Vermin RAThole深度分析
字数 2475 2025-08-18 11:35:44

Vermin RAThole恶意软件家族深度分析教学文档

1. 概述

Vermin RAThole是一组针对乌克兰政府机构的恶意软件家族,包括Quasar RAT、Sobaken和Vermin。这些恶意软件主要用于窃取数据和远程控制受害者系统。

2. 攻击活动时间线

  • 最早活动:可追溯到2015年10月,实际可能更早
  • 主要活跃期:2017年中持续到2018年
  • 不同家族使用时间
    • Quasar RAT:2015年10月-2016年4月;2017年2月;2017年7-9月
    • Sobaken:Quasar的变种,使用时间重叠
    • Vermin:2016年中开始使用,2018年1月首次公开报告

3. 受害者分布

主要针对乌克兰政府机构,已发现上百个受害者分布于不同组织机构。

4. 传播方法

4.1 主要传播渠道

  • 电子邮件附件:使用社会工程学技术
  • 文件名特征:使用乌克兰语,与受害者职业相关
    • 示例:"ІНСТРУКЦІЯ з організації забезпечення військовослужбовців Збройних Сил України та членів їїхсімей"(关于乌克兰军队军事人员安全问题的指示)

4.2 特殊传播技术

方法1:Unicode从右到左编码混淆

  • 混淆真实文件扩展名
  • 使用合法软件图标(Word、Excel、PowerPoint或Acrobat Reader)
  • 示例:文件看似.DOCX扩展名

方法2:伪装RAR自解压文件

  • 附件名为.rar,内含.exe文件
  • 使用RAR SFX图标
  • 示例:"Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.rar"内含"Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.exe"

方法3:Word文档+CVE-2017-0199漏洞利用

  • 利用时间:2017年5月开始
  • 漏洞详情:Word进程请求远程HTA文件,由mshta.exe执行
  • 利用服务器:hxxp://chip-tuning.lg[.]ua/
  • 微软已于2017年4月发布补丁

5. 安装与驻留机制

5.1 文件释放位置

  • %APPDATA%下的子文件夹,伪装成合法公司:
    • Adobe
    • Intel
    • Microsoft
  • 示例路径:
    • C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C99712043E01C}\TransactionBroker32.exe
    • C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C99712043E01C}\AdobeSLService.exe

5.2 持久化方法

  • 创建定时任务,每10分钟运行payload
  • 滥用Windows控制面板快捷方式隐藏文件夹(使用CLSID {ED7BA470-8E54-465E-825C99712043E01C})

6. 目标识别与反分析技术

方法1:键盘布局检查

  • 检查是否有俄语或乌克兰语键盘布局
  • 若无则终止执行

方法2:IP地址检查

  • 通过ipinfo.io/json获取IP
  • 检查IP是否属于:
    • 乌克兰或俄罗斯
    • 反恶意软件服务商
    • 云服务商
  • 不符合则中止

方法3:模拟网络环境检查

  • 生成随机网站名/URL
  • 测试连接以识别自动化分析系统(如Fakenet-NG)

方法4:特定用户名检查

  • 拒绝自动化分析系统常用用户名账户

7. 隐写术技术(2017年中使用)

7.1 技术流程

  1. 从硬编码URL下载JPEG文件(使用saveshot.net和ibb.co)
  2. 暴力破解8位密码哈希(耗时约10分钟,对抗自动化分析)
  3. 使用JSteg类算法从JPEG提取隐藏数据
  4. 使用GZip解压缩
  5. 用AES解密(密码来自步骤2)
  6. Base64解码
  7. 写入EXE文件并执行

7.2 后续变化

后期放弃隐写术,直接使用hxxp://chip-tuning.lg[.]ua提供未加密恶意软件

8. 恶意软件家族分析

8.1 Quasar RAT

  • 开源远程访问工具
  • 多个攻击活动中使用不同版本
  • 包括xRAT 2.0 RELEASE3版本

8.2 Sobaken

  • Quasar RAT的修改版
  • 程序结构类似但更精简
  • 移除部分功能减小体积
  • 添加反沙箱等检测规避功能

8.3 Vermin

  • 定制后门,仅该攻击者使用
  • .NET编写
  • 使用代码保护工具:
    • .NET Reactor(商业)
    • ConfuserEx(开源)

Vermin功能

核心功能命令

  • StartCaptureScreen/StopCaptureScreen
  • ReadDirectory
  • UploadFile/DownloadFile/CancelUploadFile/CancelDownloadFile
  • GetMonitors
  • DeleteFiles
  • ShellExec
  • GetProcesses/KillProcess/CheckIfProcessIsRunning
  • RunKeyLogger
  • CreateFolder/RenameFolder/DeleteFolder
  • UpdateBot
  • RenameFile
  • ArchiveAndSplit
  • StartAudioCapture/StopAudioCapture
  • SetMicVolume

可选组件

  • 音频记录器
  • 键盘记录器
  • 密码窃取器
  • USB文件窃取器

9. 结论与特点

  1. 攻击者特点

    • 无高级技能或0day漏洞
    • 依赖社会工程学
    • 长期未被检测
    • 可能由多个独立开发团队组成

  2. 技术演进

    • 从开源工具到定制开发
    • 测试多种感染机制(传统社会工程到隐写术)
    • 持续开发新版本

  3. 成功因素

    • 简单有效的传播方法(邮件附件)
    • 突出显示人为因素在网络安全中的重要性
Vermin RAThole恶意软件家族深度分析教学文档 1. 概述 Vermin RAThole是一组针对乌克兰政府机构的恶意软件家族,包括Quasar RAT、Sobaken和Vermin。这些恶意软件主要用于窃取数据和远程控制受害者系统。 2. 攻击活动时间线 最早活动 :可追溯到2015年10月,实际可能更早 主要活跃期 :2017年中持续到2018年 不同家族使用时间 : Quasar RAT:2015年10月-2016年4月;2017年2月;2017年7-9月 Sobaken:Quasar的变种,使用时间重叠 Vermin:2016年中开始使用,2018年1月首次公开报告 3. 受害者分布 主要针对乌克兰政府机构,已发现上百个受害者分布于不同组织机构。 4. 传播方法 4.1 主要传播渠道 电子邮件附件 :使用社会工程学技术 文件名特征 :使用乌克兰语,与受害者职业相关 示例:"ІНСТРУКЦІЯ з організації забезпечення військовослужбовців Збройних Сил України та членів їїхсімей"(关于乌克兰军队军事人员安全问题的指示) 4.2 特殊传播技术 方法1:Unicode从右到左编码混淆 混淆真实文件扩展名 使用合法软件图标(Word、Excel、PowerPoint或Acrobat Reader) 示例:文件看似.DOCX扩展名 方法2:伪装RAR自解压文件 附件名为.rar,内含.exe文件 使用RAR SFX图标 示例:"Наказ_ МОУ_ Додатки_ до_ Iнструкцii_ 440_ ост.rar"内含"Наказ_ МОУ_ Додатки_ до_ Iнструкцii_ 440_ ост.exe" 方法3:Word文档+CVE-2017-0199漏洞利用 利用时间:2017年5月开始 漏洞详情:Word进程请求远程HTA文件,由mshta.exe执行 利用服务器:hxxp://chip-tuning.lg[ . ]ua/ 微软已于2017年4月发布补丁 5. 安装与驻留机制 5.1 文件释放位置 %APPDATA%下的子文件夹,伪装成合法公司: Adobe Intel Microsoft 示例路径: C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C99712043E01C}\TransactionBroker32.exe C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C99712043E01C}\AdobeSLService.exe 5.2 持久化方法 创建定时任务,每10分钟运行payload 滥用Windows控制面板快捷方式隐藏文件夹(使用CLSID {ED7BA470-8E54-465E-825C99712043E01C}) 6. 目标识别与反分析技术 方法1:键盘布局检查 检查是否有俄语或乌克兰语键盘布局 若无则终止执行 方法2:IP地址检查 通过ipinfo.io/json获取IP 检查IP是否属于: 乌克兰或俄罗斯 反恶意软件服务商 云服务商 不符合则中止 方法3:模拟网络环境检查 生成随机网站名/URL 测试连接以识别自动化分析系统(如Fakenet-NG) 方法4:特定用户名检查 拒绝自动化分析系统常用用户名账户 7. 隐写术技术(2017年中使用) 7.1 技术流程 从硬编码URL下载JPEG文件(使用saveshot.net和ibb.co) 暴力破解8位密码哈希(耗时约10分钟,对抗自动化分析) 使用JSteg类算法从JPEG提取隐藏数据 使用GZip解压缩 用AES解密(密码来自步骤2) Base64解码 写入EXE文件并执行 7.2 后续变化 后期放弃隐写术,直接使用hxxp://chip-tuning.lg[ . ]ua提供未加密恶意软件 8. 恶意软件家族分析 8.1 Quasar RAT 开源远程访问工具 多个攻击活动中使用不同版本 包括xRAT 2.0 RELEASE3版本 8.2 Sobaken Quasar RAT的修改版 程序结构类似但更精简 移除部分功能减小体积 添加反沙箱等检测规避功能 8.3 Vermin 定制后门,仅该攻击者使用 .NET编写 使用代码保护工具: .NET Reactor(商业) ConfuserEx(开源) Vermin功能 核心功能命令 : StartCaptureScreen/StopCaptureScreen ReadDirectory UploadFile/DownloadFile/CancelUploadFile/CancelDownloadFile GetMonitors DeleteFiles ShellExec GetProcesses/KillProcess/CheckIfProcessIsRunning RunKeyLogger CreateFolder/RenameFolder/DeleteFolder UpdateBot RenameFile ArchiveAndSplit StartAudioCapture/StopAudioCapture SetMicVolume 可选组件 : 音频记录器 键盘记录器 密码窃取器 USB文件窃取器 9. 结论与特点 攻击者特点 : 无高级技能或0day漏洞 依赖社会工程学 长期未被检测 可能由多个独立开发团队组成 技术演进 : 从开源工具到定制开发 测试多种感染机制(传统社会工程到隐写术) 持续开发新版本 成功因素 : 简单有效的传播方法(邮件附件) 突出显示人为因素在网络安全中的重要性