恶意软件"TSCookie"介绍

| categories translations  | tags malware 

2018年1月17日左右, 社交媒体上开始出现一些关于恶意邮件的报道, 这些邮件声称来自日本的教育部, 文化部, 体育部和科技部. 这些邮件里包含有指向恶意软件”TSCookie”的URL链接(趋势科技将其称为为PLEAD恶意软件, 因为PLEAD取自趋势科技过往捕获到的一次APT攻击活动, 故本文中我们将该恶意软件命名为”TSCookie”). TSCookie在2015年在野外被发现, 并且怀疑黑客组织”BlackTech”与此次攻击活动有关. JPCERT/CC证实称, 使用恶意软件的敌对团伙已经对日本组织进行了针对性的攻击. 本文将介绍我们在分析TSCookie后的成果.

TSCookie概述

下图描述了TSCookie的执行流程:

1.png

TSCookie本身只是用作一个下载器, 通过从C&C服务器下载模块来扩展功能. 我们所检查的样本下载了一个具有传出信息和其他功能的DLL文件(以下简称”TSCookieRAT”). 下载的模块仅在内存上运行

TSCookie和TSCookieRAT的行为将在下面的章节中详细解释.

TSCookie行为

TSCookie使用HTTP协议与C&C服务器进行通信, 并下载用于加载模块的”模块”和”加载程序”. 恶意软件的资源中有一个加密的DLL文件. 当恶意软件被执行时, DLL文件被加载进内存并执行. DLL文件会执行一些主要功能, 例如与C&C服务器进行通信. (在某些情况下, 主要功能部分并未经过加密并且存储在恶意软件中, 还有一些样本会启动另一个进程并注入解密后的DLL文件.) 恶意软件的配置信息包括有C&C服务器信息且同时使用RC4进行加密. 有关配置的详细信息, 请参阅附录A.

以下是TSCookie在开始时发送的HTTP GET请求的示例. 出站消息被编码包含在Cookie头信息中.

GET /Default.aspx HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Date: Thu, 18 Jan 2018 10:20:55 GMT
Pragma: no-cache
Accept: */*
Cookie: 1405D7CD01C6978E54E86DA9525E1395C4DD2F276DD28EABCC3F6201ADAA66F55C15352D29D0FFE51BC9D431EB23E8E58959653D9366E372B5CFCC49BB
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
Host:[host name]:443

包含在Cookie头中的数据经RC4加密(密钥是Date标头值). 数据格式请参考附录B表B-1.

通过这个HTTP GET请求获得的数据使用一个8字节值进行RC4加密, 这个8字节值由配置中的一个固定值(附录A, 表A-1)和发送数据中的一个值(在附录B表B-1中, “根据系统信息生成的4字节值”)组成. 这些数据还包括有模块的加载程序.

TSCookie随后下载一个模块. 以下是下载模块的HTTP POST请求示例.

POST /Default.aspx HTTP/1.1
Connection: Keep-Alive
Date: Thu, 18 Jan 2018 10:30:55 GMT
Content-Type: application/x-www-form-urlencoded
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
Content-Length: 34
Host: [host name]:443

[data]

发送的数据也同样是由RC4加密的(密钥是Date标头值). 数据格式请参考附录B表B-2. 通过该HTTP POST请求获得的数据也经过RC4加密, 使用的密钥与HTTP GET请求中密钥相同. 下载下来的模块可以先载入到内存中, 然后调用由HTTP GET请求获得的加载程序来得到执行.

TSCookieRAT行为

TSCookie在加载TSCookieRAT时提供一些参数比如C&C服务器信息. 程序一旦执行后, 感染主机的信息将通过HTTP POST请求发送到外部服务器.(HTTP头信息格式与TSCookie相同.)

数据从开头到0x14(密钥为Date标头值)都有经RC4加密, 紧跟着的是感染主机的信息(主机名, 用户名, 操作系统版本等等). 数据格式请参考附录C表C-1.

下图是发送感染主机信息(已解码)的示例.

2.png

之后, TSCookieRAT发送一个HTTP GET请求.(HTTP头信息依旧与TSCookie相同.) 通过该请求, C&C服务器发出命令, 而TSCookieRAT执行下列功能. (关于接收到的数据, 请参阅附录C, 表C-2, 关于命令列表, 请参阅附录D, 表D-1.)

  • 执行任意shell命令
  • 发送驱动器信息
  • 发送系统信息
  • 进行文件操作
  • 从Internet Explorer,Edge,Firefox,Chrome,Outlook处收集密码

命令执行的结果以第一个HTTP POST请求同样的格式发送出去(发送感染主机信息). 从C&C服务器发出的命令并未经过编码. 以下是执行列举进程和模块信息的命令时, 发送数据(已解码)的示例。

3.png

TSCookie解码工具

JPCERT/CC制作了一个工具, 用于解码和提取TSCookie的配置信息. 你可以访问Github使用该工具:

JPCERTCC/aa-tools · GitHub https://github.com/JPCERTCC/aa-tools/blob/master/tscookie_decode.py

4.png

结语

使用TSCookie的敌对团伙一直在利用各种类型的恶意软件对日本组织进行攻击. 由于这次攻击行动很可能持续下去. JPCERT/CC将继续谨慎地观察这一趋势.

附录E列出了为本文所检查的样本的散列值. 附录F中还列出了与TSCookie相关的一些目标主机. 请确保您的设备没有与这些主机通信.

如有任何疑问,请联系global-cc [at] jpcert.or.jp

Shusei Tomonaga

参考文章

[1] piyolog: Summary on Ministry of Education, Culture, Sports, Science and Technology Scam in January 2018 (Japanese)

http://d.hatena.ne.jp/Kango/20180119/1516391079

[2] Trend Micro: Following the Trail of BlackTech’s Cyber Espionage Campaigns

https://documents.trendmicro.com/assets/appendix-following-the-trail-of-blacktechs-cyber-espionage-campaigns.pdf

[3] Trend Micro: Following the Trail of BlackTech’s Cyber Espionage Campaigns

https://blog.trendmicro.com/trendlabs-security-intelligence/following-trail-blacktech-cyber-espionage-campaigns/

附录 A: TSCookie 配置信息

表A: 配置信息清单

偏移值 描述 备注
0x000 主机1标志 如果为0x01则进行通讯
0x004 主机1的端口号1  
0x008 主机1的端口号2  
0x010 主机1  
0x100 主机2标志  
0x104 主机2的端口号1  
0x108 主机2的端口号2  
0x110 主机2  
0x200 主机3标志  
0x204 主机3的端口号1  
0x208 主机3的端口号2  
0x210 主机3  
0x300 主机4标志  
0x304 主机4端口号1  
0x308 主机4端口号2  
0x310 主机4  
0x400 代理服务器  
0x480 代理端口号  
0x484 代理配置标志  
0x500 ID号  
0x604 固定值 4字节的RC4密钥 (0x925A765D)
0x89C 暂停时间  

附录 B: TSCookie 发出/接收的数据

表 B-1: Cookie头中包含的数据的格式

偏移 长度 内容
0x00 4 根据系统信息生成的4字节 (*)
0x04 4 0x10050014
0x08 4 0x10001
0x0C 4 0xAB1
0x10 4 0x04
0x14 4 根据系统信息生成的4字节
0x18 - 随机数据

(*) 表示是用固定值(0x925A765D)加密的RC4值

表 B-2: HTTP POST的数据格式

偏移 长度 内容
0x00 4 根据系统信息生成的4字节
0x04 4 0x10050014
0x08 4 0x10001
0x0C 4 0xAAD
0x10 4 位于0x14后的数据长度
0x14 - 随机数据

附录 C: TSCookieRAT 发出/接收的数据

表 C-1: HTTP POST的数据格式

偏移 长度 内容
0x00 4 根据系统信息生成的4字节
0x04 4 0x10050014
0x08 4 0x10001
0x0C 4 0xAAD
0x10 4 位于0x14后的数据长度
0x14 - 感染主机信息(使用”根据系统信息生成的4字节值”作为密钥进行RC4加密

表 C-2: 接收到的数据格式

偏移 长度 内容
0x00 4 命令
0x04 4 位于0x8后的数据长度
0x08 - 参数

附录D:TSCookieRAT使用的命令

表 D-1: 命令清单

含义
0x912 配置暂停时间
0x930 列举进程和模块
0x932 终止
0x934 启动远程shell
0x935 执行远程shell指令
0x936 关闭远程shell
0x946 获取IP地址
0x950 执行文件 (windows会有显示)
0x951 执行文件 (windows不会显示)
0x952 发送消息
0x953 发送驱动消息
0x954 发送文件清单
0x955 发送文件大小
0x956 发送文件
0x957 关闭对象句柄
0x958 选择文件发送 (发送文件同时执行0x955, 0x956命令)
0x959 下载文件
0x95A 删除文件
0x95C 移动文件
0x95E -
0x960 -
0x96B 获取windows窗体名
0x96E 从Internet Explorer, Edge, Firefox, Chrome, Outlook收集密码

附录 E: 样本的SHA-256值

TSCookie

  • 6d2f5675630d0dae65a796ac624fb90f42f35fbe5dec2ec8f4adce5ebfaabf75
  • cdf0e4c415eb55bccb43a650e330348b63bc3cbb53f71a215c44ede939b4b830
  • 17f1996ad7e602bd2a7e9524d7d70ee8588dac51469b08017df9aaaca09d8dd9
  • 1fa7cbe57eedea0ebc8eb37b91e7536c07be7da7775a6c01e5b14489387b9ca8
  • e451a1e05c0cc363a185a98819cd2af421ac87154702bf72007ecc0134c7f417
  • 1da9b4a84041b8c72dad9626db822486ce47b9a3ab6b36c41b0637cd1f6444d6
  • 35f966187098ac42684361b2a93b0cee5e2762a0d1e13b8d366a18bccf4f5a91
  • 0683437aebd980c395a83e837a6056df1a21e137e875f234d1ed9f9a91dfdc7f
  • 0debbcc297cb8f9b81c8c217e748122243562357297b63749c3847af3b7fd646
  • 96306202b0c4495cf93e805e9185ea6f2626650d6132a98a8f097f8c6a424a33
  • 6b66c6d8859dfe06c0415be4df2bd836561d5a6eabce98ddd2ee54e89e37fd44
  • 06a9c71342eeb14b7e8871f77524e8acc7b86670411b854fa7f6f57c918ffd2b
  • 20f7f367f9cb8beca7ce1ba980fafa870863245f27fea48b971859a8cb47eb09
  • f16befd79b7f8ffdaf934ef337a91a5f1dc6da54c4b2bee5fe7a0eb38e8af39e
  • 12b0f1337bda78f8a7963d2744668854d81e1f1b64790b74d486281bc54e6647
  • 201bf3cd2a723d6c728d18a9e41ff038549eac8406f453c5197a1a7b45998673
  • 5443ee54a532846da3182630e2bb031f54825025700bcd5f0e34802e7345c7b2
  • 39d7d764405b9c613dff6da4909d9bc46620beee7a7913c4666acf9e76a171e4
  • afe780ba2af6c86babf2d0270156da61f556c493259d4ca54c67665c17b02023
  • 4a8237f9ecdad3b51ffd00d769e23f61f1e791f998d1959ad9b61d53ea306c09
  • 203c924cd274d052e8e95246d31bd168f3d8a0700a774c98eff882c8b8399a2f

TSCookieRAT

  • 2bd13d63797864a70b775bd1994016f5052dc8fd1fd83ce1c13234b5d304330d

附录 F: 与TSCookie相关的目标主机

  • 220.130.216.76
  • 60.244.52.29
  • 45.76.102.145
  • jpcerts.jpcertinfo.com
  • jpcert.ignorelist.com
  • twnicsi.ignorelist.com
  • twcertcc.jumpingcrab.com
  • okinawas.ssl443.org
  • apk36501.flnet.org
  • appinfo.fairuse.org
  • carcolors.effers.com
  • edu.microsoftmse.com
  • eoffice.etowns.org
  • epayplus.flnet.org
  • fatgirls.fatdiary.org
  • gethappy.effers.com
  • iawntsilk.dnset.com
  • inewdays.csproject.org
  • ktyguxs.dnset.com
  • lang.suroot.com
  • langlang.dnset.com
  • longdays.csproject.org
  • lookatinfo.dnset.com
  • newtowns.flnet.org
  • ntp.ukrootns1.com
  • office.dns04.com
  • savecars.dnset.com
  • splashed.effers.com
  • sslmaker.ssl443.org

Previous     Next