TeleBots组织Exaramel后门深度分析教学文档

一、概述

Exaramel后门是TeleBots组织使用的新型恶意软件，与Industroyer主后门存在大量代码重叠，这一发现将Industroyer、TeleBots、NotPetya和BlackEnergy等恶意软件家族关联在一起。

二、Win32/Exaramel后门分析

2.1 初始感染与部署

Dropper特性：
- 使用Microsoft Visual Studio编译
- PE时间戳显示编译时间信息（参见图1）
部署行为：
- 将后门植入Windows系统目录
- 创建名为"wsmproav"的Windows服务
- 服务描述为"Windows Check AV"（伪装成杀毒软件服务）
- 服务注册表设置参见图2

2.2 配置机制

配置存储：
- 以XML格式写入Windows注册表
- 配置示例参见图3

配置内容：

Interval – Sleep函数使用的时间间隔
Servers – C2服务器地址列表
Check – 用于网络连接检查的网站
Proxy – 网络代理服务器设置
Storage – 窃取文件的存储路径

目标分组：
- 根据目标使用的安全措施进行分组
- 类似Industroyer工具集的分组行为

2.3 C2通信

域名伪装：
- 使用仿冒ESET的域名（esetsmart[.]org, um10eset[.]net）
- 与合法ESET基础设施无关
命令功能：
- 启动进程
- 在特定用户下启动进程
- 文件写入操作
- 文件上传（保存到存储子目录）
- 执行shell命令
- 以特定用户执行shell命令
- 使用MSScriptControl.ScriptControl执行VBS代码

2.4 与Industroyer的相似性

代码重叠：
- 命令循环和实现代码高度相似（参见图4对比）
报告机制：
- 都使用report文件保存命令执行结果
- 都重定向stdout和stderr到report文件（参见图5对比）
- Exaramel使用固定文件名report.txt
- Industroyer使用随机文件名
数据窃取：
- 文件自动压缩加密后发送到C2
- 使用预定义的存储路径

2.5 主要差异

Exaramel使用XML格式通信和配置
Industroyer使用传统二进制格式

三、密码窃取工具

3.1 CredRaptor

演变历史：
- 自2016年开始使用
- 最新版本功能增强
窃取目标：
- 浏览器保存的密码
- Outlook邮件客户端凭证
- FTP客户端凭证

支持应用列表：

BitKinex FTP, BulletProof FTP Client, Classic FTP, CoffeeCup, Core FTP,
Cryer WebSitePublisher, CuteFTP, FAR Manager, FileZilla, FlashFXP,
Frigate3, FTP Commander, FTP Explorer, FTP Navigator, Google Chrome,
Internet Explorer 7-11, Mozilla Firefox, Opera, Outlook 2010/2013/2016,
SmartFTP, SoftX FTP Client, Total Commander, TurboFTP, Windows Vault,
WinSCP, WS_FTP Client

3.2 修改版Mimikatz

用于提升权限和凭证窃取

四、Linux/Exaramel后门分析

4.1 基本特性

使用GO语言编写
编译为64位ELF二进制文件
可任意命名和部署位置

4.2 持久化机制

执行参数：
- 使用"none"作为参数时尝试持久化

持久化方法：

非root账户：使用crontab

root账户：根据init系统选择不同方法

strings /sbin/init | awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit; }'

硬编码持久化位置：
- 根据检测到的init系统选择对应位置

4.3 配置机制

配置文件：
- config.json（与后门同目录）
- 不存在时自动创建
加密方式：
- RC4算法
- 密钥："s0m3t3rr0r"

配置内容（参见图6）：

{
  "HOSTs": ["C2服务器列表"],
  "Proxy": "代理设置",
  "Timeout": "超时设置",
  "Sleep": "休眠间隔"
}

4.4 C2通信与命令

通信方式：
- HTTPS协议
- 连接硬编码C2或配置中的HOSTs

支持命令：

App.Update - 自我更新
App.Delete - 自我删除
App.SetProxy - 设置代理
App.SetServer - 更新C2
App.SetTimeout - 设置超时
IO.WriteFile - 下载文件
IO.ReadFile - 上传文件
OS.ShellExecute - 执行shell命令

五、关联分析与结论

恶意软件家族关联：

Exaramel ↔ Industroyer ↔ TeleBots ↔ NotPetya ↔ BlackEnergy

组织活动特点：
- 持续更新工具集
- 跨平台能力（Windows/Linux）
- 针对关键基础设施
防御建议：
- 监控异常服务创建（特别是伪装成安全服务的）
- 检查注册表中的异常XML配置
- 注意仿冒安全厂商的域名
- 加强凭证管理（特别是FTP/邮件/浏览器）
- Linux系统检查异常GO语言编译的ELF文件
- 监控crontab和init系统异常修改

TeleBots组织Exaramel后门深度分析教学文档一、概述 Exaramel后门是TeleBots组织使用的新型恶意软件，与Industroyer主后门存在大量代码重叠，这一发现将Industroyer、TeleBots、NotPetya和BlackEnergy等恶意软件家族关联在一起。二、Win32/Exaramel后门分析 2.1 初始感染与部署 Dropper特性：使用Microsoft Visual Studio编译 PE时间戳显示编译时间信息（参见图1）部署行为：将后门植入Windows系统目录创建名为"wsmproav"的Windows服务服务描述为"Windows Check AV"（伪装成杀毒软件服务）服务注册表设置参见图2 2.2 配置机制配置存储：以XML格式写入Windows注册表配置示例参见图3 配置内容：目标分组：根据目标使用的安全措施进行分组类似Industroyer工具集的分组行为 2.3 C2通信域名伪装：使用仿冒ESET的域名（esetsmart[ .]org, um10eset[ . ]net）与合法ESET基础设施无关命令功能：启动进程在特定用户下启动进程文件写入操作文件上传（保存到存储子目录）执行shell命令以特定用户执行shell命令使用MSScriptControl.ScriptControl执行VBS代码 2.4 与Industroyer的相似性代码重叠：命令循环和实现代码高度相似（参见图4对比）报告机制：都使用report文件保存命令执行结果都重定向stdout和stderr到report文件（参见图5对比） Exaramel使用固定文件名report.txt Industroyer使用随机文件名数据窃取：文件自动压缩加密后发送到C2 使用预定义的存储路径 2.5 主要差异 Exaramel使用XML格式通信和配置 Industroyer使用传统二进制格式三、密码窃取工具 3.1 CredRaptor 演变历史：自2016年开始使用最新版本功能增强窃取目标：浏览器保存的密码 Outlook邮件客户端凭证 FTP客户端凭证支持应用列表： 3.2 修改版Mimikatz 用于提升权限和凭证窃取四、Linux/Exaramel后门分析 4.1 基本特性使用GO语言编写编译为64位ELF二进制文件可任意命名和部署位置 4.2 持久化机制执行参数：使用"none"作为参数时尝试持久化持久化方法：非root账户：使用crontab root账户：根据init系统选择不同方法硬编码持久化位置：根据检测到的init系统选择对应位置 4.3 配置机制配置文件： config.json（与后门同目录）不存在时自动创建加密方式： RC4算法密钥："s0m3t3rr0r" 配置内容（参见图6）： 4.4 C2通信与命令通信方式： HTTPS协议连接硬编码C2或配置中的HOSTs 支持命令：五、关联分析与结论恶意软件家族关联：组织活动特点：持续更新工具集跨平台能力（Windows/Linux）针对关键基础设施防御建议：监控异常服务创建（特别是伪装成安全服务的）检查注册表中的异常XML配置注意仿冒安全厂商的域名加强凭证管理（特别是FTP/邮件/浏览器） Linux系统检查异常GO语言编译的ELF文件监控crontab和init系统异常修改