APT28 Lojax rootkit新变种

Cybaze ZLab -Yoroi团队发现了臭名昭着的APT28 Lojax(又名Double-Agent)的新变种。它是rootkit Double-Agent的最新版本,之前由ESET研究人员进行过分析

Lojax样本的行为与之前的版本类似,并利用合法的“Absolute Lojack”软件授予其在受感染系统上的持久性。Lojack是由Absolute Software Corporation开发的防盗和本地化软件,它预装在几台联想,惠普,戴尔,富士通,松下,东芝和华硕机器的BIOS映像中。过去,这个软件被称为“Computrace”。尽管它的合法用途,Absolute Lojack软件就像一个rootkit(更确切地说是一个bootkit):它的BIOS组件强制将一个名为“rpcnetp.exe”的代理写入系统文件夹。代理定期联系Absolute服务器并向其发送当前机器的位置。Lojack软件的控制流程如下图所示:

进行的分析将样本与臭名昭着的俄罗斯组织APT28(也称为“Fancy Bear”或“Sofacy”)联系起来。事实上,样本触发了Arbor Networks定义的Lojax YARA规则,允许将其归类为Double-Agent。 

APT28集团已将“rpcnetp.exe”代理木马化,将其作为合法软件的虚假更新进行传播。但是,传播矢量尚不清楚。

技术分析

Hash Sha256: 6d626c7f661b8cc477569e8e89bfe578770fca332beefea1ee49c20def97226e
Names rpcnetp.exe
Digital Signature
First Submission 2018-11-05
Notes Lojack Double-Agent
File size: 17 KB

当它启动时,恶意软件将自身复制到一个新的DLL中:除了一些标头标志之外,最终文件与初始文件相同。在此之后,Lojax会搜索属于应该已安装到计算机中的合法软件的某些组件,并尝试通过RPC通道建立连接。如果找不到Absolute Lojack组件,则恶意软件会自行终止。

Hash Sha256: aa5b25c969234e5c9a8e3aa7aefb9444f2cc95247b5b52ef83bf4a68032980ae
Names rpcnetp.dll
Digital Signature
First Submission 2018-11-05
Notes Double-Agent
File size: 17 KB

通过对样本的静态分析,我们发现了一个新的C2地址。使用XOR加密和单字节密钥0xB5加密的地址隐藏在“.cdata”部分中。 

解密后的地址,结果为“ regvirt.com ”,如下图所示:

域名“regvirt.com”

该域名已于2017年10月10日由“Tibor Kovacs”(tiborkovacsr@protonmail.com)注册,由“Shinjiru Technology Sdn Bhd”提供商处理。邮箱的用户名部分包含在注册人名称中找到的相同名称和姓氏,并添加了终端“r”tiborkovacs 如果这封信可能是一个可用于将调查重点放在假设的注册人。 

注册人姓名:Tibor Kovacs 
注册人组织:
注册人街:Vezer u 43   
注册人所在城市:布达佩斯
注册人州/省:布达佩斯
注册人邮政编码:1141 
注册人所在国家:HU 
注册人电话:+36.361578632154 
注册人电话分机:
注册人传真:
注册人传真分机:
注册人电子邮件:tiborkovacsr@protonmail.com

该域托管不活动的非活动子域,例如指向localhost地址127.0.0.1的mail.regvirt.com。此外,它在11月10日16日的11月7日期间解决了不同的IP地址209.99.40.226,这个地址与Confluence网络ISP有关:ip已经被滥用限制时间列入黑名单。在2017-09- 2017年12月18日和2017年10月19日,由abuseipdb报告为恶意攻击。通过勒索软件跟踪平台报告了与网络犯罪威胁参与者相关的其他恶意活动,其中ip与几个Locky勒索软件分发域相关联早在2016年,所有可能报告的滥用IP地址的行为显然与regvirt.com的解决时间段不符。

相反,46.21.147.71的IP地址自2017年首次注册“regvirt.com”域以来已得到解决。此网络目的地已被报告为已更改的CompuTrace / Lojack软件的命令和控制服务器,是APT28的一部分兵工厂。英国国家网络安全中心于2018年10月发布的报告指出,从长远来看,这种植入物已用于修改系统内存并保持对受感染主机的持久性。

C2:

  • regvirt[.com
  • mail.regvirt[.com
  • www.regvirt[.com
  • hxxp:// www.regvirt[.com

YARA Rule

rule rpcnetp {

meta:
   description = "Yara Rule for Lojack Double-Agent"
   author = "Cybaze-Yoroi"
   last_updated = "2018-11-13"
   tlp = "white"
   category = "informational"

strings:
$a1 = {50 61 74 68 73 5C 69 65 78 70 6C 6F 72 65 2E 65 78 65}
$a2 = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}
$b1 = "rpcnetp exe"
$b2 = {00 48 1A B5 E5 9B A0 26 F2 C7 D0 D2 C3 DC C7 C1 9B D6 DA D8 B5 B5 B5 B5 B5 B5 B5 B5 B5 0A 02 07 10 06 06 00}

condition:
         1 of ($b*) and $a1 and $a2
}

发表评论

电子邮件地址不会被公开。 必填项已用*标注