提高恶意软件多任务处理能力的Babylon RAT

摘要

Cofense Intelligence最近分析了一起传播Babylon RAT（远程管理工具）的网络钓鱼活动。Babylon RAT是一个开源工具，可以处理多种任务，如加密C2通信、逃避网络安全控制、触发拒绝服务（DOS）攻击，以及窃取受害者数据等。

细节

此起网络钓鱼活动中传播了一个名为Babylon RAT的多功能开源远程管理工具。Babylon RAT的C2通信是加密的，允许动态域，并可以将客户端转换为一个反向SOCKS代理，以便进一步混淆。这种武器化的RAT具有多种实时客户端交互方法，能够进行信息窃取，它的管理面板还具有允许跨网络端点横向传播的特性。此 工具 功能齐全，如果使用得当，就有破坏任何组织的潜力。

Babylon RAT的客户端代码是用C＃编写的，并且依赖于.NET 4.5。管理面板（如图1所示）是用C ++编写的，它提供了管理多个服务器配置选项的功能，一个选项是端口号，当服务器启动时，管理面板将在其中打开并侦听；另一个选项是用于向管理面板验证感染的网络密钥。配置中还允许设置将要连接的IP版本。顶部的“File”下拉列表提供对了服务器、配置和payload构建器的访问。

图1：Babylon RAT的管理面板和管理选项卡

C2

客户端的二进制文件在执行后，创建的初始C2连接会硬编码到构建的二进制文件中。构建过程会建议使用动态域，以便可以在不中断通信的情况下更改IP地址。这种连接是经过编码的，包含有关受感染主机的指纹信息，包括IP地址、国家、用户名、PC名、操作系统(OS)细节，以及最终用户激活的程序窗口。在与C2进行初始通信之后，受感染的端点默认情况下将每5秒更新一次管理面板。从客户机发送到服务器的检入通知是由非常小的网络包组成，只有大约4-8字节大小。图2显示的管理面板中了列出了上述的信息。

图2：上面列出的Babylon RAT的管理面板和指纹信息

Babylon RAT能够将受感染的计算机转换为SOCKS代理，在版本4或5之间进行指定。版本的主要区别在于：版本5提供了从客户端到代理的身份验证，这有助于抵消来自第三方的滥用。通过SOCKS代理，威胁行为者可以创建一个加密隧道，让所有受感染的主机将其用作网关，从而进行网络捕获，并且威胁行为者仅需网络中的一个出口点，就能同时保持多个机器的感染。这意味着，如果一个威胁行为者可以与网络中的一个端点保持通信，那么他就可以横向传播，并使来自受感染客户机的C2网络的所有流量返回到这个端点。通过访问命令提示符和窃取的凭证，这将是非常简单的。这种技术还可以绕过不必要二进制文件的电子邮件和URL过滤。图3显示了SOCKS代理端点的详细信息和流经它的通信量。

图3：SOCKS代理选项卡和相关信息

客户端构建器提供了使用两个不同C2域以实现冗余的选项。 代理服务器结合使用将多个动态域与时，威胁行为者可以通过多个通道有效地在端点和客户端之间创建混淆的流量层。

图4：可用的监视选项

请注意图4中的密码恢复选项。密码恢复模块通过查看应用程序（包括Web浏览器）来获取凭证，但不收集OS用户凭证。不过可以猜测，使用上面的用户名和获取的几个密码，OS用户凭证也可能会受到损害。如果OS用户凭证受到损害，操作人员很容易打开远程命令提示符，并使用这些凭证登录到网络中的其他机器。如果成功登录到另一台机器，那么操作人员就可以让第二台机器下载/执行另一个有效负载。上述步骤需要自动化实现，但它确实反映了RAT的传播方法。图5显示了系统选项，包括远程命令提示符选项。

图5：允许进一步与受感染系统交互的系统选项

武器化

除了一系列功能之外，Babylon RAT还能够对受感染主机的目标产生拒绝服务（DoS）攻击。DoS特征可以设置为主机名或IP范围，并允许启动多个协议。协议都具有可调整的线程和套接字参数。威胁行为者可以选择让攻击来自单个协议或所有可用协议，将此命令发送到单个主机后，可以轻松地将命令复制到其他受感染的主机，从而有效地创建更大的分布式拒绝服务（DDoS）攻击。 图6显示了DoS攻击的配置，图7显示了将机器状态更改为DoS。

图6:DoS攻击可用的参数

图7：管理面板和执行DDoS攻击的多个受感染主机

总结

Babylon RAT是一个开源平台，允许参与者构建各种威胁行为。加密流量和创建SOCKS代理的功能可以帮助犯罪分子逃避网络安全措施。客户端构建器则绕过病毒检测，有助于二进制文件安全地到达端点。允许网络传播的过程意味着感染不限于一个端点。结合执行DoS攻击的能力，Babylon RAT可以在适当的环境中高效运行。通过适当的技术，教育用户识别并报告可疑电子邮件，可以尽量避免Babylon RAT活动。