使用 UrlDownloadToFileW() 下载 Ave Maria RAT 的 Shellcode:

1696778762_6522ca0a85bd2bc62f7cb.png!small?1696778763867

Shellcode 代码

成功下载远控木马后,就会立即启动。

修改注册表

首先安装的 EventObject 将充当互斥量,以确保失陷主机上只有一个恶意软件实例。默认情况下,Web 服务器同时下载的数量为 2。Ave Maria (Warzone) RAT 修改了注册表,将该数值调整到 10。

下图显示了部分代码:

1696778790_6522ca260f7b96af3ca99.png!small?1696778791005

修改注册表

绕过 UAC

该恶意软件利用 RtlGetVersion() 来确定失陷主机的操作系统版本。如果满足版本要求,将会尝试使用文件路径创建注册表项 HKCU\Software\Classes\Folder\shell\open\command\绕过 Windows 的 UAC 再运行 sdclt.exe。

1696778814_6522ca3ee38cb76aaac76.png!small?1696778815988

绕过 UAC

削弱防御

该恶意软件使用 PowerShell 规避 Windows Defender 等安全工具,它通过将恶意软件文件路径添加到 Windows Defender ExclusionPath 来实现此目的。下图显示了负责初始化与执行 PowerShell 命令的函数,确保将恶意软件排除在 Windows Defender 的扫描之外。

1696778837_6522ca55cdc711e9b43a3.png!small?1696778838266

削弱防御

绕过网络标记

Ave Maria RAT 还会着意绕过 MOTW 标记,Windows 操作系统会将下载的文件标记为 Zone.Identifier。带有 MOTW 标记的文件会受到系统保护,无法执行部分操作。恶意软件会尝试删除该标记,以在不受限制或者保护的情况下运行下载的文件。

1696778856_6522ca68ed166cdd99fd6.png!small?1696778857442

绕过网络标记

命令与脚本解释器

Ave Maria RAT 会在 %appdata% 中释放自身的副本,以及名为 program.bat 的批处理脚本。该脚本可以通过 WMIC 创建进程,如下所示:

1696778878_6522ca7e3007d8ef9d89f.png!small?1696778878968

批处理脚本执行

进程注入

如果当前运行的进程位于 64 位操作系统上,将会启动 cmd.exe 进程并注入代码。否则,就会搜索 explorer.exe 进程来注入代码,再使用 CreateRemoteThread() 执行它。

1696778902_6522ca9672827ae0c317e.png!small?1696778903340

进程注入

持久化

安装过程中,恶意软件会创建注册表项在计算机重新启动时自动执行代码。如下所示:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

该远控木马包含一系列后门功能,旨在执行 Payload 从失陷主机中窃取信息。

系统信息发现

后门会收集系统信息,如机器 GUID、操作系统版本、用户名、计算机名、Token 信息、CPU 架构、内存信息等,这些信息会被加密并回传给 C&C 服务器。

1696778923_6522caab2965a599b3838.png!small?1696778923825

系统信息发现

注册表凭据

Ave Maria RAT 会在失陷主机的注册表中搜索不安全存储的凭据,如通过与 Microsoft Outlook 配置文件关联的注册表查看以下信息:

  • 电子邮件
  • 账户名称
  • POP3 服务器
  • POP3 用户
  • POP3 密码
  • SMTP 服务器
  • SMTP 密码
  • HTTP 密码
  • IMAP 密码

1696778949_6522cac53b6394c547f12.png!small?1696778951160

Outlook 注册表

按键记录

恶意软件通过 Hook 负责处理 Windows 系统中按键的 API,来进行用户按键记录。按键日志保存在 %appdata%\Microsoft Vision\文件夹中,文件名格式如下所示:

File name format: dd-mm-yy_hh.mm.ss
             E.g: %appdata%\Microsoft Vision\11.11.23_11.11.11

1696779036_6522cb1cdb5f1ad74f8a8.png!small?1696779037480

按键记录

Web 浏览器凭据

该恶意软件会窃取 Web 浏览器的凭据,读取特定目标浏览器中包含加密凭据的文件或者数据库,再解密提取明文凭据。

1696779049_6522cb293a209ae4a9e6d.png!small?1696779050170

获取浏览器凭据

以下是目标浏览器列表:

  • Chrome
  • Epic Privacy Browser
  • Microsoft Edge
  • UCBrowser
  • QQBrowser
  • Opera
  • Blisk
  • Chromium
  • Brave-Browser
  • Vivaldi
  • Comodo
  • Torch
  • Slimjet
  • CentBrowser
  • Firefox

检测结果

通过 pkgmgr 分析 Windows 绕过 UAC 识别可疑进程:

| tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes 
  where  Processes.process_name = pkgmgr.exe Processes.process = "*.xml*" NOT(Processes.parent_process_path IN("*:\\windows\\system32\\*", "*:\\windows\\syswow64\\*",
"*:\\Program Files*"))
  by Processes.dest Processes.user Processes.parent_process_name
Processes.parent_process_path Processes.process_name Processes.process
Processes.process_id
Processes.parent_process_id Processes.original_file_name 
 | `drop_dm_object_name(Processes)` 
 | `security_content_ctime(firstTime)` 
 | `security_content_ctime(lastTime)` 
 | `windows_bypass_uac_via_pkgmgr_tool_filter`

1696779073_6522cb41a102b147f5cd5.png!small?1696779074341

检测情况

识别针对 Windows 注册表的可疑修改:

| tstats `security_content_summariesonly` count min(_time) as firstTime max(_time) as lastTime FROM datamodel=Endpoint.Registry 
  where (Registry.registry_path=
"*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\MaxConnectionsPerServer*" OR Registry.registry_path=
"*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\MaxConnectionsPer1_0Server*")  Registry.registry_value_data = "0x0000000a" by
Registry.registry_key_name Registry.user Registry.registry_path
Registry.registry_value_data Registry.action Registry.dest 
  | `drop_dm_object_name(Registry)` 
  | `security_content_ctime(firstTime)` 
  | `security_content_ctime(lastTime)` 
  | `windows_modify_registry_maxconnectionperserver_filter`

1696779094_6522cb56d81c52f80b454.png!small?1696779095330

检测结果

检测 Windows 未签名 DLL 侧加载:

`sysmon` EventCode=7 Signed=false OriginalFileName = "-" SignatureStatus="unavailable" ImageLoaded IN ("*:\\windows\\system32\\*", "*:\\windows\\syswow64\\*") 
  | stats count min(_time) as firstTime max(_time) as lastTime by Image ImageLoaded Signed SignatureStatus OriginalFileName process_name Computer EventCode ProcessId Hashes IMPHASH 
  | `security_content_ctime(firstTime)` 
  | `security_content_ctime(lastTime)` 
  | `windows_unsigned_dll_side_loading_filter`

1696779114_6522cb6aa4541d69ffd53.png!small?1696779115407

检测结果

参考来源

Splunk

# 远控木马 # WarzoneRAT # 信息窃密
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
初始访问
    修改注册表
      绕过 UAC
        削弱防御
          绕过网络标记
            命令与脚本解释器
              进程注入
                持久化
                  系统信息发现
                    注册表凭据
                      按键记录
                        Web 浏览器凭据
                          检测结果
                            参考来源