Malwarebytes威胁情报小组发现了一种名为WoodyRAT的新型远程控制木马,研究人员发现它已经在野外存在至少一年.攻击者最近利用Follina漏洞针对俄罗斯实体,推测是基于注册的假域名,目标是被称为OAK的俄罗斯航空航天和国防组织。分发方式WoodyRAT使用两种分发方式:压缩文件和利用Follina漏洞的Office文档文件。早期的样本是伪装成俄罗斯间谍文件的ZIP文件。当Follina漏洞出现时,攻击者也利用它来分发恶意软件。整体攻击流程如下:攻击过程压缩文件WoodyRAT被打包成压缩文件发送给受害者,这些压缩文件通过鱼叉邮件进行传播。部分压缩文件如下:anketa_brozhik.doc.zip:包含WoodyRAT的同名文件:Anketa_Brozhik.doc.exezayavka.zip:包含伪装成WoodyRAT的程序:selection.doc.exeFollina漏洞恶意文档(Памятка.docx)利用Follina漏洞(CVE-2022-30190)传播WoddyRAT,诱饵文档名称意为“信息安全备忘录”,其中列出了与密码和机密信息相关的安全措施。诱饵文档WoodyRAT攻击者在样本中留下了PDB路径的调试信息:调试信息许多CRT函数是静态链接的,这使得IDA产生大量的分析噪声。在初始化之前,恶意软件通过以0x8007作为参数调用SetErrorMode来有效地阻止所有错误报告。主要功能CookieWoodyRAT使用HTTP与C&C服务器通信。为了识别每个受感染的主机,恶意软件会根据主机信息生成cookie值。主机信息包括网卡信息、计算机名、卷信息,附加八字节随机字符,使cookie尽可能具有唯一值。使用GetAdaptersInfo、GetComputerNameA和GetVolumeInformationW获取信息后,生成的cookie随每个HTTP请求一起发送。get_cookie_data函数数据加密恶意软件使用RSA-4096和AES-CBC加密发送到C&C服务器的数据,RSA-4096的公钥硬编码在二进制文件中,恶意软件在运行时使用BCryptImportKeyPair函数导入它。恶意软件通过在运行时生成一个32字节的随机值来获取AES-CBC密钥,并使用RSA-4096算法对32字节的密钥进行加密后返回给C&C服务器。恶意软件和C&C服务器都使用这些字节和BCryptGenerateSymmetricKey生成AES-CBC密钥,该密钥用于在后续HTTP请求中加密和解密数据。RSAEncryptedAESEncryptedC&CRequest恶意软件对C&C服务器的第一个HTTP请求是敲门,这是一个带有cookie的POST请求。生成AES-CBC密钥的请求中包含一个32字节的随机值,这32个字节经过RSA-4096加密。解密后,请求头返回的响应中包含主机与C&C服务器通信的URL路径。之后,恶意软件发起提交请求,并发回与受感染主机相关的环境信息,数据通过AES-CBC加密。环境信息如下:OSArchitectureAnti-VirusSoftwareInstalledComputerNameOSBuild.NETInformationPowerShellInformationPythonInformation(安装路径、版本等)StorageDriveInformationEnvironmentVariablesNetworkInterfaceAdministratorPrivilegesListofRunningProcessesProxyInformationUsername所有用户帐户列表恶意软件目前通过注册表项检测六种防病毒软件:AvastSoftware、DoctorWeb、Kaspersky、AVG、ESET和Sophos。最后,恶意软件会定期对C&C服务器执行ping操作。如果它响应_CRY,它将继续轮询,如果它响应_ACK,它将包含继续的命令。C&C命令恶意软件使用一个特定线程与C&C服务器通信,并使用另一个线程执行从C&C服务器接收的命令。为了保持线程同步,恶意软件利用事件和互斥体。必须强调的是,所有通信均经过AES加密。CommandExecution_SET命令PING:该命令用于设置向C&C服务器发出ping请求之间的睡眠周期PURG:未知命令EXIT:退出命令执行线程_REQ命令EXEC:创建两个命名管道并将输入和输出重定向到这些管道,使用ReadFile从命名管道中读取命令的输出,然后将_DAT附加到此数据,然后用AES加密并发送给C&C服务器执行命令UPLD:将文件下载到受感染的主机INFO:再次发送提交信息返回C&C服务器INFO命令UPEX:在受感染主机上下载文件并执行(UPLD+EXEC)DNLD:将文件从受感染主机上传回C&C服务器PROC:直接执行命令,不调用cmd.exeUPPR:在被攻陷主机上下载文件并执行(UPLD+PROC)SDEL:删除被攻陷主机的文件_DIR:列出指定目录的所有文件和属性(文件名、类型、所有者、创建时间、上次访问)ss时间、上次写入时间、大小、权限)STCK:一次执行多个命令,按收到顺序执行SCRN:用AES-CBC加密图片,截图后发送到C&C服务器远程内存,然后使用CreateRemoteThread创建远程线程INJC命令PSLS:使用SystemProcessInformation调用NtQuerySystemInformation检索所有正在运行的进程,将相关信息(PID、父进程PID、进程名、所有者)发送回C&C服务器DMON:用CreateProcess创建进程不传出UPDM:上传文件并执行(DMON模式)SharpExecutor和PowerSession命令该恶意软件还嵌入了两个.NET实现的DLL文件,即WoodySharpExecutor和WoodyPowerSession。WoodySharpExecutor使恶意软件能够运行从C&C服务器收到的.NET代码,而WoodyPowerSession使恶意软件能够执行从C&C服务器收到的PowerShell命令和脚本。WoodyPowerSession使用管道执行这些PS命令:SharpExecutor和PowerSession命令DLL支持以下命令:DN_B:使用RunBinaryStdout方法执行汇编代码DN_D:接收由代码、类名、方法名和参数组成的base64字符串数组,为攻击者提供对执行的细粒度控制,例如不返回输出PSSC:接收base64编码的PowerShell命令并执行PSSS:接收base64编码的PowerShell脚本并执行PSSM:接收base64编码的字符串数组,将其解码到命令管道并调用一旦恶意软件清理创建了命令线程,恶意软件就会使用ProcessHollowing技术将自身从磁盘中删除。首先创建一个挂起的记事本进程,然后使用NtWriteVirtualMemory向挂起的进程写入shellcode。然后使用NtSetContextThread重置线程入口点并恢复线程。自我删除未知攻击者研究人员无法归因于恶意软件,目前没有确凿证据表明特定攻击者正在开发WoodyRAT。IOC982ec24b5599373b65d7fec3b7b66e6afff4872847791cf3c5688f47bfcb8bf066378c18e9da070629a2dbbf39e5277e539e043b2b912cc3fed0209c48215d0bb65bc098b475996eaabbb02bb5fee19a18c6ff2eee0062353aff696356e73b7a43b15071268f757027cf27dd94675fdd8e771cdcd77df6d2530cb8e218acc2ce408f314b0a76a0d41c99db0cb957d10ea8367700c757b0160ea925d6d7b5dd8e0588c52582aad248cf0c43aa44a33980e3485f0621dba30445d8da45bba4f8345c5020ee0f7a5b78a6da74a3f58710cba62f727959f8ece795b0f47828e33e803ba32825177d7c2aac957ff1fc5e78b64279aeb748790bc90634e792541de8d39bc071fb6a1d9e72c50aec88b4317c3eb7c0f5ff5906b00aa00d9e720cbc828dffa22c40ac69750b229654c54919a480b33bc41f68c128f5e3b5967d442728fbkurmakata.duckdns[.]orgmicrosoft-ru-data[.]ru194.36.189.179microsoft-telemetry[.]ruoakrussia[.]rugarmandesar.duckdns[.]org:444/uoqiuwef.htmlfcloud.nciinform[.]ru/main.css
