標題：分析Andariel組織的TigerDownloader和TigerRAT

https://hacker.bz/t/entry/15436-%E6%A8%99%E9%A1%8C%EF%BC%9A%E5%88%86%E6%9E%90andariel%E7%B5%84%E7%B9%94%E7%9A%84tigerdownloader%E5%92%8Ctigerrat/

Followers

Malwarebytes(2021年4月)，卡巴斯基(2021年6月)和韓國CERT(2021年9月)都先後報導了韓國遭受新型惡意軟件攻擊的新聞，該惡意軟件以前從未出現過且使用了全新的技術。

Malwarebytes的初步報告將這個攻擊歸咎於Lazarus組織，而卡巴斯基將其歸咎為Andariel APT，這是Lazarus的一個分支，根據韓國CERT (KrCERT)的報告，研究人員將此次攻擊中的惡意軟件工具稱為TigerDownloader和TigerRAT。 KrCERT報告對他們捕獲的惡意軟件樣本與之前卡巴斯基和Malwarebytes分析的惡意軟件樣本之間的關係進行了全面、詳細的對比分析。他們還使用了專們的歸因技術來進一步關聯攻擊。

在本報告中，我們將重點關注以前報告的攻擊中的惡意軟件工具。我們提供了新的證據，將這些工具歸為相同的下載程序和RAT家族。我們將這些家族分別稱為TigerDownloader和TigerRAT。選擇這些名字是為了紀念KrCERT的重要工作。

我們系統地研究了代碼重用以及在先前報告的攻擊的不同階段(即打包程序、下載程序和RAT 有效負載)中使用的所有樣本之間的函數共性。我們還發現，雖然這些工具屬於上述家族，但在報告的攻擊中，已經部署了不同的工具變體。對於RAT有效載荷，我們發現了三個具有不同函數的版本。對於下載程序，我們找到了兩個版本，一個有持久性函數，另一個沒有持久性函數。

除了這些發現，我們還對現有的分析體系提出了新的推測。

2021年4月19日，Malwarebytes在報告中提到了一個惡意的Word文檔，且發現了一個新的下載組件。

2021年6月15日，卡巴斯基發布了一篇關於相同攻擊的文章，並將其歸為Andariel APT組織，除了Malwarebyte的發現外，他們還發現了新的下載程序和RAT有效載荷。此外，他們還發現了RAT部署的一種新型勒索軟件。

2021年9月，KrCERT報告了一項他們稱之為“ByteTiger”的攻擊活動，這是一項針對韓國的攻擊，他們將其歸因於Andariel APT組織。他們將新的攻擊與之前Malwarebytes和卡巴斯基使用一些專有工具披露的樣本聯繫起來，對比了相似性/重用、rich header、section hash和C2基礎設施。

上述三個報告案例中的攻擊鏈在結構上都有一些相似之處，都觀察到一個下載惡意軟件。卡巴斯基和KrCERT還發現了第三階段RAT組件。在訪問方式上，Malwarebytes 和Kaspersky 報告的案例中攻擊者使用了惡意文件，而KrCERT 案例中使用了受感染的網站。

Malwarebytes、Kaspersky和KrCERT報告的攻擊鏈的異同

打包程序分析在本節中，我們將首先確定打包程序的二進製文件共享源自解包算法的公共代碼，然後我們展示了在我們可以使用的所有打包樣本的基礎上的一個通用的打包方案。因此，我們的發現提供了強有力的證據，表明二進製文件是由同一打包程序負責的。

打包示例中的共享代碼為了快速了解打包樣本是否相關，我們在函數級別執行了自動代碼重用分析。在下表中，“函數重用”列中的數字代表了一個函數發生的樣本數量。例如，地址為0x140002b70(第一行)的函數出現在27個打包示例中。也就是說，這是一個出現在所有打包樣本中的函數。

我們分析的27 個打包二進製文件中的函數重用

還有其他幾個函數（即0x140001bf0、0x140002030、0x140002860）出現在27 或26 個樣本中。從表中，我們可以確定打包的樣品是明顯相關的。它們都有兩個共同的函數，並且具有大量代碼重用的樣本子集。

簡而言之，自動化的函數重用分析讓我們可以快速了解打包樣本的關係。正如我們接下來將看到的，它還指導我們的手動分析工作。

根據分析，我們懷疑這些樣本共享了一些有效解包的函數，而剩餘的一些函數是為了避免被反病毒軟件、Yara以及相關的基於模式的檢測技術檢測到。然後，我們進一步研究了這些穩定函數，可以確認它們確實包含打包函數。此分析的結果如下所示。

在最穩定的函數中找到的函數

我們還可以確認垃圾代碼的存在，其作用是避免檢測技術。下圖顯示了兩個不同示例中的相同函數Decrypt_payload()。我們可以看到像GetFontUnicodeRanges()、GetSysColorBrush() 和CreateBitMap() 這樣的垃圾函數被調用，但它們的返回值沒有被使用。在下圖中，有效的解包代碼（在本例中為XOR 解密算法）包含在所示的綠色框中。

我們在所有打包代碼和許多函數中都發現了這種垃圾代碼策略。

打包程序代碼中的垃圾代碼，以躲避防病毒軟件和Yara 檢測

綜上所述，到目前為止，我們已經看到打包樣本通過一個公共打包程序代碼相關聯。打包樣本之間的代碼差異主要是由於垃圾代碼的存在。

常見的打包方案打包程序是一個簡單的加載程序，它解密並將有效載荷映射到內存中。解密方案是一個簡單的XOR加密，使用16字節的密鑰。此外，我們發現所有的打包程序變體都遵循相同的打包方案，而該方案的變體由兩個參數決定。一個參數是打包的有效載荷是否採用Base64編碼，另一個參數是在PE文件中存儲打包的有效載荷的位置。

下圖說明了有效載荷編碼的過程。

PE文件中打包代碼位置的變化，從左到右，PE 覆蓋、PE 資源部分或在此示例中名為OTC 的專用PE 部分中的打包代碼

對於使用專用部分的第三個變體，我們觀察到以下部分名稱：“KDATA,” “OTC,” “OTS,” “OTT,” 和“data.”。我們目前還無法確定這些名字背後的意義。

下圖顯示了我們分析的所有打包下載程序和RAT變體的常見打包方案。

所有樣品通用的打包方案

惡意軟件家族和變體在本節中，我們將通過代碼重用分析確定所有解壓縮的二進製文件都屬於一個下載程序或RAT家族。我們稱這些家族為TigerDownloader和TigerRAT惡意軟件家族。 KrCERT報告中介紹了這些名稱，用來指代他們調查中的下載程序和RAT組件。

為了快速了解解壓後的二進製文件，我們進行了組合集群和代碼重用分析。這種分析使我們能夠自動識別惡意軟件家族和家族內的惡意軟件變體。此分析的目標是快速了解二進製文件之間的關係，並將分析人員引導至相關樣本進行進一步的手動分析，以最終了解攻擊者的工具和能力。

集群和代碼重用分析的結果如下圖所示，該圖確認解壓後的二進製文件屬於TigerDownloader（藍色）或TigerRAT（橙色）家族。此外，我們看到每個家族都有三個變體(用大圓表示)。我們使用了97.5%的集群閾值，這意味著至少有97.5%相似的二進製文件屬於同一個集群。圖中的集群由所謂的“集群代表”(大圓)和直接連接到集群代表的樣本(小圓)組成。其基本思想是，集群中的樣本本質上是相同的，因此集群代表可以很好地代表。

使用縮略哈希表對未打包的樣本進行聚類和代碼重用分析

我們注意到聚類閾值的選擇對變體有明顯的影響：高閾值會顯示次要和更多變體，而低閾值會顯示較少和主要的變體。

從圖中我們可以得出以下結論：

在TigerDownloader和TigerRAT家族之間沒有代碼重用。回顧打包程序分析，儘管這兩個家族在代碼方面是不同的，但它們使用了相同的打包方案進行打包。

下載程序有三種變體：一種x86和兩種x64變體。這兩個x64變體非常接近(即97%的代碼重用)，因此很可能是具有微小差異的變體。

在RAT家族中，我們遇到了三種類似的情況：一種x86和兩種x64。然而，這兩個x64變體隻共享55%的代碼，因此似乎是主要的RAT變體。

x64和x86二進製文件之間的關係較低，這是由於編譯器和CPU架構的差異，但仍然可以找到相關的代碼重用。

下圖中的表顯示了之前圖表中集群的詳細組成。我們還注意到，一些(哈希方式)獨特的打包樣本會導致(哈希方式)相同的未打包樣本，從而降低了所考慮樣本的有效多樣性。

詳細的集群信息

接著我們將更詳細地分析下載程序和RAT變體，將分析限制在集群代表上。這種將分析減少為聚類代表的函數是定向和高效分析和跟踪惡意軟件變體的關鍵。下面的分析中使用的集群代表及其名稱的選擇如下圖所示。

後續分析中使用的集群代表

TigerDownloader變體在本節中，我們將仔細研究兩個下載程序變體：Downloader-Malwarebytes-x64 和Downloader-Kaspersky-x64。從集群和代碼重用分析，我們知道它們共享97% 的代碼，因此是TigerDownloader 家族的非主要變體。

使用我們的分析工具鏈的二進制差異函數，如下所示，樣本主要由相同的函數組成，除了卡巴斯基(Downloader-Kaspersky-x64) 中的一個獨特函數（地址為0x140001230 的函數）樣本。

Downloader-Kaspersky-x64和Downloader-Malwarebytes-x64之間的函數級別差異

分析來自卡巴斯基的下載程序示例，我們看到未知函數(0x140001230)是由下載程序的主函數調用的。

左側Downloader-Kaspersky-x64，右側Downloader-Malwarebytes-x64

原來這個函數是用來實現持久性的，所使用的技術很簡單，包括在當前用戶啟動文件夾中創建一個鏈接，以確保目標設備重新啟動時啟動下載程序。

為持久性創建快捷方式的函數

持久性可執行文件的快捷方式

最後，我們注意到在Downloader-Malwarebytes-x64示例中沒有發現任何持久性技術。原因很可能是盡量減少留在受害設備上的痕跡。

與TigerDownloader的關係不幸的是，KrCERT 報告中的下載程序樣本(f0ff67d4d34fe34d52a44b3515c44950) 未公開提供與TigerDownloader相關聯的正怒，因此我們無法將其包含在我們的分析中。儘管如此，為了檢查KrCERT 與Malwarebytes 和Kaspersky 下載程序之間可能的關係，我們試圖純粹基於KrCERT公開報告的工件和行為將它們連接起來。

KrCERT報告了他們在下載程序中找到的兩個C2命令，在可供我們使用的下載程序中找不到任何“Tiger10X”標識符，同時我們也無法找到任何其他可能是C2命令的標識符。

KrCERT報告的TigerDownloader C2命令

另一方面，我們發現KrCERT報告的各種功能也出現在其他下載程序中：

1.KrCERT報告中的打包符合我們在上面建立的打包方案；

2.KrCERT報告說，通信是使用Base64編碼的，我們也在我們的樣本中觀察到了這一點；

3.由第二階段(下載程序)下載的第三階段(RAT)都屬於同一個TigerRAT家族(我們將在下一節中建立)。

簡而言之，上面的觀察表明KrCERT下載程序可能與Malwarebytes和Kaspersky觀察到的下載程序有關。然而，這只是推測，因為我們沒有訪問KrCERT樣本，因此缺乏確鑿的證據。

TigerRAT變體回顧了代碼重用和聚類分析，我們可以通過代碼重用分析將所有RAT 連接到相同的TigerRAT家族。我們還看到，RAT變體比下載程序變體變化更大。例如，變體RAT-Kaspersky-x64和RAT-KrCERT-x64僅共享大約50%的代碼。

接下來，我們將進一步研究RAT變體。我們在函數和設計層面上提出了強有力的新證據，進一步將RAT變體歸為相同的TigerRAT惡意軟件家族。經分析，變體的主要區別在於它們實現的C2命令。

對於這個分析，我們將重點關注我們在之前建立的RAT-Kaspersky-x64、RAT-KrCERT-x64和RAT-Kaspersky-x86的代表。

各變體命令和函數讓我們看看在不同變體中找到的C2命令，下圖顯示了我們在其中一個RAT變體中觀察到的所有C2命令。由於缺少ids0x08和0x09的命令，因此我們推測，在野外還有未知的樣本包含這些命令。

在RAT三種變體中至少有一種可以使用的所有C2命令

接下來，我們將查看不同變體所支持的C2命令。

在不同RAT變體中發現的C2命令

我們看到，使用聚類分析自動識別的三個變量實際上是三個函數不同的變量。除了C2函數中的這些變化之外，這些變體的核心代碼在很大程度上是相同的。因此，本質上是C2命令定義了這三種變體。我們還觀察到“FileManager”、“ScreenCapture”、“SelfDelete”和“Shell”這四個命令對所有的變體來說都是通用的。

C2命令的通用接口我們找到了三個變體通用的接口，如下所示：