俄罗斯网军使用木马收集杀毒软件日志，并使用Gmail作为C2

---

Agent.BTZ，是一个拥有十几年历史的蠕虫病毒。

早在2008年，俄罗斯特工在中东美国基地附近扔的带有Agent.BTZ病毒的U盘，然后被阿富汗附近的官兵捡到插入了电脑，从而成功入侵了美国中央司令部位于中东地区的网络系统，以至于通过不断的感染传播，最后居然出现在了美国五角大楼总部的计算机中。

这便是著名中东U盘而导致恶意软件慢慢传回了五角大楼总部的经典案例。

而后来通过关联也发现，该蠕虫病毒实际上和俄罗斯APT组织Turla有很大的关系。这个拥有十多年历史的病毒，经过一次又一次的更新迭代后，也变成了如今的名为ComRAT的远控木马。

而ESET的安全研究人员最近发现了ComRAT的新攻击。

新的攻击发生在2020年1月。Turla使用ComRAT攻击了高加索国家议会和东欧的两个外交部。

而有趣的是，ComRAT在这次更新中增加了一些创新功能。

这些功能的第一个功能是恶意软件能够从受感染的主机收集杀软的防日志，并将其上传到其命令和控制服务器。

黑客组织的确切动机始终是未知的，但是分析该恶意软件的ESET研究人员Matthieu Faou称，Turla组织可能正在收集防病毒日志，以“让他们更好地了解是否其中一个恶意软件样本是否被杀软检测到。”

等于就是说，Turla组织通过投放木马的行为，去测试其中一个样本是否被杀软检测到，当收到日志之后，他们就可以自行改进恶意软件了。

还有就是很重要的更新功能，通过Gmail的web界面接收命令并窃取数据。

首先，木马会读取/etc/transport/mail/mailboxes/0/command_addr中的电子邮件地址

并从/etc/transport/mail/mailboxes/0/cookie中读取cookie以在Gmail上进行身份验证，这些cookie的生命周期通常有限，因此应不时更新。

cookie文件内容的简化图如下

通过cookie登陆的演示图

然后，木马使用Gumbo HTML解析器解析收件箱HTML页面，以提取电子邮件列表。

然后遍历每封电子邮件，并提取下载附件。

附件一般伪装成名称如document.docx和documents.xlsx的文档。

下载后会删除该邮件

实际上该附件为一组数据拼接的二进制文件，解密后就会出现后门指令

而根据发送的命令，ComRAT也会创建一个电子邮件，附上一些信息再放到原先存放邮件地址的文件夹，并通过同样的方式发回Turla后端

报告下载地址：

https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf

多喝热水