警惕！伪装成Windows 10 激活工具的远程木马正在恶意活动

发布时间：2022-03-23 11:53:33来源：E安全

近日，研究人员发现了一项新的分发BitRAT软件的恶意活动。BitRAT是一种强大的远程访问木马，在网络犯罪论坛和暗网市场上以低至20美元的价格出售给网络犯罪分子。在最新的BitRAT恶意软件分发活动中，攻击者将恶意软件作为Windows10Pro许可证激活器分发到网络硬盘上。研究人员根据代码片段中的韩语字符及其分发方式推测，新的BitRAT活动的攻击者疑似是韩国人。

ASEC分析团队发现的通过网络硬盘分发的BitRAT。由于攻击者从开发阶段就将恶意软件伪装成Windows10许可证验证工具，因此从webhard下载非法破解工具并安装它，以验证Windows许可证的用户存在将BitRAT安装到其PC中的风险。

下面显示了一篇上传到webhard的帖子，其中包含恶意软件。标题是[新的][快速安装]Windows许可证验证[一键式]。

图1.伪装成下载Windows许可证验证工具的帖子

下载名为“Program.zip”的压缩文件，并使用密码“1234”进行压缩和锁定。它包含一个名为“W10DigitalActivation.exe”的Windows10许可证验证工具。

图2.压缩文件中包含的文件

“W10DigitalActivation.exe”是一个7zSFX文件，带有一个名为“W10DigitalActivation.msi”的实际验证工具和名为“W10DigitalActivation_Temp.msi”的恶意软件。当用户双击该文件时，它会同时安装这两个文件。由于恶意软件和验证工具同时运行，用户被欺骗认为该工具运行正常，如下所示。

图3.7zSFX文件中的恶意软件

与名称不同，“W10DigitalActivation_Temp.msi”是一个带有exe扩展名的下载器，可以下载其他恶意软件。运行时，它会连接到其内部的C&C服务器，交换加密字符串。之后，它对字符串进行解密，最终获得额外有效载荷的下载网址。

图4.下载器恶意软件的C&C网址

下载程序将恶意软件安装到Windows的启动程序文件夹中并自行删除。通常，第一个安装的文件是同类型的下载器，以这种方式运行的下载程序最终会将BitRAT作为“Software_Reporter_Tool.exe”安装到路径%TEMP%中。

图5.下载下载器和BitRAT

值得注意的是，此下载器配备了附加功能，无论如何都不是一个简单的程序。如下图所示，它的功能之一是使用powershell命令添加Windows启动程序文件夹——下载器将安装在该文件夹中——作为WindowsDefender的排除路径，并将BitRAT进程名称“Software_Reporter_Tool.exe”添加为WindowsDefender的排除进程。

图6.添加为WindowsDefender的排除路径

看看这个恶意软件如何使用被认为是韩国最常用的文件共享平台的webhard，并在其代码中包含韩语字符，如下图所示，攻击者似乎是一个说韩语的人。

图7.含有韩文字符的代码

最终安装的恶意软件是名为BitRAT的RAT（远程访问木马）恶意软件。自2020年以来，BitRAT一直通过黑客论坛出售，并不断被攻击者使用。

图8.BitRAT介绍图像

因为BitRAT是一种RAT恶意软件，所以它的攻击者可以控制被它感染的系统。BitRAT不仅提供了运行进程任务、服务任务、文件任务、远程命令等基本控制功能，还提供了各种信息窃取功能、HVNC、远程桌面、挖币、代理等额外选项。

图9.BitRAT的C&C面板

BitRAT提供的功能列表

1.网络通信方式

使用TLS1.2进行加密通信；使用Tor进行通信

2.基本控制

进程管理器；服务管理器；文件管理器；窗口管理器；软件管理器

3.信息窃取

键盘记录；剪贴板记录；网络摄像头记录；音频记录；应用程序（如网络浏览器）账户凭证盗窃

4.远程控制

远程桌面；hVNC（隐藏桌面）

5.代理服务器

SOCKS5代理：使用UPnP的端口转发功能；反向代理：SOCKS4代理

6.挖币

XMRigCoinMiner

7.其他

DDoS攻击；UAC旁路；WindowsDefender停用

BitRAT使用的是被揭露的TinyNuke的代码，就像AveMaria一样。下面是TinyNuke的hVNC（与隐藏桌面有关的例程）和BitRAT的代码对比。

图10.TinyNuke和BitRAT的hVNC程序

TinyNuke在反向SOCKS4代理和隐藏桌面功能中验证并使用名为“AVE_MARIA”的签名字符串。AveMaria采用了TinyNuke的ReverseSOCKS4Proxy功能，并根据这个字符串进行命名。另一方面，BitRAT使用了隐藏桌面功能，并且签名字符串是相同的。

TinyNuke过去曾被朝鲜APT组织Kimsuky小组使用。在众多功能中，只有隐藏桌面功能被使用。

该恶意软件正在通过文件共享网站（如韩国的网络硬盘）传播。因此，在运行从文件共享网站下载的可执行文件时要谨慎行事。建议用户从开发商的官方网站下载产品。

AhnLab的反恶意软件V3使用以下别名检测并阻止上述恶意软件

[文件检测]

–Trojan/Win.MalPacked.C5007707(2022.03.12.04)

–Dropper/Win.BitRAT.C5012624(2022.03.16.02)

–Downloader/Win.Generic.C5012582(2022.03.16.01)

–Downloader/Win.Generic.C5012594(2022.03.16.01)

–Backdoor/Win.BitRAT.C5012593(2022.03.16.01)

–Backdoor/Win.BitRAT.C5012748(2022.03.16.02)

[行为检测]

–Malware/MDP.AutoRun.M1288

[IOC]

DropperMD5

6befd2bd3005a0390153f643ba248e25

下载器恶意软件MD5

60ee7740c4b7542701180928ef6f0d53

c4740d6a8fb6e17e8d2b21822c45863b

BitRATMD5

b8c39c252aeb7c264607a053f368f6eb

e03a79366acb221fd5206ab4987406f2

ea1b987a7fdfc2996d5f314a20fd4d99

54ef1804c22f6b24a930552cd51a4ae2

下载器恶意软件的C&C服务器

–hxxp://cothdesigns[.]com:443/1480313

–hxxp://cothdesigns[.]com:443/4411259

–hxxp://jmuquwk.duckdns[.]org:443/1480313

–hxxp://nnmmdlc.duckdns[.]org:443/1480313

额外的有效载荷下载网址--下载器

–hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe

–hxxp://108.61.207[.]100:443/v/V_5248849.exe

额外的有效载荷下载网址-BitRAT

–hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe

–hxxp://108.61.207[.]100:443/result/A_1146246.exe

BitRATC&C

–z59okz.duckdns[.]org:5223

–cothdesigns[.]com:80

注：本文由E安全编译报道。