前段时间在安全客上看到了这个邮件病毒的介绍,然后就想着整理下对该恶意邮件的分析,好让自己对该攻击的过程有个深刻的理解。
首先呢!对TSCookie做一下分析:TSCookie本身只充当下载器功能,可以从服务器中下载其他的模块,则恶意模块就能扩展自己的功能。TSCookie会下载一个DLL文件,这个DLL文件具备各种功能,其中就包括渗透功能(下文简TSCookieRAT) TSCookie刚开始时会发送一个HTTP GET请求,如下所示。发出去的消息经过编码处理,嵌入在头部中的Cookie字段。
1 | GET /Default.aspx HTTP/1.1 |
Cookie字段中包含的信息也经过RC4加密处理过(加密密钥为头部中的Date字段值)。恶意软件会将下载的模块加载到内存中,然后调用HTTP GET请求所获取的加载器来执行这个模块。
TSCookie的行为分析
该TSCookie使用HTTP协议与服务器进行通信,也会下载一个“模块”以及用来加载模块的一个“加载器”。恶意软件在资源区中嵌入了一个加密的DLL文件。当恶意软件执行时,就会将该DLL文件加载到内存中并加以执行。DLL文件会执行一些主要函数,比如与C&C服务器通信(某些情况下,主要函数并没有经过加密处理,会直接存放在恶意软件中。)
TSCookieRAT行为分析
TSCookie在加载TSCookieRAT时会附带一些参数,比如C&C服务器信息等。在执行时,TSCookieRAT会通过HTTP POST请求将被感染主机的信息发送给外部服务器(HTTP头部格式与TSCookie的一样)。TSCookieRAT会发送一个HTTP GET请求(HTTP头部载荷格式与TSCookie一样)。
通过这个请求,TSCookieRAT可以从C&C服务器那接收命令,所执行的功能如下所示
1 | 1、执行任意shell命令 |
命令执行的结果会发送给服务器,所使用的格式与第一个HTTP POST请求一样。