ServHelper是由网络安全公司Proofpoint于2018年年底发现的一种后门木马,被认为出自黑客组织TA505之手。
根据相关报道,这个黑客组织在过去还传播了Dridex和Locky,并在最近传播了FlawedAmmyy、FlawedGrace和Get2/SDBBot等多种计算机病毒。
ServHelper的演变
ServHelper总体可分为两个版本,分别被Proofpoint公司命名为“tunnel”和“downloader”。
就像它的名字一样,downloader版本的功能除执行shell命令外,还包括下载并安装其他恶意软件。
除从 downloader版本借用了一些命令外,Tunnel版本还添加了更多的命令来创建和管理从受感染计算机到命令和控制(C2)服务器的反向连接,从而允许攻击者直接连接到受感染计算机。
在今年上半年,TA505一直在传播ServHelper 和 FlawedAmmyy,并使用了不同的感染媒介,如Excel、Word、HTML文件、.lnk文件以及Windows Installer文件等。
在今年8月末,网络安全公司趋势科技的研究人员发现了ServHelper downloader版本的新变种。它被添加了新的命令,并开始借助ISO文件传播。
最近,网络安全公司Blueliv发现ServHelper tunnel版本也被添加了一些新的命令,部分命令的功能如下:
deployns:此命令被用于在受感染计算机上安装NetSupport Manager(一款合法的远程管理工具)。
persist:此命令被用于创建一个周期性任务,定时运行一个PowerShell脚本来实现长久驻留。
keylogstart:此命令被用于实现按键记录——记录将被保存在“C:\\Windows\\temp\\”下的“tv.txt”文件中。
keyloglist:此命令被用于通过查找 “\\\\.\\pipe\\txtpipe”是否存在来验证按键记录器是否已在运行。
keylogreset:此命令被用于清空用于注册按键的文件。
keylogdel:此命令被用于杀死任何运行中的按键记录器进程。
getkeylog:此命令被用于从“tv.txt”文件中检索记录并发送到控制面板。
info:此命令被用于使用PowerShell脚本收集有关受感染计算机的信息(如CPU、图形适配器、内存、网络速度……)的信息,并将信息发送到C2。
getchromepasswords:此命令被用于在Windows临时目录(C:/Windows/temp)中获取文件“logins_read.txt”的内容,并将内容发送到控制面板。需要说明的是,此文件包含保存在Chrome浏览器中的密码。
Getmozillacookies/getchromecookies:此命令被用于在Windows临时目录(C:/Windows/temp)中获取文件“moz.txt”和“ ookies.txt”的内容,并内容发送到控制面板。需要说明的是,这两个文件分别包含Firefox和Chrome浏览器的cookie填充。
search:此命令被用于将通过上一命令收集到的cookie的数量发送给C2。如果找不到cookie,则发送“mozilla/chrome cookies not found”到控制面板。
sshurl:此命令被用于设置/检索Windows系统SSH客户端的下载链接,用于建立到受感染计算机的通道。
setcopyurl:此命令被用于设置/检索工具“Runtime’s Shadow Copy”的下载链接,用于复制操作系统正在使用的文件。比如,此工具使用的“fox”和“chrome”命令,就能够复制Firefox和Chrome浏览器的配置文件。
fixrdp:此命令被用于修改Windows注册表中的RDP配置,以绕过服务器身份验证(将“HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal Server Client\\AuthenticationLevelOverride”设置为0)并创建计划任务以重启计算机。
updateuser:此命令被用于使用命令“net.exe”确保当前用户可以通过RDP连接并具有管理员权限,并将该用户添加到“Remote Desktop User”和“Administrators”组中。
update:此命令与URL一起被用作参数,以下载新的可执行文件并更新bot。
reboot:此命令被用于使用“shutdown /r /f”命令创建一个任务来重启计算机,启动任务并将其删除。
相关活动分析
在过去的一年里,TA505在多起活动中都使用了ServHelper,这其中就包括了在2018年12月针对多个国家银行发起的鱼叉式钓鱼电子邮件活动。
从今年10月开始,与ServHelper相关的活动明显减少,但这种情况只持续到了12月初。
在9月底的活动中,除ServHelper外,TA505还使用了间谍软件Predator The Thief和远程控制工具Team Viewer。攻击媒介依然是鱼叉式钓鱼电子邮件,附件是一个.docx文件。
恶意文档包含经过混淆处理的宏,运行后将在Windows临时目录中创建一个BAT文件并通过cmd.exe执行。
此命令使用Windows Installer启动msiexec,以下载、安装并执行系统中的其他恶意软件。
执行下载的文件WinDef.msi后,将在临时目录中解压缩几个文件:
crypted.exe:此文件是Predator The Thief 的3.3.1版本。Predator The Thief是一款间谍软件,能够收集诸如已保存的密码、Cookie以及有关信用卡和加密货币钱包之类的信息,并将信息发送到控制面板。
DEFOFF.exe:此文件唯一的功能是使用ShellExecuteExW函数执行一个PowerShell命令。此PowerShell命令以Base64编码,能够重新配置Windows Defender,以停用实时保护。
LDR_5622.js:此文件是一个JavaScript文件,功能是两个PowerShell命令,以从指定链接下载并启动其他恶意软件。
signed.exe:这个可执行文件正是ServHelper,它将在用户临时目录中复制一个PowerShell命令并执行。
TeamViewer:这里的Team Viewer版本是1.0.64630,但包含一个恶意DLL 文件——msi.dll。当执行TeamViewer启动程序windef.exe时,msi.dll将被加载到内存中。msi.dll能够拦截不同的Team Viewer函数,以便隐藏应用程序窗口并将会话ID、密码和系统信息发送到已配置的C2服务器。
ServHelper的目标国家和行业
如上所述,TA505在2018年年底和今年上半年的活动中,旨在向全球各地的银行传播ServHelper。
但Blueliv的遥测数据显示,银行并不是TA505唯一的目标。一些与零售业和酒店行业相关的组织也受到了这种恶意软件家族的感染。
大多数受感染计算机都位于美国,其次是加拿大、巴基斯坦、菲律宾、英国、法国和德国,几乎遍布全球七大洲。
结论
在过去的一年里,TA505使用了大量不同的恶意软件家族和合法的远程管理工具来实施攻击,包括ServHelper、FlawedAmmyy、FlawedGrace、Predator The Thief、KPOT、Get2、SDBbot、远程操纵器系统(RMS)和Team Viewer等。
不断有新的ServHelper变种推出,说明TA505并不打算退出舞台,它将继续针对世界各地的组织实施攻击。不仅仅是窃取密码,还包括在受感染的系统中下载并安装额外的恶意软件和工具,以实现随时随地的远程访问。
閱讀更多 黑客視界 的文章
