Анализ AveMaria/WARZONE RAT

Объект

Для реверс инжиниринга был предоставлен файл со следующим содержанием:

  1. rfq #20201005-1.exe

SHA256: 622C48A052FBBC1859678EC8A5F604FF9A1A368DF282758E60B766C96C2555FB

Общее описание

13 октября 2020 года KZ-CERTсообщили об атаке казахстанцев вредоносным ПО AveMaria. AveMaria - это троян, который используется злоумышленниками для удаленного доступа к компьютеру пользователя и получения важных данных. AveMaria может содержать вредоносную нагрузку, в зависимости от модификации.

В статьеWarzone: Behind the enemy lines приводится код, который мы обнаружили в исследуемом образце. В другой статьеUnmasking AVE_MARIA автором были выявлены факты, указывающие на то что AveMaria и WARZONE RAT являются одним и тем же вредоносным ПО.

Исследуемый образец, именуется антивирусами как AveMaria

и содержит строку “warzone160”

Все эти факты позволяют сделать нам вывод, что AveMaria и WARZONE RAT относятся к одному и тому же вредоносному ПО.

Warzone RAT распространяется через сайтhxxps://warzone.pw в виде 1 или 3 месячной подписки на сервис. Сайт содержит информацию о функционале и цену.


Часто злоумышленники распространяют вредоносное ПО под видом легитимного ПО для удаленного администрирования


Среди перечисленных на сайте функций:

  1. Подключение к удаленному рабочему столу
  2. ${{article_4.text18}}
  3. ${{article_4.text19}}
  4. Просмотр изображения с веб камеры
  5. Восстановление паролей браузеров и email клиентов
  6. Скачивание и загрузка файлов
  7. Кейлоггер
  8. Удаленное выполнение команд
  9. Просмотр и завершение процессов
  10. Прокси сервер
  11. Можно запланировать вредоносные задачи
  12. Обновление WARZONE RAT
  13. Закрепление в системе
  14. ${{article_4.text30}}

Для покупателей существует видео инструкция по использованию

hxxps://www.youtube.com/watch?v=_0i741TkWmw&feature=emb_title

Несмотря на то, что данная угроза была впервые обнаружена более чем год назад, бинарная перепаковка известных образцов этой угрозы обходит статическое антивирусное сканирование. В данном примере один из образцов AveMaria (перепакованный) не детектируется антивирусами на Virustotal

Однако, глубокий поведенчиский анализ в системе tLab обнаруживает данный образец тоже как вредоносный.

Система tLab успешно идентифицировала оригинальный образец AveMaria как вредоносное ПО, присвоив высокий уровень угрозы по результатам статического и динамического анализов.

Оценка угрозы в системе tLab

rfq #20201005-1.exe

Данный объект представляет собой EXE файл со следующими характеристиками

 

Индикаторы угрозы (IOC)

Тип угрозы

Троян с вредоносной нагрузкой

${{article_4.text40}}

Соединение с C&C сервером
Кейлоггер
Повышение привилегий
Просмотр и завершение процессов
Просмотр и завершение процессов
Обход антивируса
RDP подключение
Прокси сервер

Закрепление в ОС

Копирование себя в папку APPDATA
${{article_4.text51}}

${{article_4.text52}}

${{article_4.text53}}

Вредоносное ПО часто копирует себя или полезную нагрузку в папку APPDATA, так как она доступна для записи многим программам

В системе tLab можно открыть Цепочку событий, в которой видно дерево процессов. В Цепочке событий видно извлечение файла images.exe. Также мы видим, что images.exe соединяется с C&C сервером, запускает powershell и обращается к чувствительному файлу.

tForensics фиксирует вредоносный процесс на зараженной системе

Созданный процесс images.exe

AveMaria/WARZONE RAT является трояном, который получает команды с C&C сервера.

В tLab можно выгрузить соответствующий pcap файл:

pcap файл можно открыть в программе Wireshark для дальнейшего анализа.

Соединения с сервером в Wireshark

Общая информация о вредоносном ПО в системе tLab

tLab определил вредоносный функционал

AveMaria/WARZONE RAT в начале работы добавляется в автозагрузку. Используется стандартный способ добавления записи в ветку реестра HKCU\\Software\\Microsoft\\WIndows\\CurrentVersion\\Run. В начале, строка с соответствующей веткой реестра передается в функцию sub_100035E5(), для конвертации в Unicode формат.

Далее выполняется функция sub_1001106C, где в реестр вносятся изменения функцией RegCreateKeyExW

В системе tLab, в Детальном отчете можно увидеть добавление в автозагрузку

На зараженном компьютере, с помощью tForensics можно увидеть новую запись в автозапуске

Вредоносный images.exe в автозапуске

AveMaria/WARZONE RAT изменяет настройки безопасности Internet Explorer 5.0 и выше, устанавливая ключам значения MaxConnectionsPer1_0Server и MaxConnectionsPerServer - 10. Эти ключи отвечают за максимальное количество соединений с веб сервером. Изменение настроек происходит функциями RegCreateKeyExA, RegSetValueExA.

Часто используемая функция в коде - это проверка, имеет ли пользователь повышенные права. Происходит получение HANDLE текущего процесса и получение токена функцией OpenProcessToken. Далее проверяется, имеет ли пользователь повышенные права, функцией GetTokenInformation с параметром TokenElevation

Получение текущей версии ОС функцией RtlGetVersion, полученной динамически.

Часто вредоносное ПО импортирует вызываемые функции динамически, используя LoadLibrary и GetProcAddress. Тем самым избегая указания имен функций в таблице импорта.

В зависимости от версии Windows, выполняется соответствующий код по обходу UAC

Если у пользователя установлена Windows 10,то выполняется функция sub_10011AB9 по обходу UAC

В ней, вредоносное ПО запускается с повышенными правами программой sdclt.exe.

Если версия Windows ниже 10, то выполняется функция

В ней, повышение прав происходит с помощью PE файла с нагрузкой, находящегося в ресурсах файла


Всегда проверяйте включен ли UAC (Контроль Учетных Записей) у вас в системе.


Одним из основных функционалов вредоносного ПО является воровство данных браузеров и почтовых клиентов. Ниже представлен код получения данных почтового клиента Microsoft Outlook из реестра.

Для кражи паролей в браузере Firefox, AveMaria/WARZONE RAT использует библиотеку nss3.dll и ее экспортируемые функции

Существуют другие разновидности AveMaria, которые скачивают библиотеку NSS с GithHub репозитория, вместо использования той, что на компьютере пользователя


Для получения сохраненных паролей в браузере Internet Explorer 10, используются экспортируемые функции в библиотеке vaultcli.dll. Данная библиотека отвечает за работу Диспетчера учетных данных

Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).

Функция VaultGetItem возвращает структуру данных с паролем.

Чтение файлов IE в системе tLab

Получение данных email клиента Thunderbird. Для начала производится поиск папки Thunderbird с профилями

Далее идет поиск файла logins.json, в котором хранятся логины и пароли пользователя

logins.json содержит поля hostname, encryptedUsername, encryptedPassword c конфиденциальными данными.

Avemaria/WARZONE RAT способен получаться пары логин/пароль со огромного количества браузеров, построенных на схожем движке.

Конфиденциальные данные этих браузеров можно получить запросом к их SQLite базе данных

Получение функций sqlite для работы с базами данных

Расшифровка браузерных паролей функцией CryptUnprotectData. Расшифровка таким способом возможно только на том же компьютере, на котором пароли были сохранены.

AveMaria/WARZONE RAT обладает функционалом кейлоггера. В бесконечном цикле выполняются функции CallNextHookEx и GetAsyncKeyState

Пользовательские нажатия и ввод сохраняются в папку с именем Microsoft Vision, с указанием даты

Создание скрытых пользователей в системе с именами rudp и rpdp, с помощью добавления значений в ветку реестра Winlogon\\SpecialAccounts\\UserList. Значение Data=0 в качестве параметра функции RegSetValueExW сообщает о создании скрытого пользователя. Скрытые пользователи используются для RDP подключений.

Добавление пути к диску C в исключения Windows Defender, с помощью powershell. Так как AveMaria/WARZONE RAT копирует себя в папку APPDATA, это помогает вредоносному файлу избежать детектирования.

Процесс powershell в системе tLab

В tLab можно выгрузить и посмотреть список системных вызовов, где можно также увидеть команду powershell:

AveMaria/WARZONE RAT внедряется в процесс explorer.exe. В начале идет поиск PID процесса, путем проверки имени процесса каждого процесса, полученного функцией CreateToolhelp32Snapshot и сравнения со строкой “explorer.exe”

Затем, процесс открывается функцией OpenProcess, в нем выделяется память функцией VirtualAlloc, буфер записывается функцией WriteProcessMemory и запускается функцией CreateRemoteThread

Для общения с C&C сервером, используется RC4 ключ “warzone160”

В коде встречается строка “XXXXXX”, которая записывается в определенный процесс. Предполагаемая цель - поместить в адресное пространство целевого процесса заранее известное значение, для нахождения его в будущем. Запись происходит последовательностью вызовов OpenProcess, VirtualAllocEx, WriteProcessMemory

AveMaria/WARZONE RAT содержит строку “SELECT Name FROM Win32_VideoController”, которая является Windows Management Instrumentation (WMI) запросом. Этим запросом вредоносное ПО определяет, запущен ли процесс в виртуальной машине.

По команде с C&C сервера, AveMaria может открыть произвольный файл функцией ShellExecuteW

Функционал файлового менеджера позволяет просматривать доступные файлы и папки функциями FindFirstFileW и FindNextFileW

Запись изображения с веб камеры с помощью Microsoft DirectShow

Функционал самоуничтожения. Вредоносный файл удаляет сам себя командой “Del /f /q”.

Функционал записи в файл. Устанавливается указатель внутри файла функцией SetFilePointer и происходит запись функцией WriteFIle

AveMaria/WARZONE RAT по команде с сервера скачивает файл функцией UrlDownloadToFileW.

При попытки скачивания с популярного в Казахстане файлообменика Яндекс диск, система tLab успешно обнаружила AveMaria в трафике и заблокировала.

Заключение

AveMaria/WARZONE RAT имеет большое количество функций. Существует множество разновидностей вредоносного ПО AveMaria/WARZONE RAT. Функционал скачивания и запуск файлов позволяет использовать разную вредоносную нагрузку. Продвинутые техники обхода UAC делают это вредоносное ПО опасным.