新型在朝远控木马Woody 针对俄罗斯航空航天组织 RAT

Malwarebytes 要挟情报团队发现了一种新的远控木马，命名为 Woody RAT，钻研人员发现其在朝曾经存在至少一年。

攻打者最近应用 Follina 破绽来针对俄罗斯的实体动员攻打，依据注册的虚伪域名推测，攻打指标应该为名为 OAK 的俄罗斯航空航天与国防组织。

散发模式

Woody RAT 经常使用两种模式启动散发：紧缩文件与应用 Follina 破绽的 Office 文档文件。

早期的样本在 ZIP 文件中，伪装成俄罗斯特组织的文件。当 Follina 破绽发生时，攻打者也应用其启动散发恶意软件。全体攻打流程如下所示：

攻打流程

紧缩文件

Woody RAT 被打包在紧缩文件中发给受益者，这些紧缩文件是经过鱼叉邮件启动流传的。一些紧缩文件如下所示：

Follina 破绽

恶意文档（Памятка.docx）经常使用 Follina 破绽（CVE-2022-30190）来流传 Woddy RAT，诱饵文档名意为“消息安保备忘录”，其中罗列了关于明码和秘密消息无关的安保措施。

诱饵文档

攻打者在样本中留下了 PDB 门路的调试消息：

调试消息

许多 CRT 函数都是静态链接的，这使 IDA 发生了少量的剖析噪音。在初始化前，恶意软件经过以 0x8007 作为参数调用 SetErrorMode 来有效地屏蔽一切失误报告。

主函数

Woody RAT 经常使用 HTTP 与 C&C 主机启动通讯。为了标识每台陷落主机，恶意软件会依据主机消息生成 Cookie 值。主机消息包括网卡消息、计算机称号、卷消息，并且追加八字节的随机字符，尽量使 Cookie 能够成为惟一值。

经常使用 GetAdaptersInfo、GetComputerNameA 和 GetVolumeInformationW 失掉消息后，生成的 Cookie 会随着每个 HTTP 恳求一同发送。

get_cookie_data 函数

数据加密

恶意软件经常使用 RSA-4096 和 AES-CBC 来加密发送到 C&C 主机的数据，其中 RSA-4096 的公钥硬编码在二进制文件中，恶意软件在运转时应用 BCryptImportKeyPair 函数导入。

恶意软件在运转时经过生成 32 字节随机值失掉 AES-CBC 的密钥，经常使用 RSA-4096 算法对这 32 字节加密回传 C&C 主机。恶意软件和 C&C 主机同时经常使用这些字节应用 BCryptGenerateSymmetricKey 生成 AES-CBC 的密钥，该密钥在随后的 HTTP 恳求中用于加密和解密数据。

RSA 加密

AES 加密

C&C 恳求

恶意软件向 C&C 主机收回的第一个 HTTP 恳求是knock，为带有 Cookie 的 POST 恳求。恳求中蕴含 32 字节随机值，用于生成 AES-CBC 密钥，而这 32 个字节是经过 RSA-4096 加密的。

恳求头

前往的照应在解密后，蕴含尔后该主机与 C&C 主机通讯的 URL 门路。

随后，恶意软件动员submit恳求，将陷落主机关系环境消息回传，数据经过 AES-CBC 加密。环境消息如下所示：

目前恶意软件经过注册表项检测六个反病毒软件，区分为：Avast Software、Doctor Web、Kaspersky、AVG、ESET 和 Sophos。

最后，恶意软件会活期向 C&C 主机收回ping恳求。假设照应_CRY就继续坚持轮询，假设照应_ACK就会蕴含继续口头的命令。

C&C 命令

恶意软件经常使用一个特定线程与 C&C 主机通讯，并经常使用另一个线程来口头从 C&C 主机接纳到的命令。为了坚持线程同步，恶意软件应用事情和互斥锁。必定强调的是，一切通讯都是经过 AES 加密的。

命令口头

_SET 命令

_REQ 命令

EXEC 命令

INFO 命令

INJC 命令

SharpExecutor 和 PowerSession 命令

恶意软件还内嵌了两个 .NET 成功的 DLL 文件，区分为 WoodySharpExecutor 和 WoodyPowerSession。WoodySharpExecutor 允许恶意软件运转从 C&C 主机接纳的 .NET 代码， WoodyPowerSession 允许恶意软件口头从 C&C 主机接纳的 PowerShell 命令和脚本。WoodyPowerSession 经常使用管道来口头这些 PS 命令：

SharpExecutor 和 PowerSession 命令

DLL 允许的命令有：

恶意软件清算

创立命令线程后，恶意软件就会经常使用 ProcessHollowing 技术从磁盘中删除自身。首先创立一个挂起的记事本进程，而后经常使用 NtWriteVirtualMemory 将 Shellcode 写入挂起的进程。再经常使用 NtSetContextThread 重置线程入口点并复原线程。

自行删除

未知攻打者

钻研人员未能对该恶意软件启动归因，临时没有任何牢靠的证据能指向特定的攻打者开发了 Woody RAT。