当前位置: 主页 > www.276666.com > 正文

JAVA+VBS 传播 RAT

发布日期: 2019-03-07   浏览次数:

解混杂和解码后,base64 编码的数据会转换为 ntfsmgr.jar,并开释到 %appdata%/Roaming 中。下面是 base64 编码的数据到 JAR 文件的转化:

恶意软件的传播机制与之前版本很像,是以垃圾邮件中的 .jar 附件的形式产生的。邮件的内容个别都是利用社会工程技能假造的,以达到引诱用户的打开的目的。研究人员将全体感染链总结如下:

Adwind 远程管理工具(RAT)是一个基于 Java 的后门木马,目的是支持 Java 文件的平台。要使感染发生,用户必须双击 .jar 文件才能执行恶意软件,而文件一般都在电子邮件附件中。畸形来说,感染要在 Java 运行环境装置的情况下才华发生。一旦恶意 .jar 文件在目标系统上成功运行,恶意软件就会悄悄地安装自己,并通过预约义的端口连接到远程服务器上。这样恶意软件就可能接收来自远程攻打者的命令,并执行恶意活动。近期,McAfee 实验室研究人员就发现一个通过垃圾邮件传播的 JAR 附件的变种,并应用 Houdini VBS 蠕虫来感染用户。

Final Payload

ntfsmgr.jar 中比较重要的文件有 drop.box, mega.download 跟 sky.drive,会用于之后创建歹意软件的配置文件。

Parent JAR 文件

垃圾邮件长这个样子:

为了简单起间,研讨职员将附件 .jar 文件称之为 Parent JAR 文件,并命名为 Sample.jar。Adwind 是以混淆的情势浮现的,以隐藏其恶意目标。其 payload 跟配置文件用 DES, RC4, RC6 来加密,具体的加密方法决定是根据变种不同而不同的。Adwind 后门会在履行过程中解密。在该变种中,研究人员查看了 Manifest.MF 中的内容,其有一个类 bogjbycqdq.Mawbkhvaype:

解码为 JAR 文件 ( ntfsmgr.jar )

沾染链

Bymqzbfsrg.vbs

其中一大块混淆的 base64 编码的数据,下面是 Bymqzbfsrg.vbs 脚本的部分代码:

Mawbkhvaype.class

该类的主要任务是检讨 Jar bundle 中的资源文件。这里的 mzesvhbami 资源是一个 vbs 文件。Mawbkhvaye.class 会检查资源 section 的 mzesvhbami,而后在 wscript 的帮助下在实行前释放 bymqzbfsrg.vbs 到用户目录。

Ntfsmgr.jar