以go语言编写的远程访问木马rat正在传播！athenago通过.pdfVIP

2 0 1 7 年 2 月 8 日 星期三 以 Go 语言编写的远程访问木马 (RAT) 正在传播！ AthenaGo 通过 “TorWords ”攻击葡萄牙受害者 本文由 Edmund Brumaghin 在Angel Villegas 的帮助下编写 摘要 Talos 以持续关注威胁形势为己任，致力于发现攻击者对全球组织实施攻击的方式所发生的变 化。我们发现了一起通过恶意Word 文档进行传播的独特恶意软件攻击活动。此攻击活动似乎 针对葡萄牙的受害者发起攻击。此款被传播的恶意软件有许多值得关注之处。其作者在源代码 工作目录中称此恶意软件为 “Athena ”，而它所使用的C2 域也以 “athena”从开头，因此我 们称此恶意软件为 “AthenaGo ”。我们无法找到关于此特定恶意软件AthenaGo 的详细分析， 它似乎是一个远程访问木马(RAT)，得到攻击者的指令后，还可以在受感染系统上下载并运行 其他二进制文件。此恶意软件采用Go 编程语言编写。以Go 语言编写的基于Windows 的恶 意软件并不常见。此外，此恶意软件使用的命令和控制(C2) 通信利用了Tor2Web 代理，这 也在一定程度上体现了一种趋势- 许多恶意软件作者越来越依赖此类代理服务。由于这是一个 值得关注的独特感染链，Talos 决定对此恶意软件本身以及传播它的攻击活动进行深入研究。 初始感染媒介 此恶意软件通过使用包含恶意宏的Microsoft Word 文档完成初始传播，此恶意宏负责下载 Go 二进制文件并在系统上执行该文件。包含宏的Word 文档似乎经过了特殊设计，以使用葡 萄牙语的受害者为目标。提示用户启用宏以查看文档的消息是以葡萄牙语显示的。此外，与 此攻击活动相关的所有恶意Word 文档最初均是从位于葡萄牙的源上传至VirusTotal 的。 图1：恶意Word 文档示例 上述Word 文档内的品牌符号是葡萄牙国家邮政服务机构CTT Correios de Portugal, S.A. 使 用的徽标。恶意文件中包含的宏作为恶意软件下载程序，包含宿主于 hXXp://teenhangout[.]tk/data/msguard.zip 的恶意Go 二进制文件的ZIP 存档。然后，宏下载 程序会解压缩可执行文件并运行，从而使系统遭到感染。在已分析的所有恶意文件样本中， 文件元数据中的作者字段是一致的（参见图4 ）。 图2：宏下载程序示例 一旦执行此恶意软件，它便会将文件放到以下目录位置，从而持久留存在受感染的系统上： %USERPROFILE%\Start Menu\Programs\Startup\msguard.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msguard.exe 二进制文件详情 Athena HTTP/IRC 僵尸程序已肆虐数年之久。它旨在针对目标环境执行各种类型的DDoS 攻 击，实施按安装次数付费(PPI) 欺诈等。一份早期版本的Athena 源代码已在网上泄漏。此恶 意软件似乎并不属于同一个恶意软件系列，也不具备同样的功能。 其中最有趣的一点是，此恶意软件是以Go 编程语言编写的。尽管AthenaGo 不是第一个以 Go 语言编写的恶意软件，但与其他编程语言相比，以Go 语言编写的基于Windows 的恶意 软件是极为少见的。Go 语言会将大量信息添加到编译的二进制文件中。这些信息可以简化分 析，因为分析师可以通过查看这些信息来确定恶意软件具备的功能。对恶意二进制文件和相 关人为因素的分析提供了我们所分析的Go 样本中大部分功能的相关信息。 图3：二进制人为因素 有趣的是，在源文件路径中指明的用户名与用于传播此恶意软件下载程序的恶意Word 文档 中的作者字段是匹配的。 图4 ：Office 文档元数据 C2 通信 在分析与AthenaGo 相关的C2 通信的过程中，我们在此恶意软件中发现了它在感染后攻击 的两个硬编码域。它们都使用了Tor2Web （一个软件项目，允许Tor 网络外的请求客户端系 统访问Tor 网络中的资源）。Tor2Web 服务器起代理的作用，并允许客户端访问将内容托管 在Tor 上的服务器，而无需安装本地Tor 客户端应用程序。此方法越来越受到网络罪犯的青 睐。通常，他们可以使用Tor