xHunt:针对科威特航运组织的攻击行动-黑客接单平台

访客5年前关于黑客接单1177
2019年5月至6月,unit42安全团队在一起针对科威特航运业的进犯事情中,检测到了一个新后门东西——Hisoka,它的作用是下载几个的定制东西进行后缝隙运用,一切东西好像都由同一个开发人员创立,最早的一个东西其版别能够追溯到2019年7月。 东西的称号都借用了动漫《 *** 猎人》中的人物姓名,这也是此次举动“xHunt”称号的来历,如后门东西Sakabota、Hisoka、Netero和Killua,它们经过HTTP、DNS地道和电子邮件与C2通讯。除了上述的后门东西外,还有名为Gon和EYE的东西,供给后门拜访和进行后缝隙运用的才能。 经过比较剖析,2019年7月至12月期间针对科威特的进犯事情或许也与此有关。 活动细述 2019年5月19日,科威特航运部分体系上呈现了一个名为inetinfo.sys的歹意二进制文件。inetinfo.sys是Hisoka的后门变种,在代码中注明为版别0.8。要挟行为者是如安在体系上装置歹意文件的咱们还不得而知。 Hisoka拜访体系的两个小时内,又有两个东西——Gon和EYE布置到了体系上,其文件名分别是Gon.sys和EYE.exe。Gon的作用是长途体系上扫描敞开端口、上传下载文件、截屏、 *** 上查找其他体系、长途运转指令,以及创立长途桌面协议(RDP)会话。Gon既能够用作指令行实用程序,也经过图形用户界面(GUI)调用,如图1所示: 图1. Gon的GUI EYE东西则作为进犯者经过RDP登录到体系时的毛病稳妥,假如合法用户登录,将杀死进犯者创立的一切进程并删去其他标识。更多关于Gon和EYE的详细信息请参阅附录。 2019年6月18日至30日期间,科威特航运体系上又呈现了Hisoka的0.9版别,其间包括文件netiso.sys。6月18日,该文件经过服务器音讯块( *** B)协议从内部IT服务台帐户传输到另一个体系上,又以相同 *** 传输了名为otc.dll的文件。 otc.dll文件实际上是东西Killua,它也是一个简略的后门,能让进犯者运用DNS地道通讯,在受感染的体系上运转C2指令。根据字符串的比较,能够坚信Killua和Hisoka由同一位开发人员创立。Killua是咱们在2019年6月初次观察到的,或许是Hisoka的进化版,详情请拜见附录。 经过电子邮件与C2通讯 两个版别的Hisoka——v0.8和v0.9,均包括体系控制的指令集,都能经过HTTP或DNS地道与C2通讯,v0.9还添加了经过电子邮件与C2通讯的功用。 v0.9中添加的这项功用根据Exchange Web Services (EWS),经过Exchange服务器上的合法帐户与Hisoka通讯。一般来说,歹意软件登录到Exchange服务器后以发送接纳电子邮件的 *** 树立通讯,但v0.9则是创立邮件草稿来交流数据,这样不会检测到邮件的收支站行为。 要启用根据电子邮件的C2通道,进犯者需求在指令行上供给–E EWS ,后跟以下结构的数据: ; ; ; 用户名和暗码有必要是Exchange服务器上的有用帐户。 Hisoka创立邮件草稿作为接纳指令的告诉,类似于C2中的信标。邮件草稿的主题为“ Present”,邮件主体为空,“ To”字段中的电子邮件地址具有受感染体系的仅有标识符,附加后缀“ @ contoso.com”。图2显现了Hisoka创立的邮件草稿,可经过Outlook Web App登录帐户查看。 图2. Hisoka v0.9中,邮件草稿用作信标 宣布指令需求进犯者登录帐户,创立一个主题为“Project”的草稿,正文中包括了指令,为加密字符串 *** ,结构为字符串,下一行跟着一个base64编码的密文。在C2中,这个邮件通道没有运用过的痕迹,所以应该是以HTML邮件的 *** 发送的,由于Hisoka会查看邮件标签之后的三行——这是经过查看三个回车字符(r)来完成,咱们估测三个回车字符分别在:密文一行、符号完毕的一行和完毕的最终一行。 进犯者对每个字符异或操作来加密指令,并用值83(0x53)和base64对密文编码。图3显现了测验C2通道的邮件草稿,邮件通道宣布指令C-get C:WindowsTemptest.txt后,Histoka会将其解析为将文件上传到C:WindowsTemptest.txt的指令。 图3. Hisoka用于获取指令的邮件草稿 解析并运转指令后,Histoka创立另一封邮件草稿将成果发送回进犯者。草稿以“ Present”作为主题,体系仅有标识符和“ @ contoso.com”结构地址,音讯正文是包括指令呼应成果,加密 *** 跟上面所述相同。 Histoka将文件附加到邮件草稿中来上传文件。图4显现了Hisoka在收到文件上传指令后创立的邮件草稿,test.txt是测验的上传文件。 图4.Histoka v0.9,呼应上传文件指令的邮件草稿 尽管根据电子邮件的C2通道不是之一次在要挟活动中看到,可是运用邮件草稿和Exchange的状况仍是罕见的。 东西集重合 在咱们剖析科威特安排中发作的歹意软件活动时,咱们注意到Hisoka中的一些字符串跟之前的东西Sakabota存在必定相似性,该样本最早是在2019年7月左右发现的。对这两场活动剖析后咱们承认,Sakabota是Hisoka的前身。 Hisoka后门东西同享了Sakabota的很多代码,函数和变量称号的数量完全相同,标明由同一位开发人员创立。 [1][2][3][4][5][6]黑客接单网

相关文章

User Agent注入进犯及防护

CloudFlare公司常常会收到客户问询为什么他们的一些恳求会被 CloudFlare WAF 屏蔽。最近,一位客户就提出他不能了解为什么一个拜访他主页简略的 GET 恳求会被 WAF 屏蔽。 下...

从零开始学Fuzzing系列:带领nduja打破Grinder的壁垒

四年前开源的Grinder项目,和借助于它运转的nduja,着实让浏览器缝隙发掘飞入了寻常百姓家。但随着时刻的检测,Grinder也遇到了让人爱恨交加的为难:分明发生了Crash,可便是无法重现。有多...

使用视觉含糊测验技能探究zalgoscript

请咱们先调查下面这条JavaScript句子: ̀̀̀̀̀́́́́́̂̂̂̂̂̃̃̃̃̃̄̄̄̄̄̅̅̅̅̅̆̆̆̆̆̇̇̇̇̇̈̈̈̈̈̉̉̉̉̉̊̊̊̊̊ͅͅͅͅͅͅͅͅͅͅͅalert(̋̋̋ͅ...

一次射中可疑要挟情报的剖析探究

由于最近一段时刻里”驱动人生”这个病毒还挺抢手,最近发现经过一些安全厂商的设备发现内网里边有许多的主机都中了这个病毒瞬间吓哭了。后续经过对主机进行查看,竟然没有发现什么问题,后续发现是安全设备命中了一...

某HR业务网站逻辑漏洞挖掘案例以及POC编写思路分享-黑客接单平台

东西预备 BurpSuiteFree (或许咱们最喜爱最常用的抓包神器,需求Java环境); 火狐浏览器(个人比较喜爱的浏览器;360/Chrome等浏览器都能够); SwitchyOmega插件(设...

黑客接单网,找黑客改成绩成功了,怎么在百度贴吧找黑客

bash中会呈现已经对接的机器设备:拜会如下图在本实例教程中,我们作出了一些实例查看,搜索的是数据库查询中表和列的头衔。 为了更好地便捷过虑数据文件,他开了 wiresharkmsf exploit...