伪装成Windows 10 激活工具的远程木马正在恶意活动

下面的内容可能有些超纲,没关系,提前总结一下。

提示:停止使用一切第三方未知激活器激活的windows电脑,及时备份重要及明感资料,重新安装原版系统(广告:我这里长期提供原版系统安装!我只安装原版系统)。

近日,研究人员发现了一项新的分发 BitRAT 软件的恶意活动。BitRAT 是一种强大的远程访问木马,在网络犯罪论坛和暗网市场上以低至 20 美元的价格出售给网络犯罪分子。在最新的 BitRAT 恶意软件分发活动中,攻击者将恶意软件作为 Windows 10 Pro 许可证激活器分发到网络硬盘上。研究人员根据代码片段中的韩语字符及其分发方式推测,新的 BitRAT 活动的攻击者疑似是韩国人。ASEC分析团队发现的通过网络硬盘分发的BitRAT。由于攻击者从开发阶段就将恶意软件伪装成Windows 10许可证验证工具,因此从webhard下载非法破解工具并安装它,以验证Windows许可证的用户存在将BitRAT安装到其PC中的风险。

 

下面显示了一篇上传到webhard的帖子,其中包含恶意软件。标题是 [新的][快速安装]Windows许可证验证[一键式]。

 图1. 伪装成下载Windows许可证验证工具的帖子
下载名为“Program.zip”的压缩文件,并使用密码“1234”进行压缩和锁定。它包含一个名为“W10DigitalActivation.exe”的Windows 10许可证验证工具。
图2. 压缩文件中包含的文件
“W10DigitalActivation.exe”是一个7z SFX文件,带有一个名为“W10DigitalActivation.msi”的实际验证工具和名为“W10DigitalActivation_Temp.msi”的恶意软件。当用户双击该文件时,它会同时安装这两个文件。由于恶意软件和验证工具同时运行,用户被欺骗认为该工具运行正常,如下所示。
图3. 7z SFX文件中的恶意软件
与名称不同,“W10DigitalActivation_Temp.msi”

是一个带有exe扩展名的下载器,可以下载其他恶意软件。运行时,它会连接到其内部的C&C服务器,交换加密字符串。之后,它对字符串进行解密,最终获得额外有效载荷的下载网址。
图4. 下载器恶意软件的C&C网址
下载程序将恶意软件安装到Windows的启动程序文件夹中并自行删除。通常,第一个安装的文件是同类型的下载器,以这种方式运行的下载程序最终会将BitRAT作为“Software_Reporter_Tool.exe”安装到路径%TEMP%中。
图5. 下载下载器和BitRAT
值得注意的是,此下载器配备了附加功能,无论如何都不是一个简单的程序。如下图所示,它的功能之一是使用powershell命令添加Windows启动程序文件夹——下载器将安装在该文件夹中——作为Windows Defender的排除路径,并将BitRAT进程名称“Software_Reporter_Tool.exe”添加为Windows Defender的排除进程。
图6. 添加为Windows Defender的排除路径
看看这个恶意软件如何使用被认为是韩国最常用的文件共享平台的webhard,并在其代码中包含韩语字符,如下图所示,攻击者似乎是一个说韩语的人。
图7.含有韩文字符的代码
最终安装的恶意软件是名为BitRAT的RAT(远程访问木马)恶意软件。自2020年以来,BitRAT一直通过黑客论坛出售,并不断被攻击者使用。
图8. BitRAT介绍图像
因为BitRAT是一种RAT恶意软件,所以它的攻击者可以控制被它感染的系统。BitRAT不仅提供了运行进程任务、服务任务、文件任务、远程命令等基本控制功能,还提供了各种信息窃取功能、HVNC、远程桌面、挖币、代理等额外选项。
BitRAT提供的功能列表
1. 网络通信方式使用TLS 1.2进行加密通信;使用Tor进行通信2. 基本控制进程管理器;服务管理器;文件管理器;窗口管理器;软件管理器

3. 信息窃取

键盘记录;剪贴板记录;网络摄像头记录;音频记录;应用程序(如网络浏览器)账户凭证盗窃

4. 远程控制

远程桌面;hVNC(隐藏桌面)

5. 代理服务器

SOCKS5代理:使用UPnP的端口转发功能;反向代理:SOCKS4代理

6. 挖币

XMRig CoinMiner

7.其他

DDoS攻击;UAC旁路;Windows Defender停用

BitRAT使用的是被揭露的TinyNuke的代码,就像AveMaria一样。下面是TinyNuke的hVNC(与隐藏桌面有关的例程)和BitRAT的代码对比。 
TinyNuke在反向SOCKS4代理和隐藏桌面功能中验证并使用名为“AVE_MARIA”的签名字符串。AveMaria采用了TinyNuke的Reverse SOCKS4 Proxy功能,并根据这个字符串进行命名。另一方面,BitRAT使用了隐藏桌面功能,并且签名字符串是相同的。TinyNuke过去曾被朝鲜APT组织Kimsuky小组使用。在众多功能中,只有隐藏桌面功能被使用。 

该恶意软件正在通过文件共享网站(如韩国的网络硬盘)传播。因此,在运行从文件共享网站下载的可执行文件时要谨慎行事。建议用户从开发商的官方网站下载产品。