ESET‑Forscher: ComRAT v4 Backdoor nutzt Gmail UI | WeLiveSecurity

ESET‑Forscher: ComRAT v4 Backdoor nutzt Gmail UI

Die Turla-Gruppe aktualisiert die ComRAT-Backdoor und nutzt das Gmail Web Interface als Command and Control Einheit.

Die Turla-Gruppe aktualisiert die ComRAT-Backdoor und nutzt das Gmail Web Interface als Command and Control Einheit.

ESET-Forscher fanden eine neue Version von einer Malware-Familie, die bei Turla bereits seit einiger Zeit zum Einsatz kommt. Es handelt sich um ComRAT. Turla (aka Snake) ist eine berüchtigte E-Spionage-Gruppe und mehr als zehn Jahre aktiv. Wir berichteten bereits mehrfach über die vielen Kampagnen der Turla Cybergang.

ComRAT (aka Agent.BZT / Chinch) ist ein Remote Access Trojan (RAT), der im Jahr 2008 in die Schlagzeilen geriet, als die Malware gegen das US Militär zum Einsatz kam. Die erste Version des Trojaners erblickte wahrscheinlich im Jahr 2007 das Licht der Welt. Damals verbreitete sich die Malware wie ein Computer-Wurm über USB-Laufwerke. Im Zeitraum vom 2007 bis 2012 erschienen zwei neue Hauptversionen des RATs. Interessanterweise verwendeten beide den bekannten Turla-XOR-Schlüssel:

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s

Bis Mitte des Jahres 2017 nahmen die Turla-Entwickler einige Änderungen an ComRAT vor. Den daraus hervorgegangenen Varianten lag immer die gleiche Code-Basis zugrunde.

Im Jahr 2017 bemerkten wir eine davon abweichende ComRAT-Variante (v4). Dieser neue Trojaner basierte auf einem grundverschiedenen Code und war zugleich wesentlich komplexer als die Vorgänger. Die Hauptmerkmale der Malware-Familie lassen sich wie folgt beschreiben:

  • ComRAT v4 ist seit 2017 aktiv, zuletzt im Januar 2020 beobachtet
  • Drei Ziele identifiziert: zwei Auswärtige Ämter und ein Parlament
  • Man benutzte ComRAT, um sensible Dokumente auszuleiten und diese auf Cloud Services wie OneDrive oder 4shared zu speichern.
  • ComRAT ist eine komplexe, in C++ programmierte Backdoor
  • Der RAT verwendet ein virtuelles FAT16-Dateisystem
  • ComRAT wird unter Verwendung vorhandener Zugriffsmethoden, wie z. B. der PowerStallion PowerShell-Hintertür ausgeliefert.
  • Der Trojaner greift auf zwei C&C-Channels zurück:
    • HTTP: gleiches Protokoll wie bei ComRAT v3
    • E-Mail: Gmail UI um Befehle zu erhalten und Daten auszuleiten.
  • ComRAT ist imstande, vielerlei Aktionen durchzuführen, wie beispielsweise das Ausführen zusätzlicher Programme oder das Ausleiten von sensiblen Daten.

Warum Turla?

Basierend auf der Viktimologie und der TTPs sind wir überzeugt, dass ComRAT exklusiv von Turla verwendet wird. Folgende Elemente deuten darauf hin:

  • Man verwendete denselben internen Namen (Chinch) wie bei den vorherigen Versionen,
  • dasselbe maßgeschneiderte C&C-HTTP-Protokoll wie bei v3.
  • Ein Teil der Netzwerkinfrastruktur wird mit anderer Turla-Malware geteilt (Mosquito)
  • ComRAT v4 wurde von anderer Turla-Malware oder im das Opfer-System abgesetzt oder setzte diese selbst ab:
    • Maßgeschneiderter PowerShell Loader
    • PowerStallion Backdoor
    • RPC Backdoor

Einblick in die Tätigkeit der Angreifer

Während der Forschungstätigkeiten erlangten ESET-Forscher Erkenntnisse über die Turla-Entwickler und was sie mit den gekaperten Systemen anstellten.

Hauptsächlich dient ComRAT dazu, sensible Dokumente von Computern zu stehlen. In einem Fall setzten die Malware-Operatoren sogar eine ausführbare .NET-Datei ein, um mit der zentralen MS SQL Server-Datenbank des Opfers zu interagieren, um an die Dokumente der Organisation zu gelangen. Abbildung 1 zeigt den überarbeiteten SQL-Befehl.

Abbildung 1: SQL-Befehl zum Ausleiten von Dokumenten aus einer zentralen Datenbank (teilweise geschwärzt)

­­Die Dokumente wurden komprimiert und in der Cloud (OneDrive oder 4shared) gespeichert. Die Cloud mountete man über den in Abb. 2 gezeigte „net use“-Befehl.

Abbildung 2: Befehl zum Einbinden eines OneDrive-Ordners via net use (teilweise geschwärzt)

Neben dem Diebstahl von Dokumenten beherrscht ComRAT auch das Ausführen vieler anderer Befehle, um beispielsweise an Informationen über Active Directory-Gruppen oder -Benutzer, das Netzwerk oder Microsoft Windows-Konfigurationen wie z. B. die Gruppenrichtlinien zu gelangen. Abbildung 3 zeigt eine Liste von Befehlen, die von den Turla-Operatoren genutzt werden können.

Abbildung 3: Aufklärungs-Befehle zur Informationsbeschaffung über das kompromittierte System

Die ESET-Forscher bemerkten auch, dass die Turla-Entwickler zudem an das Meiden von Security Software dachten. Dabei sahen diese sich regelmäßig relevante Security Logs des kompromittierten Systems an, um nachvollziehen zu können, ob ihre Malware-Samples von Security Software entdeckt wurden. Das zeigt den hohen Wissensstand der ComRAT-Entwickler und die Absicht, lange Zeit auf den Rechnern unentdeckt bleiben zu wollen.

Technische Analyse von ComRAT v4

Blickt man auf den wahrscheinlich echten Zeitstempel des Kompilierungszeitpunkts, stammt das erste bekannte ComRAT v4 Sample aus dem April des Jahres 2017. Die neuste Iteration der Backdoor, die ESET-Forscher zu Gesicht bekamen, wurde im November 2019 kompiliert.

Aufgrund der ESET-Telemetrie-Datenlage gehen die ESET-Forscher davon aus, dass ComRAT durch kompromittierte Zugangsdaten oder andere Turla Backdoors auf ein Computer-System gelangt. Die Forschenden sahen beispielsweise, wie ComRAT mithilfe von PowerStallion auf PCs von Opfern gelangte. Über die auf PowerShell basierende Hintertür berichteten wir bereits im Jahr 2019.

Das ComRAT-Installationsprogramm ist ein PowerShell-Skript, das eine geplante Windows-Aufgabe erstellt und einen Registry-Wert mit der verschlüsselten Payload füllt.

ComRAT v4 vereint mehrere Komponenten:

  • Einen Orchestrator, eingeschleust in explorer.exe. Kontrolliert die meisten ComRAT-Funktionen, inklusive das Ausführen der Backdoor-Befehle
  • Ein Kommunikationsmodul (eine DLL), mithilfe des Orchestrators in den Standard-Browser eingeschleust. Kommuniziert via Named Pipe mit dem Orchestrator.
  • Ein virtuelles FAT16-Dateisystem, das die Konfigurations- und Protokolldateien enthält.

Abb. 4 gibt einen Überblick über die ComRAT-Architektur:

Abbildung 4: Zusammenfassung der ComRAT-Architektur

Abbildung 4: Zusammenfassung der ComRAT-Architektur

ComRAT v4 greift auf zwei verschiedene C&C-Kanäle zurück: HTTP (intern als Legacy bekannt, nutzt das HTTP-Protokoll) und E-Mail (intern als Mail bekannt), verwendet die Webschnittstelle von Gmail.

Im Mail-Modus und mithilfe von Cookies, die in der Konfiguration gespeichert sind, verbindet ComRAT sich mit der Webschnittstelle von Gmail, um den Posteingang zu prüfen und bestimmte E-Mail-Anhänge mit verschlüsselten Befehlen herunterzuladen. Diese Befehle werden von den Malware-Operatoren mit einer anderen E-Mail-Adresse (bspw. gmx.net) gesendet.

Eine umfassende technische Analyse zu ComRat v4 findet Sie in unserem Whitepaper.

Fazit

ComRAT v4 ist eine komplett überarbeitete Malware-Familie, erschienen im Jahr 2017. Die sich dahinter verbergenden Malware-Entwickler ließen sich von anderen Turla Backdoors (wie Snake) inspirieren, um diese neue komplexe Malware zu erschaffen.

Das interessanteste Feature ist die Verwendung des Web UIs von Google Mail, um Befehle zu empfangen und Daten auszuleiten. Auf diese Weise ist die Malware in der Lage, einige Sicherheitskontrollen zu umgehen, da diese nicht auf eine bösartige Domain angewiesen ist. ESET-Forscher bemerkten auch, dass in der neuen Version die Verwendung von COM-Objekt-Hijacking im Hinblick auf die Persistenz aufgegeben wurde; die Methode, die der Backdoor ursprünglich ihren Namen gab.

Anfang des Jahres 2020 fanden ESET-Forscher Hinweise darauf, dass ComRAT v4 immer noch aktiv ist. Das zeigt zugleich die nicht abreißende Aktivität von Turla. Im Visier stehen nach wie vor diplomatische und militärische Einrichtungen.

Umfassende Indicators of Compromise (IoCs) sowie Malware-Samples finden Sie im Whitepaper und auf GitHub.

Für Fragen zu ComRAT v4 oder zur Einreichung von Malware-Samples steht die folgende E-Mail-Adresse zur Verfügung: threatintel@eset.com.

MITRE ATT&CK techniques

TacticIdNameDescription
ExecutionT1086PowerShellA PowerShell script is used to install ComRAT.
PersistenceT1053Scheduled TaskComRAT uses a scheduled task to launch its PowerShell loader.
Defense EvasionT1027Obfuscated Files or InformationThe ComRAT orchestrator is stored encrypted and only decrypted upon execution.
T1055Process InjectionThe ComRAT orchestrator is injected into explorer.exe . The communication DLL is injected into the default browser.
T1112Modify RegistryThe ComRAT orchestrator is stored encrypted in the Registry.
DiscoveryT1016System Network Configuration DiscoveryOperators execute ipconfig and nbstat .
T1033System Owner/User DiscoveryOperators execute net user .
T1069Permission Groups DiscoveryOperators execute net group /domain .
T1082System Information DiscoveryOperators execute systeminfo .
T1083File and Directory DiscoveryOperators list the content of several directories. Example: dir /og-d "%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\*.*" .
T1087Account DiscoveryOperators execute net user and net group .
T1120Peripheral Device DiscoveryOperators execute fsutil fsinfo drives to list the connected drives.
T1135Network Share DiscoveryOperators execute net view .
CollectionT1213Data from Information RepositoriesThe Operators use a custom tool to exfiltrate documents from an internal central database.
Command and ControlT1024Custom Cryptographic ProtocolComRAT uses RSA and AES to encrypt C&C data.
T1043Commonly Used PortComRAT uses ports 80 and 443.
T1071Standard Application Layer ProtocolComRAT uses HTTP and HTTPS.
T1102Web ServiceComRAT can be controlled via the Gmail web UI.
ExfiltrationT1002Data CompressedThe documents are compressed in a RAR archive.
T1022Data EncryptedThe RAR archive is encrypted with a password.
T1048Exfiltration Over Alternative ProtocolData is exfiltrated to cloud storage, mounted locally using the net use command.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren