Fans des koreanischen Fernsehens sollten sich vor einer laufenden Malware-Kampagne in Acht nehmen. Fiese Malware verbreitet sich gerade über Torrent-Sites. Als Köder dienen Filme und Fernsehsendungen. Die Malware schließt kompromittierte Computer einem Botnet an, sodass Angreifer diese aus der Ferne nach ihrem Belieben steuern können.
Bei der Malware handelt es sich um eine modifizierte Version der bereits öffentlich bekannten GoBot2-Backdoor. Die Bearbeitungen am Quellcode umfassen hauptsächlich auf Südkorea ausgerichtete Verschleierungstechniken, auf die im weiteren Verlauf eingegangen wird. Da sich die Malware-Kampagne eindeutig auf Südkorea konzentriert, nannten wir diese „Win64/GoBot2“-Variante GoBotKR.
ESET-Telemetrie-Daten lassen vermuten, dass GoBotKR seit etwa März 2018 aktiv ist. Mittlerweile gibt es einige hundert Entdeckungen: 80% stammen aus Südkorea, 10% aus China und 5% aus Taiwan.
Verteilung von GoBotKR
Die hinter der Malware-Kampagne stehenden Angreifer versuchen ahnungslose User zur Ausführung der Schadsoftware zu verleiten. Torrent-Inhalte werden beispielsweise mit irreführenden Namen, Dateierweiterungen und Icons versehen. Unsere Analysen zeigen, dass Torrents, die vorgaben, Filme oder Fernsehserien zu beinhalten, häufig die folgenden Dateitypen aufwiesen:
- erwartete MP4-Videodatei, aber auch
- schädliche .EXE als PMA Archive-File getarnt, beinhaltet einen Dateinamen, der verschiedene Codec-Installer imitiert
- boshafte LNK-Datei mit Dateinamen und Symbol, die erwarteter MP4-Videodatei entspricht
Abbildung 1 zeigt Beispiele für Torrent-Inhalte der böswilligen Malware-Kampagne.
Torrent-Inhalte (.mp4-Datei wird im zweiten Screenshot nicht gezeigt); Malware wird durch trügerische LNK-Datei gestartet.
Wie genau werden Benutzer kompromittiert?
Ein direktes öffnen der .mp4-Datei führt zu keiner Kompromittierung. Da die erwartete Datei aber oft versteckt in einem Unterordner liegt, klicken einige User zuerst auf die prominenter platzierte, schädliche LNK-Datei. Zudem wird die eigentliche LNK-Dateiendung unter Windows standardmäßig nicht angezeigt, wie in Abb. 1 zu sehen ist.
Ein Klick auf die LNK-Datei führt die Malware aus. Darüber hinaus startet aber auch das Video, sodass die User nicht unbedingt Verdacht schöpfen.
Das Umbenennen der bösartigen EXE-Datei in eine PMA-Datei wurde wahrscheinlich aus demselben Grund durchgeführt. Wir haben diese Technik auch dort beobachtet, wo anstelle von Filmen, Spiele als Lockmittel dienten.
Während unserer Untersuchungen stießen wir auf folgende Dateinamen für die schädliche Executable: starcodec.pma, WedCodec.pma sowie Codec.pma (bei Film/Fernsehserien) und leak.dll (bei Games). Der Name „Starcodec“ imitiert das legitime koreanische Codec-Paket Starcodec.
Die Fertigkeiten der GoBotKR-Backdoor
Die GoBotKR-Backdoor entstand auf Grundlage von GoBot2. Dessen Quellcode ist seit März 2017 öffentlich zugänglich. Beide Versionen sind in GoLang geschrieben – vereinfacht auch als Go bekannt. Zwar ist diese Programmiersprache in der Malware-Entwicklung noch relativ rar gesät. Trotzdem taucht davon immer mehr auf. Sperrig kompilierte EXE-Dateien stellen Malware-Analysten immer vor eine kleine Herausforderung.
Die Funktionen von GoBotKR sind im Großen und Ganzen identisch mit GoBot2, mit Ausnahme einiger minimaler Modifizierungen. Insgesamt erweist sich die Malware in technischer Hinsicht als nicht besonders komplex. Die meisten Features werden mit Hilfe von GoLang-Libraries realisiert sowie Windows-Befehlen (bspw. cmd, ipconfig, netsh, shutdown, start, systeminfo, taskkill, ver, whoami, und wmic) und Drittanbieter-Tools wie BitTorrent- und µTorrent-Clients.
GoBotKR sammelt Informationen
Mit GoBotKR bauen die Drahtzieher ein Botnet auf, um später verschiedene DDoS-Attacken durchzuführen (bspw. SYN Flood, UDP Flood, oder Slowloris). Die Malware sammelt nach der Ausführung einige Informationen über den kompromittierten Computer. Dazu zählen Netzwerkkonfiguration, Versionsinformationen des Betriebssystems sowie CPU- und GPU-Versionen. Insbesondere wird eine Liste der installierten Antivirensoftware erfasst.
Diese Daten werden an einen C&C-Server übermittelt, der die Angreifer dabei unterstützt, zu entscheiden, welcher kompromittierte Computer für welche Attacke eingesetzt werden kann.
Alle von uns analysierten C&C-Server wurden in Südkorea gehostet und sind durch dieselbe Person registriert worden.
GoBotKR Bot-Befehle
Besteht erst einmal eine Verbindung zum C&C-Server, versorgt dieser die kompromittierte Maschine mit Backdoor-Befehlen. GoBotKR unterstützt standardmäßige Botnet-Funktionen, die hauptsächlich drei Zwecken dienen:
- missbräuchliche Verwendung des kompromittierten Computers
- Steuerung und Ausbau des Botnets
- Aufrechterhalten der Tarnung und Verstecken vor dem User des übernommenen Computers
Das sind die unterstützten Befehle der Backdoor:
- DDoS-Angriff auf ein bestimmtes Ziel durchführen
- Auf eine URL zugreifen
- Ausführen einer Datei, eines Befehls, eines Skripts
- Aktualisieren, beenden oder deinstallieren der Backdoor
- Herunterfahren / Neustarten / Abmelden des Computers
- Homepage im IE wechseln
- Desktop-Hintergrund ändern
- Torrents seeden
- Sich selbstständig auf ein angeschlossenes Wechselmedium kopieren und zu autorun hinzufügen
- Sich selbst in geteilte Ordner kopieren (Dropbox, OneDrive, Google Drive)
- Betreiben eines Reverse Proxy Servers
- Betreiben eines http-Servers
- Ändern der Firewall-Einstellungen, Bearbeitung der Host-Datei, Öffnen von Ports
- Aktivieren/Deaktivieren des Task Managers
- Aktivieren/Deaktivieren des Windows Registry Editors
- Aktivieren/Deaktivieren der Befehlseingabe
- Prozess beenden
- Verstecken eines Prozessfensters
Insbesondere zwei Befehle haben unsere Aufmerksamkeit geweckt – Es handelt sich um das Seeden von Torrents sowie die DDoS-Angriffsmöglichkeiten.
Der Befehl für das Seeden von Torrents erlaubt den Angreifern, die kompromittierten Maschinen zum Seeden von beliebigen anderen Dateien zu missbrauchen – meist mit Hilfe von BitTorrent und µTorrent. Teilweise werden die Programme zusätzlich auf den Computern installiert. Auf diese Weise soll die Malware noch breiter gestreut werden.
Der DDoS-Attack-Befehl stiehlt dem Nutzer Bandbreite, um die Verfügbarkeit ausgesuchter Ziele (bspw. Webseiten) herabzusetzen. Unseren Analysen zu Folge ist das sogar das Hauptziel von GoBotKR.
Verschleierungstechniken von GoBotKR
Dieser Abschnitt erläutert die Tarntechniken der GoBotKR-Backdoor. Zwar waren in der zugrundeliegenden Version schon viele Verschleierungstechniken implementiert. Trotzdem erweiterten die Malware-Entwickler die hier besprochene Variante noch, um einige auf Südkorea zugeschnittene Features. Wir zeigen, dass die Angreifer die Malware auf eine bestimmte Zielgruppe abstimmten und wie sie besondere Anstrengungen unternahmen, unentdeckt zu bleiben.
Von GoBot2 adoptierte Techniken
Die folgenden von GoBotKR verwendeten Verschleierungs- und Anti-Analyse-Techniken wurden aus dem GoBot2-Quellcode übernommen:
- Die Malware installiert zwei Instanzen auf dem Computer-System. Die zweite Instanz (Watchdog) überwacht, ob Instanz eins noch aktiv ist und aktiviert diese bei Bedarf wieder.
- Eine Antivirus-Bypass-Technik reserviert große Speicherbereiche und verzögert die Ausführung schädlichen Codes, um zu verhindern, dass Antivirus-Engines den Schadcode emulieren und sperren.
- Die Malware erkennt ausgewählte Sicherheits- und Analysetools, wie z. B. Debugger. Ist das der Fall, beendet sie sich von selbst.
- Die Schadsoftware beendet sich auch dann selbst, wenn IP-Informationen auf einen Computer aus einem Unternehmen hindeuten, das auf einer schwarzen Liste steht. Dazu gehören beispielsweise Amazon, BitDefender, Cisco oder ESET. Für die IP-Abfragen werden externe Webseiten benutzt. Die Malware sucht nach fest codierten Zeichenfolgen wie „Cloud“, „Cisco“ oder „Microsoft“. API-Funktionen werden nicht bemüht.
- Die Malware terminiert sich zudem selbst, wenn der Dateiname aus 32 Hexadezimal-Zeichen besteht. Das verhindert ansonsten die Ausführung des Payloads, wie es bei einigen Sandboxen der Fall ist.
Speziell auf Südkorea zugeschnittene Modifikationen in GoBotKR
- Wie im vorangegangenen Abschnitt bereits erwähnt, erkennt die Malware anhand der IP-Informationen des infizierten Computers, ob dieser zu einem Unternehmen gehört, dass auf der Blacklist steht. Bei GoBot2 wird die IP-Adresse des Opfers mit Hilfe Amazon Web Services oder dnsDynamics Im südkoreanischen Pendant GoBotKR werden die Services durch Naver und Daum ersetzt.
- GoBotKR scannt laufende Prozesse des kompromittierten Computers, um die Aktivität von ausgewählten Antiviren-Programmen (Tabelle 1) aufzuspüren. Bei einer Erkennung löscht die Malware sich vom PC und versucht ihre Spuren zu verwischen. Die folgende Tabelle enthält ein Antiviren-Sicherheitsprogramm des südkoreanischen Unternehmens AhnLab.
| Process name substring | Associated company/product |
|---|---|
| V3Lite | AhnLab, V3 Internet Security |
| V3Clinic | AhnLab, V3 Internet Security |
| RwVnSvc | AhnLab Anti-Ransomware Tool |
| Ksde | Kaspersky |
| kavsvc | Kaspersky |
| avp | Kaspersky |
| Avast | Avast |
| McUICnt | McAfee |
| 360 | 360 Total Security |
| kxe | Kingsoft Antivirus |
| kwsprotect | Kingsoft Internet Security |
| BitDefender | BitDefender |
| Avira | Avira |
| ByteFence | ByteFence |
Tabelle 1. Liste der von GoBotKR erkannten Sicherheitsprodukte
- Die Malware versucht, auf dem System ausgeführte Analysetools zu entdecken, indem auf die Liste „ahnNames“ zurückgegriffen wird. Bei einem positiven Ergebnis löscht sich die Schadsoftware selbst.
Abbildung 2: Die Blacklist der ausgeführten Prozesse der Malware wird intern als "ahnNames" bezeichnet.
Timeline – GoBotKR-Versionierung
Da sich die Malware durch Torrents verbreitet, sind einige Samples naturgemäß unvollständig oder kaputt. Wir waren dennoch in der Lage, C&C-Server sowie interne Versions-Informationen zu rekonstruieren.
Die von uns erstmalig gesichteten Malware-Samples lagen uns in den Versionen 2.0, 2.3, 2.4 und 2.5 vor. Jede einzelne kann gegenüber seinem Vorgänger eine geringfügige technische Verbesserung bzw. einen kleinen Unterschied aufweisen. Die Versionierung unterscheidet sich von der, die im GoBot2-Quellcode benutzt wurde.
Tabelle 2 listet die unterschiedlichen GoBotKR-Versionen, die von ESET-Sicherheitsprodukten von Mai 2018 bis zum Zeitpunkt der Entstehung dieses Artikels gefunden wurden. Die Zeitleiste enthält die internen Versions- und Erkennungsdaten der Malware, da die PE-Zeitstempel aus den Samples gelöscht wurden.
| First seen | Internal version | Functionality linked to South Korea | C&C server |
|---|---|---|---|
| May 2018 | 2.0 | No | https://jtbcsupport[.]site:7777/ |
| Jul 2018 | 2.0 | Yes | https://jtbcsupport[.]site:7777/ |
| Aug 2018 | 2.0 | Yes | https://higamebit[.]com:6446/ |
| Sep 2018 | 2.3 | Yes | https://kingdomain[.]site:6556/ |
| Sep 2018 | 2.3 | Yes | https://bitgamego[.]com:6446/ |
| Sep 2018 | 2.3 | Yes | https://higamebit[.]com:6446/ |
| Sep 2018 | 2.3 | Yes | https://helloking[.]site:6446/ |
| Jan 2019 | 2.4 | Yes | https://kingdomain[.]site:6556/ |
| Jan 2019 | 2.5 | Yes | https://kingdomain[.]site:6556/ |
Tabelle 2. GoBotKR Versionierungs-Zeitleiste
Wie aus der Tabelle hervorgeht, gab es im Mai 2018 Malware-Samples, die noch keine speziellen „Südkorea-Features“ mit sich brachten. Diese waren also fast identisch mit dem originalen GoBot2-Quellcode. Allerdings konnten wir die älteren Samples mit den neueren verknüpfen, da man denselben C&C-Server verwendete.
Wie schütze ich mich vor dieser Cyber-Gefahr?
Wer den Verdacht hegt, Opfer der GoBotKR Malware-Kampagne zu sein, sollte seinen Computer zunächst mit einer vertrauenswürdigen Antiviren-Sicherheitslösung scannen. ESET-Produkte erkennen die Malware als Win64/GoBot2. ESETs kostenfreier Online Scanner durchsucht den Computer auf aktuelle Gefahren und entfernt diese auf Wunsch. Bereits bestehende ESET-Kunden, mit sich automatisch aktualisierenden Sicherheitslösung, sind bereits geschützt.
Torrent-Webseiten sind dafür bekannt, allerhand Malware zu verbreiten. Wer von ähnlichen Malware-Attacken zukünftig verschont bleiben möchte, sollte Internet-Inhalte (Videos, Software, etc.) nur über offizielle Kanäle beziehen. Vor jedem Download sollte man sich über die Datei-Endung der herunterzuladenden Datei informieren, um mögliche Schäden von vornherein abzuwehren. Man schützt den Computer außerdem durch regelmäßige Sicherheitsupdates und vertrauenswürdige Anti-Virenprogramme.
Indicators of Compromise (IoCs)
ESET detection name
Win64/GoBot2
C&C servers
jtbcsupport[.]site
kingdomain[.]site
higamebit[.]com
bitgamego[.]com
helloking[.]site
SHA-1
Note that some malware samples may be corrupted due to the nature of its distribution mechanism (torrents).
Version 2.0
038C69021F4091F0B1BE3F059FCDC1C4FA8885D2
092A4F085A01E0D61418114726B9F9EF9F4683C3
11953296BBC2B26303DED2F92FB8677BD8320326
11BF60CC2B8AC0321635834820460824D76965DE
275EE3BD90996EF54DB5931CBDF35B059D379E0E
424215E74EA64FC3A55FE9C94B74AFC4EA593699
4899912880FF7B881145B72A415C7662625E062E
6560BD68CD0CA0402AB28D8ABE52909EB2BA1E10
6A58E32DFF59BAEE432E5D351EAD7C7CB939CCB7
6BE3A40D89DDCDCFA37926A29CE5BCC5FF182D12
77EAE50B8C424338C2987D6DFF52CE0F0BBBD98F
A04EB443942DD3906A883119429BF09A3601B3E0
A61D72BA8AE6A216F1D5013A05CEA8D4F96E81E1
B60DA1F89313751FAA21DD394D6D862CC8C2DBE4
B7CEAE53118890011B695E358633CCD35E8CD577
BDBA27E525D6DC698C1CF90B07F4FB85956E9C28
C31955C4D3C38591BBC8A2089F23B5558146267B
D688A58001E41A8CA22EABCA309DA9FCD2910CB3
DD18D7B0ADE5E65EFDE920C9261E8890B4105B75
E0046D91BED1B3A09243C43760599DC9D8F99953
E00F1BB85A277A8C1ED081642EF76413B2FF7EA9
EA968D757281E6BB5D9334E7F2C9ECDA69EA15A9
F9C40789C780174F6BB377AE46F49B94E402AE77
FFF263FA9E16F7945BCE21D0F6C11C75DAA241D8
Version 2.3
018927A35B2CEC08D5493CB75BAA62D6956D0109
063C462E98453AD6E4091A5AB35613CAF19DF415
082A026BD14F69AF46641ABF20520B3D2D0D6E6A
084A7E6B7DD955554FCED021DF58458C7E66EBB2
097248EB38277DA879F5D606179C746DB6BB2C54
0DBA9DDBBB12FA4FE22CD4EE16EF8DCC73B7D295
0E9D0C1A82DFB53DF9BB8B75D3A90B2236704498
0F4BB3FC6771D306565E1002B3327A9F2AED92AF
14129424593DC8B1865F491A9CA92BE753B2A7F0
16703AE741257EAF2EC76E097D17F379E3FCB29D
1BE6DB3F30B41A8777819C9D04056923C74E052E
1C4FDDDBB8402D3A1E70E5DCD4C0187C6F55ABA3
1F966B8540CF9716640DF39FA0B97FBA62200C1F
1FCE2D1735C226DC688EC191B18EF773D0B51830
2145B398927E056AFEA963CCEE39D60760F4FD21
2172B67E6E17944C74468634C1BB52269187D633
227198CB1BB02601E6E707892DC50CB9F11D1C62
25E43D900CD7AA89A209F97CC8B1E718B2E98F6B
2B0D9C7D0D9C847822283EBCB7D4E650A5DC8104
2C4B970778D8F4441EB93DA34A279E7A678E370A
2F6320819D541AE804873EA5AD3E93C0B21028F3
2F635862C92A31CE39F87262D77FC022810F40D3
31AE67F632FC6B278BD6D50D298585BF53A844DB
3356BFD26189533E8E77BFC6E59A5ED25F6BE1E2
354D5135660292C9D4DD5C394ECAAC5DC3719D8A
37902317F4B751C80C4404F6FC6A831602B9B540
3918E9F79C154F6031DA52A21F1F7477715B28BC
3B0B403BAFC72FD86EEC6474886AA7233083888F
3DD1A7A8533676FD471C69AD39DCEE0FBBE7E1FD
4186AECA8B229B51EFD559E7B839E669374673AD
426D064FDBB9AFB694F67F37942BBBD0C2E4AD69
42C4F415580B0EB17E139E92A2DA111BF6CCAF7F
446C3F1EFB3A44FEA98F23AEBBC925DD0C330BE6
4596E0D116A511E204A57877538EA26D174E269E
46D398B78C2DFF0118100B6507F049E867E5195F
4709995AC0FB5F32129AAD235755A8BEB9B355ED
47918740BA72FD3857F209069D6674AF8EFD411B
49A56E7A0BCF3538555078BFFA7DDBB60ADF0DDE
4C3D825798056EEF7E3FE33BDA777F9E70D4E7D4
4F4781B24879DF51652DF3FB24F156F76F78B376
4F6E7EA69CD44E5065EAD8655BC4105375D33A06
5B96C0349C07D6B37F1D3EC9F792CB5848FC48C6
5CD88B03821C3B84D7397D166233A15C0041B38B
5D93972D0352DF08DC06FF5AF120B328654B272F
5E7BEB4E8A35B234D263DDE0AED33C6C9A0D1D57
60CA70EDA899EE58AD419F513F5FB279B89C87A4
60D3445A6A15C8396356AC6F9807965A8E7BFA67
60F638CAD3116DB2FE580C31800A66836D534986
64FC3A6B5F0FA745D66DC66ED2FBC75A7C71C747
660C360B3DF4354FDAFA6454B7E19588FFE296E1
6D90CC4FF3A7F91FDFD904E73CDE3351F14EA828
6FC19EB46CAFC1A18F99119EB7353DE116F1BDFD
718957E417194A6EBD3B55C77AB3EB405E30257B
734F33BCDBF062DDEA90B2B89AF5DC4F0B292594
7688C3DCD43605BDC5E3AED03F6D87E18AEAC9AC
779366C5B356383A2286441EB84140C13000510C
7CD7334FC7CE9701A7C4FE091CC3EC01D07363D9
7DF8023457D50FF9F66CDB4C914206A163BD1713
7F95715B0BF80B7BBECC757D613084D76334101C
830F1387DFEC3D7F8D5678EED8A7C45C76B5DBE6
8368E9DEAE2F880D37232E57240CA893472C8BD3
8AFECBF940273C979D01856E1332EFF6EFE24D09
900E1C9666EECACA47DD59D908EED5480CF92953
9166AB0420C9223F23AC5C4EC5503F75505E5770
94D723C409EF4C4308113F3DBB3CB7E1084C3E12
966B722D6180AC774CFF51CFD20A1C1B966E3F43
98826BC207F1914867572561B4E0643DBE8FD8E4
9DD65F76AAF739AEF7EB9D4601ED366B3B48B121
9E6E772E41F452ED695310BCFA2B88429F12100A
9EDA0E8C2F0EDE283DC1457E4967002BDF3D376F
A9A0A33466B54A5617F986F6B160E10C5B8D81DA
AEF7725E9B945C7BCCCD7A23B1C1C1E40EEAC774
B052FC4D36F40C225397127EFB31628E8B96DC48
B563B60ED58C99199CCAB44496F858A5D42E54E7
B56A6FB4EC95793407752294782EF914EF497C8F
B57736D4F14F4E157D23C14E627A817A03C2DE24
B703848F4BC390E3E9516E3E4C746AD7C616FF96
B8F46453C1E5C03DAD1C07AB8705BE3E4F4224D2
BB7438119A8A2F79CF06BDAA14D8CACA57E05B17
BB89551AA131832395B1589C0E25D3F013A22A24
BCD2027681DD5628F0741B79B1D7C2AC4573D8E2
BD3859586D4C1701498EEFD05BB2E016848CE95D
BF42743314770340DDB5C80F22F39C6E07F74252
BFCB367868E4CFBA880E41B37241E089382F424C
C0B5CE4D03AED769DCCD5BA2BB5296C7D9F55F68
C13BED8DADA964EBF2A88786715FF83F0A1A8BCA
CBA77FE9FA0759AE0CD073D3B126F73BEB340814
CC98D9E90B7DA6E314434A246653B718ABF72FBB
CD880876565DF58EAFC033C0D207E2B2613F8C0D
CE1B68F65E2CC9A060996E58101B80C907C63377
D1D603E24FD82B6BE32B99A25A86F6CD46F3A8AF
D7423A1F56FFF460031419856FE4F7C557E1A2BF
D8ACB99F04A5EC3E355B947885E02977D6C37AF0
DA6603AC6CB47A3C448CB232EB0116BD62C7B7E4
DD1E3544F8363517556A91EBA40E85EE3638528E
DE5F6E4F559BD9FD716271AA35AFF961DF620B84
DEEC9543303C8211AD2C781F4AA936EFC191F64F
DFF022EC8223676E0D792DD126EE91B0D3059C4C
E22D6F80F0FA05446D3AF7D57EB920BA89DBEE9E
E31ABA7D0BBE49F7E66BD04379BC4837A7C91E46
E3204213E526C6ED3F8BE49D8E493DB5E92EC52A
E51519CF8C9522B4266D7CFC7125AF111DB259E7
E6AB36FE3BBDE63B28BFDF27D8890048FEA1E66D
E95A1D9E57821EBA66B421A587A014EB297DE69F
EA2BB07BB8AD5BFE1F0E92AD7B64D960600924C9
EBB140CDF75386E0FA7746910EB6596323184A7F
EDFA500254F315407783F302E85A27D8C802E4F8
EE8198049EBE16E2BA86163361FE4B5F7768FA2E
F0C6B2DEAB37A6BF78E4DF66FC4DD538F5658F6A
F15ED7BE791A2DD2446A7EF5DF748ACB474C0E98
F3DD44C8FC41D466685D8F3B9D3EA59C479230B6
F8353AB3D4D6575FD68BE1ECCF6446A5100925C9
FA22EB25A1FCBD26D5E6B88B464B61BCC4B303C2
FAEE079AABB92B4C887BA3FBEE4D1D63732D72A3
FD37E55481C7941B420950B0979586BDE2BA6B8A
FFD169CBB8E6DC9F1465AC82DDDC4C99AB59C619
Version 2.4
896FB40BACBF8B51A06AAF49523DE720D1C21D53
A997A5316D4936F70CDF697DF7E65796CE11B607
Version 2.5
27ED3426EA5DB2843B312E476FFFCF41BA4FDD31
C4074FCC7A600707ADCAF3DD5C0931E6CBF01B48
Registry values
The registry key used by GoBotKR is a subkey under [HKCU\SOFTWARE] with a variable name from a hardcoded list, mostly mimicking legitimate software names.
The following registry values are used:
ID
INSTALL
NAME
VERSION
REMASTER
LAST
WATCHDOC
MITRE ATT&CK Techniques
| Tactic | ID | Name | Description |
|---|---|---|---|
| Initial Access | T1189 | Drive-by Compromise | GoBotKR has been distributed through torrent file-sharing websites to South Korean victims, using games or Korean movie/TV series as a lure. |
| Execution | T1059 | Command-Line Interface | GoBotKR uses cmd.exe to execute commands. |
| T1064 | Scripting | GoBotKR can download and execute scripts . | |
| T1204 | User Execution | GoBotKR makes their malware look like the torrent content that the user intended to download, in order to entice a user to click on it. | |
| Persistence | T1060 | Registry Run Keys / Startup Folder | GoBotKR installs itself under registry run keys to establish persistence. |
| T1053 | Scheduled Task | GoBotKR schedules a task that adds a registry run key to establish malware persistence. | |
| Privilege Escalation | T1088 | Bypass User Account Control | GoBotKR attempts to bypass UAC using Registry Hijacking. |
| Defense Evasion | T1140 | Deobfuscate/Decode Files or Information | GoBotKR has used base64 to obfuscate strings, commands and files. |
| T1089 | Disabling Security Tools | GoBotKR may use netsh to add local firewall rule exceptions. | |
| T1158 | Hidden Files and Directories | GoBotKR stores itself in a file with Hidden and System attributes. | |
| T1070 | Indicator Removal on Host | GoBotKR removes the Zone identifier from the ADS (Alternate Data Streams) of the file, to conceal the fact the file has been downloaded from the internet. | |
| T1036 | Masquerading | GoBotKR uses filenames and registry key names associated with legitimate software. | |
| T1112 | Modify Registry | GoBotKR stores its configuration data in registry keys.
GoBotKR can modify registry keys to disable Task Manager, Registry Editor and Command Prompt. |
|
| T1027 | Obfuscated Files or Information | GoBotKR uses base64 to obfuscate strings, commands and files. | |
| T1108 | Redundant Access | GoBotKR installs a second copy of itself on the system, which monitors and reinstalls the primary copy if it has been removed. | |
| T1497 | Virtualization/Sandbox Evasion | GoBotKR performs several checks on the compromised machine to avoid being emulated or executed in a sandbox. | |
| Discovery | T1063 | Security Software Discovery | GoBotKR checks for processes associated with security products and debugging tools, and terminates itself if any are detected. It can enumerate installed antivirus software using the wmic command. |
| T1082 | System Information Discovery | GoBotKR uses wmic, systeminfo and ver commands to collect information about the system and the installed software. | |
| T1016 | System Network Configuration Discovery | GoBotKR uses netsh and ipconfig to collect information about the network configuration. It has used Naver and Daum portals to obtain the client IP address. | |
| T1033 | System Owner/User Discovery | GoBotKR uses whoami to obtain information about the victimized user. It runs tests to determine the privilege level of the compromised user. | |
| T1124 | System Time Discovery | GoBotKR can obtain the date and time of the compromised system. | |
| Lateral Movement | T1105 | Remote File Copy | GoBotKR attempts to copy itself into public folders of cloud storage services (Google Drive, Dropbox, OneDrive).
It is also able to spread itself by instructing the compromised machine to seed torrents with the malicious file. |
| T1091 | Replication Through Removable Media | GoBotKR can drop itself onto removable media and relies on Autorun to execute the malicious file when a user opens the removable media on another system. | |
| Collection | T1113 | Screen Capture | GoBotKR is capable of capturing screenshots. |
| Command and Control | T1090 | Connection Proxy | GoBotKR can be used as a proxy server. |
| T1132 | Data Encoding | The communication with the C&C server is base64 encoded. | |
| T1105 | Remote File Copy | GoBotKR can download additional files and update itself. | |
| T1071 | Standard Application Layer Protocol | GoBotKR uses HTTP or HTTPS for C&C. | |
| T1065 | Uncommonly Used Port | GoBotKR uses non-standard ports, such as 6446, 6556 and 7777, for C&C. | |
| Impact | T1499 | Endpoint Denial of Service | GoBotKR has been used to execute endpoint DDoS attacks – for example, TCP Flood or SYN Flood. |
| T1498 | Network Denial of Service | GoBotKR has been used to execute network DDoS. | |
| T1496 | Resource Hijacking | GoBotKR can use the compromised computer’s network bandwidth to seed torrents or execute DDoS. |
