GravityRAT間諜軟件分析 - 網安 - 專業的網絡安全產業、社區、知識平臺

2018年研究人員發布GravityRAT研究報告，印度計算機應急響應小組（CERT-IN）于2017年首次發現該木馬。該軟件被認定隸屬于巴基斯坦的黑客組織，至少自2015年以來一直保持活躍，主要針對Windows機器，2018年將Android設備添加到了目標列表中。

軟件分析

2019年在VirusTotal發現一個Android間諜軟件，經過分析它與GravityRAT有關。攻擊者在Travel Mate中增加了一個間諜模塊，Travel Mate是一個面向印度旅客的Android應用程序，其源代碼可在Github上獲得。

攻擊者使用了Github上2018年10月發布的版本，添加了惡意代碼并更名為Travel Mate Pro。

木馬的清單文件包括Services和Receiver：

木馬app中的class：

間諜軟件具有標準功能：它將設備數據，聯系人列表，電子郵件地址以，通話和文本日志發送到C＆C服務器。此外木馬會在設備內存以及連接的媒體上搜索擴展名為.jpg，.jpeg，.log，.png，.txt，.pdf，.xml，.doc，.xls，.xlsx 、. ppt，.pptx，.docx和.opus的文件，并將它們發送到C＆C，url如下：

木馬使用的C＆C地址：

nortonupdates[.]online:64443

研究中還發現了名為Enigma.ps1的惡意PowerShell腳本，可執行C＃代碼，通過n3.nortonupdates[.]online:64443下載在計算機上找到的文件的數據（.doc，.ppt，.pdf，.xls，.docx，.pptx 、. xlsx）以及受感染機器的數據。

PowerShell script：

檢測到一個非常相似的VBS腳本，其名稱為iV.dll，但沒有指定的路徑：

除了VBS模板之外，還有Windows Task Scheduler的XML模板，名稱為aeS.dll，rsA.dll，eA.dll和eS.dll：

在主程序中，將所需的路徑和名稱寫入模板，并添加了計劃任務：

該程序與服務器通過download.enigma.net[.]in/90954349.php通信，其具有簡單的圖形界面以及加密和文件交換邏輯：

除了Enigma和Titanium之外，還包含以下間諜木馬程序：

Wpd.exe

Taskhostex.exe

WCNsvc.exe

SMTPHost.exe

CSRP.exe

他們的C＆C：

windowsupdates[.]eu:46769

mozillaupdates[.]com:46769

mozillaupdates[.]us

GravityRAT系列使用了相同的46769端口，進一步搜索找到了PE文件Xray.exe：

此版本收集數據并將其發送到n1.nortonupdates[.]online和n2.nortonupdates[.]online。

n*.nortonupdates[.]online解析為213.152.161[.]219，在Passive DNS數據庫中發現了可疑的域u01.msoftserver[.]eu。通過對該域的搜索找到了應用ZW.exe，該應用程序由Python編寫并使用PyInstaller打包，ZW.exe調用的C＆C地址：

msoftserver[.]eu:64443

間諜軟件從服務器接收命令：

獲取系統信息

搜索擴展名為.doc，.docx，.ppt，.pptx，.xls，.xlsx，.pdf，.odt，.odp和.ods的文件，并將其上傳到服務器

獲取正在運行的進程的列表

鍵盤記錄

截屏

執行任意的shell命令

錄制音頻（此版本未實現）

掃描端口

該代碼是多平臺的：

特征路徑確認了新版本的GravityRAT：

其他版本的GravityRAT

lolomycin&Co

GravityRAT的較舊版本Whisper也包含在組件whisper.exe中，字符串“ lolomycin＆Co”為ZIP文件密碼：

通過此字符串，在應用程序中找到了較新的.NET版本的GravityRAT：

WeShare

TrustX

Click2Chat

Bollywood

新版本的GravityRAT

.NET版本

Sharify

MelodyMate (signed by E-Crea Limited on 11.05.2019)

Python版本

GoZap

Electron版本

Android版本

SavitaBhabi

IoCs

MD5

Travel Mate Pro — df6e86d804af7084c569aa809b2e2134

iV.dll — c92a03ba864ff10b8e1ff7f97dc49f68

enigma.exe — b6af1494766fd8d808753c931381a945

Titanium — 7bd970995a1689b0c0333b54dffb49b6

Wpd.exe — 0c26eb2a6672ec9cd5eb76772542eb72

Taskhostex.exe — 0c103e5d536fbd945d9eddeae4d46c94

WCNsvc.exe — cceca8bca9874569e398d5dc8716123c

SMTPHost.exe — 7bbf0e96c8893805c32aeffaa998ede4

CSRP.exe — e73b4b2138a67008836cb986ba5cee2f

Chat2Hire.exe — 9d48e9bff90ddcae6952b6539724a8a3

AppUpdater.exe — 285e6ae12e1c13df3c5d33be2721f5cd

Xray.exe — 1f484cdf77ac662f982287fba6ed050d

ZW.exe — c39ed8c194ccf63aab1db28a4f4a38b9

RW.exe — 78506a097d96c630*5bd3d8fa92363

TW.exe — 86c865a0f04b1570d8417187c9e23b74

Whisper — 31f64aa248e7be0be97a34587ec50f67

WeShare —e202b3bbb88b1d32dd034e6c307ceb99

TrustX — 9f6c832fd8ee8d8a78b4c8a75dcbf257

Click2Chat — defcd751054227bc2dd3070e368b697d

Bollywood — c0df894f72fd560c94089f17d45c0d88

Sharify — 2b6e5eefc7c14905c5e8371e82648830

MelodyMate — ee06cfa7dfb6d986eef8e07fb1e95015

GoZap — 6689ecf015e036ccf142415dd5e42385

StrongBox — 3033a1206fcabd439b0d93499d0b57da (Windows), f1e79d4c264238ab9ccd4091d1a248c4 (Mac)

TeraSpace — ee3f0db517f0bb30080a042d3482ceee (Windows), 30026aff23b83a69ebfe5b06c3e5e3fd (Mac)

OrangeVault — f8da7aaefce3134970d542b0e4e34f7b (Windows), 574bd60ab492828fada43e88498e8bd2 (Mac)

CvStyler — df1bf7d30a502e6388e2566ada4fe9c8

SavitaBhabi — 092e4e29e784341785c8ed95023fb5ac (Windows), c7b8e65e5d04d5ffbc43ed7639a42a5f (Android)

URLs

daily.windowsupdates[.]eu

nightly.windowsupdates[.]eu

dailybuild.mozillaupdates[.]com

nightlybuild.mozillaupdates[.]com

u01.msoftserver[.]eu

u02.msoftserver[.]eu

u03.msoftserver[.]eu

u04.msoftserver[.]eu

n1.nortonupdates[.]online

n2.nortonupdates[.]online

n3.nortonupdates[.]online

n4.nortonupdates[.]online

sake.mozillaupdates[.]us

gyzu.mozillaupdates[.]us

chuki.mozillaupdates[.]us

zen.mozillaupdates[.]us

ud01.microsoftupdate[.]in

ud02.microsoftupdate[.]in

ud03.microsoftupdate[.]in

ud04.microsoftupdate[.]in

chat2hire[.]net

wesharex[.]net

click2chat[.]org

x-trust[.]net

bollywoods[.]co[.]in

enigma[.]net[.]in

titaniumx[.]co[.]in

sharify[.]co[.]in

strongbox[.]in

teraspace[.]co[.]in

gozap[.]co[.]in

orangevault[.]net

savitabhabi[.]co[.]in

melodymate[.]co[.]in

cvstyler[.]co[.]in