Pekraut：新的RAT木马来袭，功能丰富

最近新出现了一个功能丰富的RAT名为Pekraut，经过分析后推测可能来源于德国。...



最近新出现了一个功能丰富的RAT名为Pekraut，经过分析后推测可能来源于德国。

在日常通过可疑路径检索新兴恶意软件时，一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注意。该样本是ConfuserEx加壳的 .NET 程序。

名为netRat.exe的该文件已上传到 VirusTotal。文件版本信息中的InternalName与OriginalFilename相同，版本信息还包含 2019 年的版权声明。

如下所示是 ConfuserEx 加壳的 Pekrau 样本的 PortexAnalyzer 的结果：



如下所示，是脱壳的 Pekrau 样本的 PortexAnalyzer 的结果：



通过相似样本检索，我们发现了第二个样本。该样本在前一个样本一天后被上传到 VirusTotal。该样本虽然没有加壳，但是使用了 Dotfuscator 加了混淆。第一个样本脱壳 ConfuserEx 后会得到几乎与第二个文件相同的文件。

混淆模糊了 .NET 符号的原始名称，比如类、变量、函数。我们没有发现任何未混淆的 Pekraut 样本，因此我们手动命名这些符号。去混淆后的样本也适用于本文的截图，请注意，这些符号名称不是源代码的一部分，不能以此作为检测签名。

Pekraut RAT 的命令列表

Pekraut 的客户端可接受 27 条命令，help命令可以得到命令的德文描述，但是命令本身还是英文的。某些命令没有提供解释性描述信息，例如dbg命令。如下所示，负责管理所有命令的类在命令列表中有七个占位符对象。可能是在打印所有命令的帮助描述时放置换行符的奇怪方式。



综上所述，除调试命令外，整个 RAT 的功能已经十分丰富了。恶意软件的作者对代码如此自信，以至于都忽略了阻碍分析的措施。下表总结了对命令实现的细节分析：

命令描述spy_cb读取剪贴板数据发送回 C&C 服务器，支持存储在剪贴板内的图像spy_keylogger记录键盘按键。支持以下特殊键 VK_OEM_NEC_EQUAL、VK_LShift、VK_RShift、VK_Scroll、VK_LMenu、VK_RMenu、VK_RControl、VK_LControlspy_mic使用设备的麦克风开始停止录制，将数据发送回 C&C 服务器spy_scr显示有关显示器的信息或为特定的屏幕截图，将数据发送回 C&C 服务器spy_cam使用设备的摄像头拍摄单张照片或将视频流传输到 C&C 服务器reg_list列出指定注册表项的所有子项和值reg_del删除注册表项，然后将删除项发送到 C&C 服务器reg_read读取注册表项，将数据发送到 C&C 服务器reg_value在注册表中创建/写入值proc_kill通过进程名称或 ID 终止进程proc_list将所有正在运行的进程名称发送到 C&C 服务器proc_start通过指定路径执行文件file_delete删除文件或文件夹file_download通过指定 URL 下载文件file_info将文件的文件名、扩展名、大小、创建日期、上次访问、只读属性发送回 C&C 服务器file_list将文件夹的所有文件与文件夹名称发送到 C&C 服务器，列出所有可用驱动器file_send将文件发送到 C&C 服务器exploit_admin_win10使用 Windows 10 UAC Bypass 以管理员权限启动给定程序pc_cmd通过 cmd.exe 执行命令，将输出发回 C&C 服务器pc_shutdown关闭计算机sysinfo将设备名称、用户名、操作系统、处理器体系接哦古、屏幕数量、摄像头数量、麦克风数量等信息发送回 C&C 服务器dbg目前为无限循环，根据命令猜测为调试客户端程序，但尚未完全实现exit与服务器断开连接自行终止help所有命令/描述信息client_err将最后一个错误发送到 C&C 服务器tasks将当前执行的命令发送到 C&C 服务器，并可以选择命令终止client_install通过使用 Pekraut RAT 的 install/uninstall 来安装/卸载客户端

通过 ComputerDefaults.exe 的 UAC 绕过

Pekraut RAT 利用 CoumputerDefaults.exe，该方法于 2018 年 10 月被Fabien Dromas在文章中提出。步骤如下：

创建注册表键HKCUSoftwareClassesms-settingsshellopencommand

创建无数据的HKCUSoftwareClassesms-settingsshellopencommandDelegateExecute的值

将要以管理员权限启动的程序的数据写入HKCUSoftwareClassesms-settingsshellopencommand(default)的值中

执行 ComputerDefaults.exe

由于存在 DelegateExecute 的值，ComputerDefaults.exe 将会执行程序。执行 ComputerDefaults.exe 之后，Pekraut 将会删除 UAC 绕过的所有注册表项。

Pekraut RAT 的安装/卸载

Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。

安装

将自身复制到%USERPROFILE%AppDataRoamingMicrosoftsvchost.exe

将 svchost.exe 文件设置为隐藏与系统文件。这将使该文件从常规文件系统中不可见，并且成为系统文件

注册表HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell值默认包含字符串 explorer.exe。Pekraut 将HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell追加到其后。这会在登录后执行 explorer.exe 和伪装的 svchost.exe

在C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupIExplorerUpdate.lnk处创建快捷方式文件，指向%USERPROFILE%AppDataRoamingMicrosoftsvchost.exe。由于快捷方式位置是硬编码的，所以对于系统不安装在 C 盘的计算机上不起作用

最后，会执行三遍 ping 8.8.8.8.然后删除原始文件并复制%USERPROFILE%AppDataRoamingMicrosoftsvchost.exe

卸载

将注册表键HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell恢复到默认值explorer.exe

删除创建的快捷方式

执行 ping 8.8.8.8 随后删除自身

安装与卸载设置

安装与卸载设置中共有九个配置选项和四个静态字符串（分别表示安装位置、安装子文件夹、复制文件名称和 Windows 快捷方式名称）。这些配置可能是使用恶意软件生成工具设置的，如下所示，除了useInstallSubFolder选项之外，此样本的其余选项均已启用。执行后文件会被复制到%USERPROFILE%AppDataRoamingMicrosoftsvchost.exe处。

连接 C&C 服务器

Pekraut RAT 的 C&C 通信使用 portfowarding 的portmap.io隐藏 C&C 服务器的真实 IP 地址。如此一来，服务器甚至可以使用攻击者的家用台式机。

Pekraut RAT 支持发送/接收以下类型的数据：按键、文本、图片、音频、视频、错误、文件、身份验证信息。文本数据通过配置文件中的 AES 密钥进行加密，其他数据使用 zlib 进行加密。



如上所示，端口使用 37648，认证 ID 为Nga8tG123hragGJjqt10jgag123，加密密钥为Ag2asgh2thGas37。

结论

目前为止，我们还没有看到其他样本出现，但是有迹象表明该恶意软件即将对外发布：

配置中显示版本号为 1.1

RAT 提供了丰富的功能可以批量创建修改版

为攻击者提供恶意软件构建工具的话就会发现更多版本

良性远程访问工具不会伪装 svchost.exe 和 Internet Explorer 更新进行持久化

IOC

cbc500b76995d36c76d04061c58ceaf93a1880af32be494e5ac1e099663ed0fd

2dab95abe3460e34954527e88223662a03512938a9a28ab57e7f0a8ec298f367

4a89c3676dd86531c1fefb4e76d49cc31dc07a1a68c149dd08967e6fd7f6135a

9dfffcbfb6537dc051b60f630ed1cd3f768bb0024a8e998752ab9ef6f4c30c65

C:Users\%USERNAME%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupIExplorerUpdate.lnk%APPDATA%Microsoftsvchost.exe

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell] = “explorer.exe, %APPDATA%Microsoftsvchost.exe”

[HKCUSoftwareClassesms-settingsshellopencommandDelegateExecute] = “”

[HKCUSoftwareClassesms-settingsshellopencommand(default)] =

*参考来源：GData，FB 小编 Avenger 编译，转载请注明来自 FreeBuf.COM

    关注 黑客与极客