MATA:多平臺惡意軟件框架
隨著IT和OT環境變得越來越復雜,對手很快就會適應其攻擊策略。例如,隨著用戶工作環境的多樣化,對手正忙于獲取TTP以滲透到系統中。最近,我們向威脅情報門戶網站客戶報告了一個內部稱為MATA的類似惡意軟件框架。MATA惡意軟件框架具有多個組件,例如加載程序,協調器和插件。這個全面的框架能夠針對Windows,Linux和macOS操作系統。
我們發現的與MATA相關的第一手物品在2018年4月左右使用。此后,這個高級惡意軟件框架的幕后行為者積極地使用它來滲透全球的企業實體。我們從遙測中找出了幾名受害者,并弄清了該惡意軟件框架的目的。
Windows版本的MATA
Windows版本的MATA由幾個組件組成。根據我們的遙測,參與者使用加載程序惡意軟件加載了加密的下一階段有效負載。我們不確定加載的負載是否是協調器惡意軟件,但是幾乎所有受害者都將加載器和協調器放在同一臺計算機上。
Windows版MATA的組件
Loader
該Loader采用十六進制編碼,將其轉換為二進制并對其進行AES解密,以獲得有效負載文件的路徑。每個加載程序都有一個硬編碼的路徑來加載加密的有效負載。然后,將有效負載文件進行AES解密并加載。
從一個受感染的受害者中發現的加載程序惡意軟件中,我們發現執行加載程序惡意軟件的父進程是“ C:\ Windows \ System32 \ wbem \ WmiPrvSE.exe”進程。WmiPrvSE.exe進程是“ WMI Provider Host進程”,通常意味著參與者已從遠程主機執行了該加載程序惡意軟件,以進行橫向移動。因此,我們估計參與者使用此加載程序來破壞同一網絡中的其他主機。
Orchestrator和插件
我們在受害者計算機上的lsass.exe進程中發現了Orchestrator惡意軟件。該Orchestrator惡意軟件從注冊表項加載加密的配置數據,并使用AES算法對其解密。除非注冊表值存在,否則惡意軟件會使用硬編碼的配置數據。以下是來自一個Orchestrator惡意軟件樣本的配置值示例:
| 編號 | 隨機的24位數字 |
|---|---|
| 內部版本號 | 3.1.1(0x030101) |
| 超時 | 20分鐘 |
| C2地址 | 108.170.31 [.] 81:443192.210.239 [.] 122:443111.90.146 [.] 105:443 |
| 啟動時將加載的插件的磁盤路徑或URL(最多15個) | 未在此惡意軟件中使用 |
Orchestrator可以同時加載15個插件。有三種加載方式:
- 從指定的HTTP或HTTPS服務器下載插件
- 從指定的磁盤路徑加載AES加密的插件文件
- 從當前的MataNet連接下載插件文件
惡意軟件的基礎架構稱為MataNet。對于秘密通信,他們借助“ openssl-1.1.0f”開放源代碼庫采用TLS1.2連接,該庫在該模塊內部靜態鏈接。此外,MataNet節點之間的通信使用隨機的RC4會話密鑰加密。MataNet同時實現客戶端和服務器模式。在服務器模式下,將加載證書文件“ c_2910.cls”和私鑰文件“ k_3872.cls”以進行TLS加密。但是,從不使用此模式。
MataNet客戶端與其C2建立定期連接。每個消息都有一個12字節長的報頭,其中第一個DWORD是消息ID,其余的是輔助數據,如下表所示:
| 訊息編號 | 描述 |
|---|---|
| 0x400 | 完成當前的MataNet會話并延遲下一個會話,直到更改邏輯驅動器的數量或啟動新的活動用戶會話為止。 |
| 0x500 | 刪除配置注冊表項,并停止執行MATA,直到下次重新啟動。 |
| 0x601 | 將配置數據發送到C2。 |
| 0x602 | 下載并設置新的配置數據。 |
| 0x700 | 向C2發送受感染的主機基本信息,例如受害者ID,內部版本號,Windows版本,計算機名,用戶名,IP地址和MAC地址。 |
| 0x701 | 向C2發送配置設置,例如受害者ID,內部版本號和會話超時。 |
orchestrator 的主要功能是加載每個插件文件并在內存中執行它們。每個DLL文件類型插件都為編排器提供了一個接口,可以控制中病毒的計算機。
| 插件名稱 | 描述 |
|---|---|
| MATA_Plug_Cmd.dll | 使用指定的參數運行“ cmd.exe / c”或“ powershell.exe”,并接收命令執行的輸出。 |
| MATA_Plug_Process.dll | 操作過程(列出過程,刪除過程,創建過程,具有登錄用戶會話ID的創建過程)。 |
| MATA_Plug_TestConnect.dll | 檢查具有給定IP:端口或IP范圍的TCP連接。ping主機或IP范圍。 |
| MATA_Plug_WebProxy.dll | 創建一個HTTP代理服務器。服務器偵聽指定端口上的傳入TCP連接,處理從客戶端到HTTP服務器的CONNECT請求,并在客戶端和服務器之間轉發所有流量。 |
| MATA_Plug_File.dll | 處理文件(將接收到的數據寫入給定文件,在壓縮LZNT1之后發送給定文件,將給定文件夾壓縮到%TEMP%\?DESKTOP [8random hex]。ZIP并發送,擦除給定文件,搜索文件,列表文件和文件夾,時間戳文件) )。 |
| MATA_Plug_Load.dll | 使用PID和進程名稱將DLL文件注入給定進程,或者將XORed DLL文件注入給定進程,還可以選擇使用參數調用export函數。 |
| MATA_Plug_P2PReverse.dll | 在一側的MataNet服務器與另一側的任意TCP服務器之間連接,然后在它們之間轉發流量。在此接口的調用上指定了雙方的IP和端口。 |
MATA_Plug_WebProxy插件中的字符串(“ Proxy-agent:matt-dot-net ” )是對Matt McKnight的開源項目的引用,雖然有一些區別,但Matt的項目是用C#而不是C ++編寫的。MATA代理明顯更簡單,例如,因為沒有緩存,也沒有SSL支持。MATA的作者有可能找到并使用了Matt代理服務器早期版本的源代碼。看起來惡意軟件作者將代碼從C#重寫為C ++,但沒有改變這個足跡。
MATA_Plug_WebProxy.dll插件的代理
Non-Windows版本的MATA
MATA框架不僅針對Windows系統,而且針對Linux和macOS系統。
Linux版本
在研究過程中,我們還發現了一個包含不同MATA文件和一套黑客軟件。在這種情況下,軟件包是在一個合法的分發站點上發現的,這可能表明這是分發惡意軟件的方式。它包括Windows MATA orchestrator,用于列出文件夾的Linux工具,用于利用Atlassian Confluence Server(CVE-2019-3396)的腳本,合法的socat工具以及與一組插件捆綁在一起的MATA Orchestrator的Linux版本。
該模塊旨在作為守護程序運行。啟動后,模塊通過從“ /var/run/init.pid”讀取PID來檢查它是否已經在運行,并檢查“ / proc /%pid%/ cmdline”文件內容是否等于“ / flash / bin” / mountd”。“/flash/bin/mountd”對于標準的Linux桌面或服務器安裝來說是一個不常見的路徑。這條路徑表明MATA的Linux目標是無磁盤網絡設備,比如基于x86_64的路由器、防火墻或物聯網設備。模塊可以通過“/pro”開關來運行,從而跳過“init.pid”檢查。經過aes加密的配置存儲在“$HOME/.memcache”文件。此模塊的行為與前面描述的Windows MATA orchestrator相同。Linux MATA和相應Windows插件的名稱為:
| Linux插件 | 對應的Windows插件 |
|---|---|
| / bin / bash | MATA_Plug_Cmd |
| plugin_file | MATA_Plug_File |
| plugin_process | MATA_Plug_Process |
| plugin_test | MATA_Plug_TestConnect |
| plugin_reverse_p2p | MATA_Plug_P2P反向 |
請注意,Linux版本的MATA具有一個logend插件。該插件實現了一個有趣的新功能,即“掃描”命令,該命令嘗試在端口8291(用于管理MikroTik RouterOS設備)和8292(“彭博專業版”軟件)上建立TCP連接,并隨機排除IP地址(不屬于私有地址)網絡。任何成功的連接都會被記錄并發送到C2。攻擊者可能會將這些日志用于目標選擇。
macOS版本
我們發現了另一個針對macOS的MATA惡意軟件目標,該目標已于2020年4月8日上載到VirusTotal。惡意的Apple Disk Image文件是基于名為MinaOTP的開源兩因素身份驗證應用程序的Trojanized macOS應用程序。
Trojanized macOS應用程序
Trojanized main TinkaOTP模塊負責將惡意Mach-O文件移動到Library文件夾,并使用以下命令執行該文件:
cp TinkaOTP .app/Contents/Resources/Base.lproj/SubMenu.nib ~/Library/.mina > /dev/null 2>&1 && chmod +x ~/Library/.mina > /dev/null 2>&1 && ~/Library/.mina > /dev/null 2>&1
啟動后,此惡意Mach-o文件從“ /Library/Caches/com.apple.appstotore.db”中加載初始配置文件。
就像在不同平臺上運行的另一種病毒一樣,macOS MATA惡意軟件也基于插件運行。它的插件列表與Linux版本幾乎相同,除了它還包含一個名為“ plugin_socks”的插件。“ plugin_socks”插件類似于“ plugin_reverse_p2p”,負責配置代理服務器。
Victims
基于遙測,我們已經能夠識別出一些被MATA框架感染的受害者。感染不限于特定區域。在波蘭,德國,土耳其,韓國,日本和印度記錄了受害人。而且,參與者破壞了包括軟件開發公司,電子商務公司和互聯網服務提供商在內的各個行業的系統。
我們評估了APT演員使用了MATA,并從一名受害者中確定了他們的意圖之一。在部署MATA惡意軟件及其插件之后,攻擊者試圖找到受害者的數據庫并執行多個數據庫查詢以獲取客戶列表。我們不確定他們是否完成了客戶數據庫的篩選,但是可以確定受害者的客戶數據庫是他們的興趣之一。
MATA的受害者
歸因
我們評估了MATA框架與 Lazarus APT組之間的聯系。MATA協調器使用兩個唯一的文件名c_2910.cls和k_3872.cls,這些文件名以前僅在幾種Manuscrypt的新版本中才能看到,包括在US-CERT出版物中提到的樣本(0137f688436c468d43b3e50878ec1a1f) 。
唯一文件名
此外,MATA使用全局配置數據,包括隨機生成的會話ID、基于日期的版本信息、睡眠間隔和多個C2s和C2服務器地址。我們已經看到了一個版本(ab09f6a249ca88d1a036eee7a02cdd16)與MATA框架共享類似的配置結構。這個古老的Manuscrypt變體是一個活躍的后門,有類似的配置數據,如會話ID,睡眠間隔,C2地址的數量,感染日期,和C2地址。它們不完全相同,但它們有相似的結構。
Manuscrypt配置結構
結論
MATA框架的重要之處在于它能夠針對多個平臺:Windows、Linux和macOS。此外,這個高級惡意軟件框架背后的行動者利用它進行一種網絡犯罪攻擊,竊取客戶數據庫和分發勒索軟件。我們估計這個惡意軟件會繼續發展,所以我們會監控它的活動以保護用戶。
