EMOTET使用一次性C2服务器-黑客接单平台

访客6年前黑客文章1180
SentinelOne研究人员剖析发现Emotet运用一次性C2服务器来绕过IP ACL和域名过滤的检测。 跟着Emotet这种模块化下载器的增加,进犯从单一进犯来引发大型灾祸。本文剖析Emotet用来绕过IP ACL和域名过滤的办法。 样本静态剖析 假如样本文件被符号为歹意的,研究人员想更多地了解该样本与其他Emotet样本的不同。研究人员看到的是一个XML文件: 文件的熵值大约为6,因而或许躲藏了什么,由于office文档的熵值一般都很高,而熵值高并不能标明文件的内容是歹意的: 剖析文件头部,研究人员承认XML文件测验模仿DOC文件: 提取加密的PowerShell 研究人员运用OLETools来提取嵌入的宏并检查文件的效果。 宏文件内容很大,可是假如复制到文件中就能够搜索其成果了。宏文件是经过高度混杂的,可是能够看出其运用字符串的形式。有很多的字符串运用+来链接到其他的字符串熵,一切研究人员运用sed来移除这部分的混杂内容: $: sed 's/" + "//g' 这儿的意图不是得到一个功能性的脚本。而是暴力搜索字符串,那么更佳的开端方位应该是powershell: $: sed 's/" + "//g' | grep -i powershell 这会回来空内容。由于宏并不是100%彻底反混杂了,因而研究人员再次运用了暴力破解的办法。下面开端移除字母: $: sed 's/" + "//g' | grep -i owershell 得到的内容为: zkAJGDhw = "oWersheLL -e JABEAFkAaQBhAGYAUw" 反编译base64字符串,办法如下: · 发动Test Lab VM; · 装置office; · 保存歹意DOC文件到虚拟机硬盘,并翻开doc文件; · 翻开procmon。 运用 Ctrl+t 来翻开树形企图,并找到WINWORD.EXE,能够看到PowerShell指令: 然后就能够提取base64编码的指令语法了: 解码和修正语法来检查其效果: 经过特别的变量和URL,研究人员判别这是通用的Emotet dropper指令,其间含有5个硬编码的URL来提取final payload: 有多个URL不只能够容错,还能够快速修正主机IP地址来修正DNS记载。假如 *** 设备不只过滤DNS,只是依靠IP的话,那么就能够保证无法有用检测进犯,依然很简单绕过。 验证C2服务器,搜索payload 研究人员运用cURL来向这些URL发送恳求,并检查那些域名依然活泼: 以上URL有302重定向,可是终究回来的是200呼应。 第二个URL不在服务于payload。403 forbidden呼应标明URL依然是活动的,但403过错或许是由于主体提供商删掉了内容。 第三个URL也不在服务于payload,由于回来的404过错代码,因而该主机应该也是活动的。 第4个URL应该依然是服务于Emotet payload的。 第5和第6个URL的行为和第2和第3个URL相同。 从这2个活动的URL上,研究人员获取了final payload: 这两个文件都与Emotet有关: Payload URL: zeAtqnKQbF SHA1 = a7f4a98536f65c027fc10c057e3873e6c4cee9be Saved File Name: 200.exe 履行payload 初始进程在从头初始化之后就间断了: [1][2]黑客接单网

相关文章

黑基论坛,找先办后付的黑客qq,怎么找黑客帮忙找回qq

MS Office Macro生成office宏病毒文件; pic_text_path = './12306_pic/%s_text.jpg' % pic_file echo `$a` >...

国际顶级黑客接单网站是骗子吗_找深圳当地腾讯黑客

4、12345678 (↓ 1) url.mojom.Url document_url,无V2版别国际顶级黑客接单网站是骗子吗,找深圳当地腾讯黑客 随后判别当时进程途径是否为%USERPROFILE%...

手机号码出售_找黑客改四级-找黑客攻击群

翻开Redis的通道 -p <port ranges>: Only scan specified portsId Name手机号码出售,找黑客改四级 if (!isset($_SES...

中文点选验证码之自动识别

某次测验中遇到了汉字点选的验证码,看着很简略,尝试了一下发现有两种简略的识别方法,总算有空给重新整理一下,共享出来。 0×01  验证码的获取 首要获取验证码。因为网站比较特别,就不以他们的为例,自...

怎么查看微信登录痕迹_那里可以找到黑客联系方式-受骗之后找黑客

「怎么查看微信登录痕迹_那里可以找到黑客联系方式-受骗之后找黑客」Password:  哈哈,00切断成功了。 4.网络装备文件有两个: /// <param name="sql"...

酒店记录查询_到什么网上找黑客-找黑客攻击网吧违法吗

「酒店记录查询_到什么网上找黑客-找黑客攻击网吧违法吗」图5 post提交无法绕过“Order by 23”正常,23代表查询的列名的数目有23个 }powershell.exe -nop -w hi...