印度扣税（你以为在印度生活容易）

FortiGuard Labs最近捕获到了一个可疑的Excel文件，它声称自己是一个来自印度所得税部的所得税计算器。然而，事实恰好相反，它实际上是一个包含有xRAT木马新变种的恶意文件。

图1.恶意Excel文件的编译时间戳

执行时，恶意Excel文件将释放并执行xRAT，这是一种开源远程管理工具，属于QuasarRAT的一个分支。

虚假所得税计算器

如上所述，这个虚假的所得税计算器声称自己来自印度所得税部，并且使用了该部门的图标。

图2.虚假所得税计算器

当文件被打开时，它会立即执行嵌入的恶意宏​​代码。

需要说明的是，文件中的“CLICK & CALCULATE（点击并计算）”按钮实际上只起到用来诱使用户认为它是合法文件的作用。单击此按钮，仅会弹出一个消息框：

图3.用于弹出消息框的函数

它到底要做什么？

恶意宏代码首先会解码嵌入在Excel文件中的Base64编码数据，然后将解码的数据保存为“%AppData%\doubleenc”。

图4. Base64编码的恶意软件

图5.解码后的恶意软件

图6.用于解密恶意软件的XOR密钥

解密时，数据将被保存为“%AppData%\doubledec”。

图7. Base64编码的xRAT

doubledec文件仍然是Base64编码的。解码后，它将保存为“%AppData%\msword.exe”。

图8.被释放到%AppData%文件夹中的文件

当msword.exe执行时，它会释放一些文件到“%AppData%\Microsoft\Office\Excel”文件夹，包括xRAT。

图9.被释放到“%AppData%\Microsoft\Office\Excel”文件夹中的文件

其中，文件“3”和“4”都是使用不同.NET Framework版本编译的xRAT二进制文件，文件“Console Window Host.exe”则被用于确认系统上安装了哪个.NET Framework版本，然后根据.NET Framework版本选择要运行的文件。

接下来，Console Window Host.exe首先会将所选的文件重命名为“conhost.exe”，然后执行此文件并将其添加到自动启动注册表项。

xRAT 2.0

如上所述，xRAT是一个开源的远程管理工具，最新版本是2.0，源代码可以在Github上找到。

根据其自述文件，它具有如下功能。

图10. Github上有关xRAT 2.0的介绍

由于该远程管理工具是开源的，因此我们可以很容易看出攻击者做了哪些更改。首先来看看这个xRAT变种的配置文件，其中包含了有关其命令和控制服务器（C2）的信息。

图11. xRAT配置

从配置文件来看，这个xRAT变种连接到TCP端口63989上的xorc-49723.portmap.host。显然，它是想使用Portmap服务来将流量转发到C2服务器。值得一提的是，这也是QuasarRAT用来隐藏其真实C2服务器的常用技术。

不出所料，这个xRAT变种与其C2服务器之间的通信是加密的。

图12.端口63989上的加密流量

发送到C2服务器（或从C2服务器接收的数据）首先使用了QuickLZ进行压缩，然后使用AES加密。

图13. 流向/来自C2的流量

AES加密使用了生成的初始向量（IV）和配置文件中的密码MD5哈希值（即“#$aBcL”）来作为其密钥。

图14. AES加密

其他就没什么特别的了，这个xRAT变种的其他所有功能似乎都与原始源代码一模一样。

结论

随着印度纳税申报截止日期的临近，许多人都开始在网上下载所得税计算器，以便于估算应缴或应退的税额。

一些网络安全意识不强的人总是习惯于通过网络搜索来下载软件，甚至有一些人还会选择相信包含在未知来源电子邮件中的附件，根本不会在意这些网站合法与否、附件是否有害。

正是由于有这样的情况存在，每一年都会有一些攻击者能够在印度纳税申报期间屡屡得手，仅通过虚假的恶意诱饵文档就能够侵入一家又一家的企业。

,