標題：STRRAT木馬又伺機發起攻擊

由於運輸和接收貨物是大多數航運企業的日常工作，攻擊者經常將偽造有關的運輸標題作為釣魚電子郵件的誘餌，例如虛假髮票、運輸事宜的更改或與虛擬購買相關的通知，以誘使收件人打開惡意附件和無意中下載惡意軟件。

FortiGuard實驗室最近發現了一封這樣的郵件，該電子郵件隨後被發現包含STRRAT 惡意軟件的變體作為附件。

本文將詳細分析網絡釣魚郵件及其惡意負載。

檢查網絡釣魚郵件STRRAT是一個多功能的遠程訪問木馬，至少可以追溯到2020 年年中。不同尋常的是，它是基於Java 的，通常通過網絡釣魚電子郵件發送給受害者。

2021年5月，微軟的安全情報團隊發現了新型惡意軟件攻擊，通過包含惡意的PDF 附件進行大規模傳播。這些PDF 附件中包含了名為StrRAT，這是一個可遠程訪問的木馬程序，可用於竊取密碼和用戶憑證。除了竊取憑證甚至控制系統之外，微軟研究人員還發現，這種惡意軟件可以將自己偽裝成偽造的勒索軟件。

關於該惡意軟件的推文中，微軟表示：

“一旦系統被感染，StrRAT 就會連接C2 服務器。1.5版明顯比以前的版本更加模糊和模塊化，但後門功能大多保持不變：收集瀏覽器密碼，運行遠程命令和PowerShell，記錄鍵盤輸入等”。

與大多數網絡釣魚攻擊一樣，以前的STRAAT 活動使用了附加到電子郵件的中間釋放器（例如惡意Excel 宏），在打開時下載最終有效負載。本示例不使用這種策略，而是將最後的有效載荷直接附加到釣魚電子郵件中。

欺騙性電子郵件發件人和主題

如圖1 所示，這個樣本顯然不是來自馬士基航運公司，攻擊者顯然不希望接收者看得太仔細。通過進一步挖掘電子郵件標題，電子郵件的來源的完整線索變得很明顯：

電子郵件標頭

在離開發件人的本地基礎設施後，消息最終會通過“acalpulps[.]com”，然後傳遞給最終收件人。該域名是在2021 年8 月才註冊的，因此該域名有些可疑。此外，“Reply-To”地址中使用的域“ftqplc[.]in”最近也被註冊（2021 年10 月），因此也非常可疑。

電子郵件正文鼓勵收件人打開有關預定裝運的附件。

電子郵件正文

截至發文，信函正文中包含的域“v[.]al”尚未解析。

電子郵件附件

直接附加到示例電子郵件的是一個PNG 圖像和兩個Zip 文件。 “maersk.png”只是一個圖像文件，如上圖所示。然而，兩個Zip 文件“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”和“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”包含STRRAT 的嵌入副本。

檢查STRRAT 附件“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”和“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”是相同的文件，這從它們各自的SHA256 哈希值可以看出。

“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip”的SHA256 哈希

“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip”的SHA256 哈希

解壓縮這些文件會顯示文件“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”。但是，在Jar Explorer 中打開文件後，一些事情會立即顯現出來。

Jar Explorer 中“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”的初始視圖

首先，大量的Java 類文件是這個包的一部分。其次，“FirstRun”類字符串似乎被打亂或編碼。附加有“ALLATORIxDEMO”的行表示存在Allatori Java 混淆處理程序。

這可以通過嘗試執行jar 文件來驗證。

嘗試執行“SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar”時顯示的閃屏

使用Allatori確認這一點有助於分析過程，因為有開源工具可以回滾它並揭示jar文件中的實際內容。 Java Deobfuscator對Allatori工作得特別好，並成功地恢復了原始字符串內容，如下所示。

“FirstRun” 類的相同視圖現在已反混淆

與STRRAT 中的類文件獨立編碼的是配置文件（config.txt）。在第一個視圖中，它是base 64 編碼的，如下圖所示。

Base 64 編碼的“config.txt”

不幸的是，當解碼時，文件仍然被加碼處理了。

“解碼”配置文件

通過搜索“config.txt”的代碼，我們可以看到配置文件是使用AES 加密的，並且使用了“strigoi” hXXp://jbfrost[.]live/strigoi/server/?hwid=1lid=mht=5的密碼。現在可以解密配置文件了。

解密的配置文件

上圖中的最後一項特別令人感興趣，因為該示例出現在Log4Shell 事件中。 Khonsari 是利用該特定漏洞的勒索軟件變種的名稱。然而，在這裡，這個詞起到了軟件密鑰的作用，沒有證據表明這兩個惡意軟件之間有任何联系。

大多數惡意軟件都需要在重啟和會話期間保持持久性，這樣它們才能完成已經設置的任務。 STRRAT通過將自身複製到一個新目錄中，然後將條目添加到Windows註冊表中以在系統啟動時運行來實現這一點。

修改註冊表的代碼

修改後的註冊表

STRRAT 在啟動時查詢主機以確定其架構和防病毒功能，它還查詢正在運行的進程、本地存儲和網絡能力。

就功能而言，STRRAT可以記錄擊鍵並維護一個基於html的日誌來存儲感興趣的項目。

創建鍵盤日誌文件的代碼

準備好發送的鍵盤日誌文件

STRRAT還可以通過刪除遠程訪問工具HRDP來促進對受感染系統的遠程控制。

HRDP

其他功能包括從Chrome、Firefox 和Microsoft Edge 等瀏覽器和Outlook、Thunderbird 和Foxmail 等電子郵件客戶端提取密碼。

STRRAT 中最奇怪的模塊之一是它的偽勒索軟件功能。

偽勒索軟件模塊

代碼循環瀏覽用戶主目錄中的文件，並為它們附加一個“.crimson”的文件擴展名。沒有對文件進行加密，這使得它只適合作為誘餌，或者作為對不太精明的用戶的恐嚇策略。在代碼中未找到贖金記錄模板。

在網絡方面，我們看到STRRAT希望在啟動時擴展和拉下幾個Java依賴項。

Java 依賴項

如上圖所示，此示例將IP 地址198[.]27.77.242 用於C2（命令和控制）。檢查Wireshark 中的流量顯示STRRAT 異常嘈雜。這可能是由於C2 通道在調查時處於離線狀態。為了獲得進一步的指令，該示例嘗試以1秒(在某些情況下甚至更多)的時間間隔通過端口1780和1788進行通信。

Wireshark 中嘗試的C2 通信

上圖還顯示了一個包含域“jbfrost[.]live”的URL，這似乎是惡意軟件C2 基礎設施的一部分，但似乎沒有被使用（至少目前沒有），該域當前未解析。