利用虛假網站在中國傳播的FatalRAT通信分析

一、概述

近日，觀成安全研究團隊發現了一個使用木馬安裝程序來傳遞FatalRAT惡意軟件的攻擊活動。此次活動主要針對中國大陸及香港和臺灣地區的華語人群，攻擊者通過在Google搜索結果中植入購買的誤導性廣告，來誘騙受害者訪問惡意的虛假網站如www.firefoxs.org，從而下載FatalRAT遠控木馬。該遠控木馬全程使用TCP協議與C&C服務器進行通信，并使用異或、加法運算以及Zlib將數據進行加密和壓縮后傳輸。

二、執行流程

表 2?1 樣本信息表

該樣本的執行流程分為四個階段。

第一階段，執行木馬安裝程序MSI文件并釋放多個加載FatalRAT所需組件(sccs.exe、libpng13.dll、Micr.jpg等)；

第二階段，通過sccs.exe程序加載libpng13.dll，在內存中加載Micr.jpg(shellcode)，shellcode的功能是釋放并執行下一段DLL；

第三階段，第二階段的DLL解密出最終載荷FatalRAT，并將其中加密的配置文件作為參數傳遞給FatalRAT的SVP7導出函數；

第四階段，FatalRAT將竊取的數據使用自定義方式加密后，通過TCP協議和C2服務器的8081端口通信，進行數據傳輸。

圖2-1 樣本執行流程

三、通信過程

FatalRAT執行后，加密獲取到的信息，通過TCP協議上傳給C2服務器；C2服務器收到上線包后會發送控制指令，其支持的控制指令功能有捕獲按鍵信息、終止瀏覽器進程并竊取或刪除其存儲的數據、下載并執行一個文件和執行shell命令等；受害機收到控制指令后將執行結果回傳到C2服務器上。

圖3-1 通信過程

3.1

 上線包

樣本獲取主機名、用戶名、CPU信息、安裝時間、和DLL傳遞的參數，將獲取到的信息進行多次加密處理（1.逐字節加121；2.逐字節異或0x15；3.Zlib壓縮），加密后通過TCP協議上傳到C2服務器。

圖3-2 上線包

圖3-3　獲取的信息

3.2

控制指令

 模擬服務器下發指令0x6B，獲取當前進程和獲取發送鍵盤記錄情況，如下圖所示，該木馬可以正常解析并執行控制指令。

圖3-4 服務器下發控制指令，Fatal回傳執行結果

圖3-4 解密后的數據

3.3

數據格式

客戶端 --> 服務端

客戶端發送給服務器的數據由3字節的硬編碼數據“53 56 09”、4字節壓縮后的數據長度、4字節解壓后的數據長度和4字節的固定數據“A6B71200”組成。如下圖所示，樣本收集了受害機的用戶名、主機名和CPU信息等，構造上線包并發送給服務器。

圖3-5　數據構造

圖3-6 數據構造舉例

服務端 --> 客戶端

服務器發送給客戶端的控制指令數據由15字節的頭部和1字節的控制指令構成。數據構造如下圖所示。

圖3-7 數據構造

圖3-8 控制指令構造舉例

四、產品檢測

觀成瞰云（ENS）— 加密威脅智能檢測系統能夠對FatalRAT遠控木馬的惡意TCP流量進行檢出。

圖4-1　TCP協議加密流量檢測

五、總　結

從2022年8月到2023年初，攻擊者利用Google搜索結果中植入的虛假網站鏈接在中國境內傳播FatalRAT木馬，這種使用谷歌廣告作為分發和傳播惡意程序的活動數量近年來持續增加，攻擊手法雖然老套，但依然十分奏效。

此次攻擊采用TCP自定義加密通信，目前利用TCP等協議承載自定義加密載荷進行攻擊的惡意軟件活動、APT組織和各類黑客工具層出不窮。因自定義加密格式不定，變化靈活，導致這種加密流量檢測的難度進一步提高。觀成科技一直針對各類使用自定義加密的最新威脅保持密切跟蹤，并隨時更新方案進行應對。