121期报告汇总
安天发布《“刑天”RAT 木马样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时注意到 一款新出现的 RAT 后门木马。该木马为 国产软件“刑天”,对外有免费测试版和 付费版,可用于网站测试和非法活动。远 控启动后,会先进行安装。在注册表中注 册设置好名字的服务,释放 dll 并将自身 更新到封装 dll 的资源节中,之后启动服务。 服务启动后,将加密的 C2 服务器地址解 密然后进行连接,同时开启线程进行内网 IPC$ 攻击,循环运行等待 C2 服务器发送 指令进行 DDoS 攻击。释放的 dll 启动后, 检测同名互斥量是否存在,如果不存在,则从资源节中释放出原文件并执行。
样本会将自身复制到 C 盘 Windows 目录下,重命名为六位随机字符的 EXE 可执行文件。然后删除自身文件并调用 ShellExcuteExA 执 行 复 制 后 的 文 件。 将 文件自身更新到资源节中并释放资源节 到 %system32% 目录下,资源节为 dll,更 新完成后程序将成为 dll 的资源节。接下 来创建线程使用穷举 IP 的方式对内网进行 IPC$ 攻击,爆破的密码字典为硬编码。横 向渗透完成后,解密 C2 地址并连接,回 传系统信息,如 CPU 频率、内存大小、 网卡速率、语言类型、系统版本等,而且会等待 C2 服务器指示,进行相应 DDoS 攻击、命令执行、删除服务等操作。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类木马样本的检出。
