JAVA+VBS 传播 RAT--粉丝服务平台-粉丝头条-fensifuwu.com

JAVA+VBS 传播 RAT

科技 03-06 来源：嘶吼RoarTalk

Adwind 远程管理工具（RAT）是一个基于 Java 的后门木马，目标是支持 Java 文件的平台。要使感染发生，用户必须双击 .jar 文件才能执行恶意软件，而文件一般都在电子邮件附件中。一般来说，感染要在 Java 运行环境安装的情况下才能发生。一旦恶意 .jar 文件在目标系统上成功运行，恶意软件就会悄悄地安装自己，并通过预定义的端口连接到远程服务器上。这样恶意软件就可以接收来自远程攻击者的命令，并执行恶意活动。近期，McAfee 实验室研究人员就发现一个通过垃圾邮件传播的 JAR 附件的变种，并使用 Houdini VBS 蠕虫来感染用户。

感染链

恶意软件的传播机制与之前版本很像，是以垃圾邮件中的 .jar 附件的形式产生的。邮件的内容一般都是使用社会工程技术伪造的，以达到引诱用户的打开的目的。研究人员将整个感染链总结如下：

垃圾邮件长这个样子：

Parent JAR 文件

为了简单起间，研究人员将附件 .jar 文件称之为 Parent JAR 文件，并命名为 Sample.jar。Adwind 是以混淆的形式出现的，以隐藏其恶意目的。其 payload 和配置文件用 DES, RC4, RC6 来加密，具体的加密方法选择是根据变种不同而不同的。Adwind 后门会在执行过程中解密。在该变种中，研究人员查看了 Manifest.MF 中的内容，其有一个类 bogjbycqdq.Mawbkhvaype：

Mawbkhvaype.class

该类的主要任务是检查 Jar bundle 中的资源文件。这里的 mzesvhbami 资源是一个 vbs 文件。Mawbkhvaye.class 会检查资源 section 的 mzesvhbami，然后在 wscript 的帮助下在执行前释放 bymqzbfsrg.vbs 到用户目录。

Bymqzbfsrg.vbs

其中一大块混淆的 base64 编码的数据，下面是 Bymqzbfsrg.vbs 脚本的部分代码：

解混淆和解码后，base64 编码的数据会转换为 ntfsmgr.jar，并释放到 %appdata%/Roaming 中。下面是 base64 编码的数据到 JAR 文件的转化：

解码为 JAR 文件 ( ntfsmgr.jar )

Ntfsmgr.jar

ntfsmgr.jar 中比较重要的文件有 drop.box, mega.download 和 sky.drive，会用于之后创建恶意软件的配置文件。

Final Payload

Ntfsmgr.jar 有一个 main 类文件 operational.Jrat。operational.Jrat 的目的是释放另一个 .jar 文件到 %TEMP% 文件夹中，文件名为随机的，格式为 [ underscore ] [ dot ] [ random numbers ] [ dot ] 类，比如 0.1234567897654265678.class，这是最终的 payload 并在用户系统中执行恶意活动。下面是在 %TEMP% 中创建 operational.Jrat 的代码：

Manifest.MF 看似与 ntfsmgr.jar 文件很类似。最后的 Java 文件中的所有文件都会在执行过程中解密，会感染系统。Adwind 感染系统中，就可以看到键盘记录日志、修改和删除文件、下载和执行恶意软件、截图、访问系统的照相机、控制鼠标和键盘、更新自己等。下面介绍 Bymqzbfsrg.vbs 的部分：