【安全资讯】Turla APT组织的ComRAT恶意软件分析

由俄罗斯赞助的APT演员Turla是活跃至少十年的间谍组织，它正在使用ComRAT恶意软件来利用受害者网络。该小组以其自定义工具和针对性的操作而闻名。

ComRat始于PowerShell脚本，该脚本将解码并加载标识为ComRAT版本4的64位动态链接库（DLL）。此ComRAT的新变体包含使用的嵌入式32位和64位DLL。作为通讯模块。通信模块（32位或64位DLL）被注入受害者系统的默认浏览器中。ComRAT v4文件和通信模块使用命名管道相互通信。命名管道用于发送超文本传输协议（HTTP）请求，以及从通信模块接收后门命令或从通信模块接收HTTP响应。它旨在使用Gmail网络界面来接收命令和提取数据。ComRAT v4文件包含FAT16格式的虚拟文件系统（VFS），

CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状态。在实施之前，任何配置更改都应由系统所有者和管理员审查，以避免不必要的影响。

1. 1.维护最新的防病毒签名和引擎。
2. 2.保持操作系统修补程序为最新。
3. 3.禁用文件和打印机共享服务。如果需要这些服务，请使用强密码或Active Directory身份验证。
4. 4.限制用户的能力（权限），以安装和运行不需要的软件应用程序。除非需要，否则请勿将用户添加到本地管理员组。
5. 5.实施严格的密码策略并实施常规密码更改。
6. 6.在打开电子邮件附件时，即使要使用附件并且发件人似乎是已知的，也请务必谨慎。
7. 7.在代理工作站上启用个人防火墙，该工作站被配置为拒绝未经请求的连接请求。
8. 8.在代理工作站和服务器上禁用不必要的服务。
9. 9.扫描并删除可疑的电子邮件附件；确保扫描的附件是其“真实文件类型”（即，扩展名与文件头匹配）。
10. 10.监控用户的网页浏览习惯；限制访问内容不佳的网站。
11. 11.使用可移动媒体（例如USB拇指驱动器，外部驱动器，CD等）时，请务必小心。
12. 12.执行之前，请扫描从Internet下载的所有软件。
13. 13.保持对最新威胁的态势感知，并实施适当的访问控制列表（ACL）。