恶意文件家族:
SawRAT
威胁类型:
远控木马
简单描述:
远控木马SawRAT由Java编写,拥有屏幕截图、文件上传、任意命令执行等功能,攻击者可对受控目标主机执行任意远控操作,可轻松获取目标敏感信息。
恶意文件描述
近期,深盾实验室在运营工作中发现一起通过电子邮件传播的远控木马威胁事件。在该起事件中,攻击者通过钓鱼邮件释放一个恶意的压缩文件,并在该压缩文件中精心设计了一款将图标伪装成“Adobe”的恶意.lnk文件,以诱导用户点击,完成后续的连锁攻击。经分析,攻击链的最终阶段将放释一款全新的远控木马程序,因其使用名称“Saw”,故将其命名为SawRAT。
恶意文件分析
攻击者采用对.lnk文件赋值特殊目标路径的方式,将包含“cmd”的命令写入,以自动执行预制恶意命令。当受害者点击恶意lnk文件后,将自动复制当前目录下的恶意zip文件到敏感目录,解压后并执行恶意脚本文件,随后启动远控木马SawRAT。
恶意lnk文件
受害者将zip附件从电子邮件下载并解压后,将释放一个隐藏的文件夹“a”和一个带有恶意指令的lnk文件。
攻击者将恶意命令存放至lnk文件的目标路径中:
该段命令旨在将目录下的“files.zip”文件分别复制到%TEMP%目录以及默认下载目录,随后进入%TEMP%目录并解压“files.zip”,并执行隐藏文件夹“a”下的“jp.js”文件。
恶意JS文件
恶意JS文件“jp.js”文件被执行后,旨在执行更深层目录下的“jpackage.pdf”,并调用java执行“jpackage.jar”文件,该jar文件即为远控木马SawRAT。其中PDF文件受到密码保护,用以迷惑受害者,猜测密码应在钓鱼邮件中体现。
远控木马SawRAT
远控木马SawRAT由Java编写,拥有屏幕截图、文件上传、任意命令执行等功能,方便攻击者对受控目标主机执行任意操作,对受害者隐私产生较大威胁。
在主函数Main中,调用内部的FrameMain中的show函数,该函数创建一个指定大小并进行隐藏的JFrame,随后启动一个新的进程运行MSocket类的实例。
在该实例中,远控木马将创建一个Socket并连接C2地址,并进入一个大循环,接收指定命令并执行相应的操作。
下表展示每一个命令所对应的执行操作:
命令 | 操作描述 |
HB | 每5秒发送一次心跳信号 |
kfsSendSysInfo | 收集操作系统名称、用户名、主机名并发送 |
kfsSendDrives | 收集系统盘符名称并发送 |
kfsListDir | 收集指定目录下的文件及文件夹的信息并发送 |
kfsSendFile | 将指定文件发送至受害者端 |
kfs1Sfd | 收集指定文件的路径、属性、大小等信息并发送 |
kfs1une | 将指定文件上传至攻击者端 |
kfs1tss | 捕获当前受害者主机屏幕截图,并发送 |
ffs1cce | 发送base64编码的指令,解码后通过cmd.exe执行 |
ATTCK
TA阶段 | T技术 | S技术 | 描述 |
TA0001 初始访问 | T1566 网络钓鱼 | T1556.001 钓鱼附件 | 通过网络钓鱼电子邮件附件获得初始访问权限 |
TA0002 执行 | T1204 用户执行 | T1204.001 恶意lnk文件 | 设计lnk文件以诱导用户点击 |
TA0007 发现 | T1082 系统信息发现 | N/A | 获取受害者主机系统 |
T1083 文件系统信息发现 | N/A | 获取受害者文件系统信息 | |
TA0011 命令与控制 | T1132 数据混淆 | T1132.001 数据编码 | 攻击者利用base64编码传输命令 |
TA0009 信息收集 | T1113 屏幕获取 | N/A | 获取受害者主机当前屏幕截图 |
IOC
13C01534896246365DBBB625D8DBCBF4
9ACD010A980719F738CE561CCB127384
15957E06AEAD7D907972842D803F6471
144.91.112.130:6023
解决方案
处置建议
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
深信服解决方案
【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。