分析NETWIRE *** 垂钓举动中对Process Hollowing的运用

访客5年前黑客文章665

无文件进犯是当时较为常见的一种进犯手法,歹意软件经过其payload来躲避检测,而无需在磁盘上编写可履行文件。无文件履行最常见的技能之一是代码注入——进犯者不需要直接履行歹意软件,而是将歹意软件代码注入另一个进程的内存中去履行。
PowerShell在一切Windows 7及以上的版别中都含有,而且支撑的特性非常多,因而PowerShell已经成为进犯者最常运用的东西之一。FireEye曾经在多个陈述中提及过PowerShell用于歹意软件初始传递期间或后缝隙运用阶段的业绩。运用PowerShell,进犯者能方便地与其他Windows组件进行交互,从而隐秘快速地履行他们的活动。
本篇文章讨论的是在2019年2月调查到的垂钓活动。它是一场无文件感染进犯,进犯者运用VBScript、PowerShell和.NET framework,运用process hollowing技能履行了代码注入进犯。经过运用.NET程序 *** 被直接加载到PowerShell内存中这一功能来履行歹意代码,而无需在磁盘上创立PE文件。
总结
图1展现了此次进犯中运用的垂钓邮件,其内容是诱导用户翻开存储在Google Drive上的文档。文件的称号标明参与者的方针是航空人员。咱们注意到越来越多的进犯者挑选运用云文件存储服务,为的是绕过防火墙约束来承载其payload。

图1.保管在Google Drive上的歹意脚本
图2展现了翻开脚本时Internet Explorer宣布的正告音讯,说无法验证发布者。但依据咱们的经历,许多用户会疏忽正告并翻开文档。

图2.Internet Explorer提示正告
履行期间。经过多层混杂之后,一个PowerShell脚本将被履行,该脚本会从长途URL加载. net程序集,并运用这些函数将终究payload(NETWIRE Trojan)注入到运用了process hollowing的良性Microsoft可履行文件中。这项动作是有或许绕过应用程序白名单的,因为进犯期间生成的一切进程都是合法的Microsoft可履行程序。
技能细节
初始文档里含有VBScript代码。当用户翻开它时,iexplore会生成Wscript来履行此文件。该脚本运用了多层混杂来绕过静态扫描器,并终究运转一个PowerShell脚原本履行二进制payload。
图3和图4展现了在不同等级的脚本履行期间运用的混杂技能。

图3.之一类混杂技能,它运用log函数来解析宽字符

图4.第二类混杂技能,它运用切割和替换操作
然后,此脚本从paste.ee处下载一个编码的.vbs脚本并履行,如图5所示。Paste.ee是对Pastebin的一种较低标准的代替计划,咱们在之前的许多进犯事情中也调查到过进犯者运用Paste.ee来承载其payload的事例。因为网站运用的是TLS(传输层安全协议),大多数防火墙解决计划无法检测经过 *** 下载的歹意内容。

图5.下载第二阶段脚本并创立调度使命
该脚本会将本身复制到Appdata / Roaming,并运用schtasks.exe创立一个VBScript的计划使命(每15分钟运转一次)来完成持久性。
在对下载的第二阶段VBScript进行进一步去混杂之后,咱们获得了经过shell目标履行的PowerShell脚本,如图6所示。

图6.去混杂的PowerShell脚本
该PowerShell脚本会从paste.ee上下载两个Base64编码的payload,payload里包含了二进制可履行文件。文件中的字符串将被存储为PowerShell脚本变量,而且不在磁盘上创立任何文件。
微软在PowerShell中供给了多种与.NET framework交互的办法,用户能够经过自定义开发的办法来增进这种交互。因为传统安全监督东西在.NET进程运转时,对其行为的可见性是有限的,因而运用PowerShell与.NET的集成对进犯者而言非常具有吸引力。出于这个原因,比如CobaltStrike和Metasploit之类的缝隙运用结构能够挑选在.NET汇编代码中生成它们的植入。
在此例中,进犯者运用了System.Reflection.Assembly .NET Framework类中的Load办法。将程序集作为System.Reflection.Assembly的实例加载后,能够经过这个类似于C#目标拜访成员,如图7所示。

图7:格式化的PowerShell代码
这段代码会标识核算机上已装置的.NET版别,并用它动态解析. net装置文件夹的途径。解码的dropper程序集作为参数传递给Load办法,生成的类实例将被存储为一个变量。
经过此变量能拜访dropper的目标并调用办法R。.NET dropper的办法R担任履行终究的payload。
以下是办法R的参数:
· InstallUtil.exe(或其他.NET framework东西)的途径
· 解码的NETWIRE木马
当咱们调查进犯期间发生的进程列表时(图8),并没有看到payload成为一个独自的进程。

[1] [2]  黑客接单网

相关文章

javaweb的常见web缝隙

 0x01 前语 材料来历: http://javaweb.org/?p=567 http://zone.wooyun.org/content/19379 http://drops.wooyun.or...

浏览器进犯结构BeEF Part 1

笔者发现国内很少有体系介绍BeEF结构的文章,所以笔者决议写一个系列。内容触及进犯浏览器的技能,首要介绍这些技能的原理,并怎么操作BeEF来完成,不触及浏览器自身缝隙(门槛太高,笔者有心无力)。 准备...

运用Python检测并绕过Web应用程序防火墙

Web运用防火墙一般会被布置在Web客户端与Web服务器之间,以过滤来自服务器的歹意流量。而作为一名浸透测验人员,想要更好的打破方针体系,就有必要要了解方针体系的WAF规矩。现在,许多WAF都是根据签...

RIG exploit kit:歹意活动剖析陈述

尽管攻击方式不算复杂,但是RIG仍然能通过一些恶意软件活动获得较大的流量。而那些利用被黑站点和恶意广告,重定向到RIG的流量,是通过服务端的302跳转机制,或者是通过客户端的iframe和JS脚本...

浅谈跨域威胁与安全-黑客接单平台

WEB前端中最常见的两种安全危险,XSS与CSRF,XSS,即跨站脚本进犯、CSRF即跨站恳求假造,两者归于跨域安全进犯,关于常见的XSS以及CSRF在此不多议论,仅议论一些不太常见的跨域技能以及安全...