布景账户暗码作为凭据信息的一个子集,一向都是用户最为注重当地,而从用户登陆机制呈现的那一刻起,凭据盗取类木马便连绵不断的呈现,就常见的Agentesla就是其间一种。
而近期, *** 病毒呼应中心发现多个运用CVE-2019-11882缝隙文档下载盗取用户凭据的歹意文档,最后会开释Agentesla变种。
样本剖析缝隙文档剖析钓饵名为Request for Quotation.doc,为一向的商贸信称号,中文翻译为报价要求。
文档发动之后缝隙在地址0x00415A7函数中触发,EAX的方位指向ShellCode保存的地址:ShellCode履行之后调用URLDownloadToFileA从bit.ly/33fuZgy(短链接经过解析之后地址为:hxxp://gessuae.ae/wp-includes/fonts/lav.jpg)下载payload到Local目录下,payLoad称号为X098765432198.exe。
调用WinExec履行该EXE,随后调用ExitProcess退出EQNEDT32.EXE公式编辑器。
即可在用户无感知的情况下侵略用户体系。
PayLoad剖析该样本为C#编写的可履行文件,该文件在进犯者服务器上称号为lav.jpg,下载到用户电脑之后的称号为X098765432198.exe,参阅编译时刻为2019年10月10号。
该EXE发动之后会在Main函数中获取资源称号为“compressed”的资源,调用Decompress解密该资源并在内存中履行。
Compressed资源数据解密并Dump脱壳之后实践也是一个C#编写的PE文件。
该EXE发动之后在Main函数之前会获取体系详细信息,包括实践出口IP地址、计算机称号、用户称号、体系版别信息、体系发动形式、物理内存大小、虚拟内存大小以及当时日期。
代码履行时运用的字符串均运用AES加密并进行Base64编码,每一个加密字符串对应一个不同的解密Key。
解密算法如下:经过ipconfig.me/ip获取出口IP地址:随后还会设置多个定时器,可是木马作者并没有调用Timer.Start()函数,所以实践中定时器并不会被触发。
Main函数中开端预备盗取受害者体系中保存的用户凭据:获取Chrome用户凭据信息:获取.purpleaccounts.xml” 即pidgin的密凭据信息:获取Vivaldi的凭据信息:获取FTP 凭据信息:获取Oprea浏览器凭据信息:获取OutLook凭据信息:获取UC浏览器凭据信息:360浏览器凭据信息:猎豹浏览器凭据信息:获取Thunderbird凭据信息:FireFox凭据信息:获取完结并格式化之后经过 *** TP发送到指定邮箱:除掉运用的 *** TP通讯 *** ,该PE中还集成了别的两种通讯 *** 。
程序中硬编码的字符串来决议经过哪一种通讯 *** :FTP通讯:Http通讯:当运用通讯时分运用”api.telegram.org/bot”接口,数据为:经过样本中代码剖析发现该程序还包括键盘记录功用:从传递的邮件内容来看十月三日到现在进犯者邮箱已连续收到三十五位受害者账号暗码的邮件,邮件内容包括受害者实在IP及用户保存在计算机中的凭据信息,现在受害者IP散布在全球十几个国家和地区。
总结从进犯者 *** 上来看,从他运用盗取的邮箱作为用户信息接收点,并运用侵略的网站作为C2,很明显的看出进行黑产木马职业的熟练程度,而相似这种进犯未来只会越来越多,只因追溯性难度大,常人不会消耗很多资源进行追捕。
*** 安全病毒呼应中心发现多个同源样本,阐明该样本背面的进犯者一向在改善样本功用,样本投递 *** 依靠nday缝隙, *** 安全呼应中心提示用户应及时装置体系补丁,防备此类歹意样本进犯。
IOCsC&C:bit.ly/33fuZgyhxxp://gessuae.ae/wp-includes/fonts/lav.jpg/wp-includes/fonts/yaa.exeMD5:缝隙文档:14F28BD8361AE90DBFABCB31767A356B歹意样本:FA94E348BABC6C9D0FEAF30F6808FA6271EA6FE86188E0B487EFBC30678115D0BF1D4F1808F9FFF09D11B8129D58D4C18EDA0309EE2D27408ADF1B**EBA14B82208F55B5AEC627FC100CAD0703CAF78BE8EA6BC7445469D4983661AA9191313D8D536592ACC6050087EE8B70F7E79C64B3B4CBEA2ACB120296A6C1EFA41864F5840072E60195F3F593768B3DF42CF99DCEBA49D659E272DCF60A9ACE17F6C52135961988631D38424F0D43ACDC3D6040C08304065BD1288863921A5B447946CC以上悉数数据来历互联网,如有侵权,请及时与咱们联络,咱们将进行删去,谢谢 "chromeos": "Alt+H",chrome.browserAction.onClicked.addListener(function(tab) {DWORD th32ModuleID; more_clear_headers 'X-Frame-Options';$member = getuserbyuid($memberfirst[uid], 1);
跟着技能日益日新月异,长途拜访东西对全球企业的安全性和生产力变得至关重要。