HiddenGh0st RAT IOCs

remote access Trojan IOC

Gh0st RAT - вредоносная программа удаленного управления, разработанная китайской командой C. Rufus Security Team. Благодаря тому, что исходный код программы находится в открытом доступе, разработчики вредоносного ПО используют его в качестве эталона при создании многочисленных вариантов, которые до сих пор активно используются в атаках. Несмотря на открытый исходный код, Gh0st RAT в основном используется угрожающими субъектами, базирующимися в Китае. Случаи распространения Gh0stCringe RAT, разновидности Gh0st RAT, нацеленной на серверы баз данных (MS-SQL, MySQL-серверы), были раскрыты в предыдущей записи блога.

HiddenGh0st RAT

Многочисленные варианты РАТ Gh0st часто используются в атаках, направленных на серверы MS-SQL. Центр экстренного реагирования на угрозы безопасности АнЛаб (ASEC) отслеживает атаки, направленные на плохо управляемые MS-SQL-серверы, и публикует ежеквартальную статистику в отчете ASEC Reports. Статистика классифицирует вредоносное ПО по основным категориям, таким как backdoor, Trojan, HackTool, CoinMiner и т.д., а также рассказывает о конкретных вредоносных программах, которые используются в атаках в рамках каждой категории. Согласно статистике за второй квартал 2023 года, на долю вариантов Gh0st RAT пришлось 29,0% случаев атак, что делает их вторыми по распространенности после Remcos RAT.

Недавно компания ASEC подтвердила распространение варианта Gh0st RAT, который устанавливает руткит Hidden, предназначенный для плохо управляемых серверов MS-SQL. Hidden, руткит с открытым исходным кодом, публично доступный на GitHub, обладает такими функциями, как сокрытие файлов, записей реестра и даже самого себя, а также предоставляет возможность защиты процессов. [3] Потенциально угрозы могут использовать эти возможности для того, чтобы скрывать от пользователей наличие вредоносных программ или препятствовать их удалению.

В данном блоге вариант РАТ Gh0st, устанавливающий руткит Hidden, будет классифицироваться как HiddenGh0st. HiddenGh0st выявлен как минимум с 2022 года и продолжает распространяться. Учитывая дополнительные функции, добавленные угрозой, включая возможность кражи информации из QQ Messenger, платформы, используемой преимущественно китайскими пользователями, можно предположить, что китайские пользователи являются основной целью этих атак.

HiddenGh0st распространяется в упакованном виде, чтобы избежать обнаружения файла. После расшифровки фактического PE-файла, зашифрованного в секции DATA, он исполняется в памяти. Одновременно передаются и конфигурационные данные размером 0x848.

Передаваемые конфигурационные данные выглядят следующим образом. Они включают не только URL-адрес C&C, но и поддерживают различные конфигурации, такие как способ установки, имя пути и файла установки, а также активацию руткита.

Многие из конфигурационных данных включают опции, которые можно отключить, и одним из ярких примеров является URL, используемый потоком загрузчика. Если бы угрожающий агент задал URL-адрес загрузки, то, скорее всего, при выполнении HiddenGh0st произошла бы загрузка дополнительного вредоносного ПО из внешнего источника.

Среди деактивированных конфигурационных данных также имеется возможность активации функции, позволяющей получить публичный IP-адрес зараженной системы. Если эта функция включена, то публичный IP-адрес с сайта http://www.taobao.com/help/getip.php будет получен и включен в данные, отправляемые на C&C-сервер.

Если режим установки, указанный в конфигурационных данных, имеет значение "Сервис", то время установки текущей вредоносной программы сначала сохраняется в значении MarkTime ключа в HKLM\SYSTEM\Select. Затем HiddenGh0st обращается к конфигурационным данным для копирования вредоносной программы и регистрации ее в качестве сервиса. Указав при регистрации службы аргумент "-auto", вредоносная программа впоследствии запускается с тем же аргументом "-auto" при работе в качестве службы.

Кроме того, в конфигурационных данных указывается размер добавляемых фиктивных данных. Если значение конфигурации равно 0x0008, то в конец вредоносной программы добавляется фиктивная информация размером 0x00800000. Как только процесс достигает этой точки, выполняется служба, и следующая команда используется для удаления исходного файла. Если HiddenGh0st работает как сервис, то он снова запускается с аргументом "-acsi", после чего выполняется основная процедура.

Если в конфигурационных данных, передаваемых при запуске вредоносной программы, для способа установки установлено значение "Startup Folder", то HiddenGh0st сохраняет постоянство, копируя себя в папку запуска, а не регистрируясь в качестве службы. Сначала сохраняется время установки в значении MarkTime ключа HKLM\SYSTEM\Select, как и в случае, когда режим установки - служебный. После этого HiddenGh0st копирует в папку запуска запущенную в данный момент вредоносную программу. Примечательной особенностью этого процесса является использование API DefineDosDeviceA() для создания символической ссылки для целевого пути копирования и ее использование в процессе копирования. В качестве имени символической ссылки используется строка "\.\agmkis2".

Затем копируемой вредоносной программе присваивается атрибут hidden и добавляются фиктивные данные в соответствии с конфигурацией. По завершении этого процесса скопированная вредоносная программа исполняется, а оригинальная удаляется.

HiddenGh0st, как и типичная РАТ Gh0st, после установления связи собирает и передает на C&C-сервер основную информацию о зараженной системе.

Информация об установленных продуктах безопасности получается путем проверки наличия в именах запущенных процессов следующих ключевых слов.
"360tray.exe", "360sd.exe", "kxetray.exe", "KSafeTray.exe", "QQPCRTP.exe" , "HipsTray.exe" , "BaiduSd.exe" , "baiduSafeTray.exe" , "KvMonXP. exe" , "RavMonD.exe" , "QUHLPSVC.EXE" , "QuickHeal" , "mssecess.exe" , "cfp.exe" , "SPIDer.exe" , "DR.WEB" , "acs.exe" , "Outpost" , "V3Svc.exe" , "AYAgent. aye" , "avgwdsvc.exe" , "AVG" , "f-secure.exe" , "F-Secure" , "avp.exe" , "Mcshield.exe" , "NOD32" , "knsdtray.exe" , "TMBMSRV.exe" , "avcenter.exe" , "ashDisp. exe" , "rtvscan.exe" , "remupd.exe" , "vsserv.exe" , "BitDefender" , "PSafeSysTray.exe" , "ad-watch.exe" , "K7TSecurity.exe" , "UnThreat.exe" , "UnThreat"

Среди данных, передаваемых HiddenGh0st на C&C-сервер, присутствует и QQ-номер запущенного в данный момент QQ Messenger. Поскольку QQ Messenger используется в основном пользователями, которые могут общаться на китайском языке, можно предположить, что основной целью угрозы являются пользователи, говорящие на китайском языке.

HiddenGh0st сжимает полученные таким образом данные размером 0x3BC, а затем добавляет к ним данные размером 0x0F. Добавленные данные содержат такую информацию, как строка сигнатуры "hx", размер пересылаемых данных и размер исходных данных. Оригинальная РАТ Gh0st для связи с C&C-сервером использовала сигнатурную строку "Gh0st", как и ее название. Тем не менее, благодаря публичной доступности исходного кода, Gh0st RAT породила множество вариантов, и стоит отметить, что в прошлом Gh0stCringe RAT также использовала "xy" в качестве сигнатурной строки.

В конечном итоге данные проходят процесс шифрования перед отправкой на C&C-сервер.

При разработке HiddenGh0st использовалась оригинальная РАТ Gh0st, поэтому она поддерживает основные команды, аналогичные командам оригинальной РАТ Gh0st, такие как FileManager, ScreenManager, KeyboardManager, SystemManager, ShellManager и др. Конечно, HiddenGh0st поддерживает гораздо больше команд. Ниже приведен список команд, которые могут быть получены от C&C-сервера для выполнения. Здесь выделены только основные категории, поэтому следует знать, что каждая команда на самом деле отвечает за гораздо большее количество функций. Команды, работающие как потоки и непрерывно отправляющие данные на C&C-сервер, используют 80-й порт C&C-сервера.

Благодаря широкому набору функций, предоставляемых HiddenGh0st, он предлагает еще больше возможностей поверх тех, которые поддерживаются оригинальной Gh0st RAT и типичными RAT-вредоносными программами.

На начальном этапе выполнения в качестве аргументов из конфигурационных данных поступают две закодированные строки. Одна из них - строка "1.0", которая, предположительно, является информацией о версии вредоносной программы, а вторая - строка "Default". Предполагается, что последняя используется в качестве идентификатора вредоносной программы, поскольку вместе с информацией о зараженной системе она отправляется на C&C-сервер. Если агент угрозы активирует команду кейлоггера, то собранные данные кейлоггера сохраняются по пути %SystemDirectory%, а в качестве имени файла используется строка "6gkIBfkS+qY=.key", которая перед расшифровкой является строкой "Default".

HiddenGh0st имеет функцию установки Mimikatz, что позволяет ему похищать учетные данные с зараженных систем. В дополнение к удаленной оболочке класс ShellManager, отвечающий за функцию удаленной оболочки в оригинальной РАТ Gh0st, включает команду, которая устанавливает Mimikatz под именем "GetMP.exe" и выполняет следующую команду. Собранные с зараженных систем учетные данные вредоносная программа передает на C&C-сервер с помощью таких процессов, как.

Среди новых добавленных команд есть много функций, связанных с удаленным управлением с помощью RDP. С их помощью можно активизировать удаленный рабочий стол или общий доступ к Интернету, изменить номер порта для удаленного рабочего стола и даже использовать команду, подобную приведенной ниже, для включения гостевых учетных записей и регистрации их в группе администраторов.

Кроме того, в него включены функции, которые поддерживались и прошлыми вредоносными программами RAT, например, команды удаления кэша Internet Explorer, открытия или закрытия CD-ROM, скрытия панели задач, переключения левой и правой кнопок мыши.

Хотя конкретное назначение не подтверждено, среди команд существует функция, устанавливающая значение ключа реестра следующим образом. Если значение "5750b8de793d50a8f9eaa777adbf58d4" будет установлено командой агента угроз, то оно будет включено в основную информацию, которую HiddenGh0st передает на C&C-сервер.

HKLM\SYSTEM\CurrentControlSet\Services\BITS / 5750b8de793d50a8f9eaa777adbf58d4

HKLM\SYSTEM\Setup / Host

Indicators of Compromise

Domain Port Combinations

  • leifenghackyuankong.e3.luyouxia.net:14688

MD5

  • 0d92b5f7a0f338472d59c5f2208475a3
  • 4e34c068e764ad0ff0cb58bc4f143197
  • 69cafef1e25734dea3ade462fead3cc9
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий