EMOTET使用一次性C2服务器-黑客接单平台

访客6年前黑客文章1175
SentinelOne研究人员剖析发现Emotet运用一次性C2服务器来绕过IP ACL和域名过滤的检测。 跟着Emotet这种模块化下载器的增加,进犯从单一进犯来引发大型灾祸。本文剖析Emotet用来绕过IP ACL和域名过滤的办法。 样本静态剖析 假如样本文件被符号为歹意的,研究人员想更多地了解该样本与其他Emotet样本的不同。研究人员看到的是一个XML文件: 文件的熵值大约为6,因而或许躲藏了什么,由于office文档的熵值一般都很高,而熵值高并不能标明文件的内容是歹意的: 剖析文件头部,研究人员承认XML文件测验模仿DOC文件: 提取加密的PowerShell 研究人员运用OLETools来提取嵌入的宏并检查文件的效果。 宏文件内容很大,可是假如复制到文件中就能够搜索其成果了。宏文件是经过高度混杂的,可是能够看出其运用字符串的形式。有很多的字符串运用+来链接到其他的字符串熵,一切研究人员运用sed来移除这部分的混杂内容: $: sed 's/" + "//g' 这儿的意图不是得到一个功能性的脚本。而是暴力搜索字符串,那么更佳的开端方位应该是powershell: $: sed 's/" + "//g' | grep -i powershell 这会回来空内容。由于宏并不是100%彻底反混杂了,因而研究人员再次运用了暴力破解的办法。下面开端移除字母: $: sed 's/" + "//g' | grep -i owershell 得到的内容为: zkAJGDhw = "oWersheLL -e JABEAFkAaQBhAGYAUw" 反编译base64字符串,办法如下: · 发动Test Lab VM; · 装置office; · 保存歹意DOC文件到虚拟机硬盘,并翻开doc文件; · 翻开procmon。 运用 Ctrl+t 来翻开树形企图,并找到WINWORD.EXE,能够看到PowerShell指令: 然后就能够提取base64编码的指令语法了: 解码和修正语法来检查其效果: 经过特别的变量和URL,研究人员判别这是通用的Emotet dropper指令,其间含有5个硬编码的URL来提取final payload: 有多个URL不只能够容错,还能够快速修正主机IP地址来修正DNS记载。假如 *** 设备不只过滤DNS,只是依靠IP的话,那么就能够保证无法有用检测进犯,依然很简单绕过。 验证C2服务器,搜索payload 研究人员运用cURL来向这些URL发送恳求,并检查那些域名依然活泼: 以上URL有302重定向,可是终究回来的是200呼应。 第二个URL不在服务于payload。403 forbidden呼应标明URL依然是活动的,但403过错或许是由于主体提供商删掉了内容。 第三个URL也不在服务于payload,由于回来的404过错代码,因而该主机应该也是活动的。 第4个URL应该依然是服务于Emotet payload的。 第5和第6个URL的行为和第2和第3个URL相同。 从这2个活动的URL上,研究人员获取了final payload: 这两个文件都与Emotet有关: Payload URL: zeAtqnKQbF SHA1 = a7f4a98536f65c027fc10c057e3873e6c4cee9be Saved File Name: 200.exe 履行payload 初始进程在从头初始化之后就间断了: [1][2]黑客接单网

相关文章

恶意广告:揭露在线广告的阴暗面-黑客接单平台

关于企业来说,要面对的最扎手应战之一便是在活跃阻挠歹意广告、答应内容继续在线和确保普通用户可拜访性之间把握平衡。在网络阅读器上装置根底广告阻拦东西并等待它进行全面维护的日子现已一去不复返了。一些网站为...

黑客接单需要保证金_如何黑进别人的手机

研究人员称,由于用户喜爱用名人、明星、球星、键盘字母的简略组合这类简略回忆的暗码组合,而进犯者也会用相同的暗码库去进犯用户的账户。 加之今年以来多个互联网巨子呈现用户信息走漏事情,发布年度最弱暗码列表...

除了FTP备份之外 你该试一试多备份

FTP(FileTransferProtocol)作为一种文件传输协议,是一种常见的备份方法,优点体现在其操作简略,可是,FTP相同具有一些无法战胜的缺陷,比如无备份版别办理,上传存在进制挑选问题。在...

黑客先接单后付款_黑客组织

效果:Windows PowerShell 将记载指令、脚本块、函数和脚本的处理,不管是以交互方法调用仍是经过主动方法处理9月// Based on blink::mojom::AppCacheBac...

红客联盟论坛,挂科找黑客改成绩没用,损友圈怎么找黑客黑钱

外网: 安卓手机一枚 /// <param name="context"></param>return $tmp;关于网马的解密,我运用到了Malzilia...

学习黑客技术_去哪里找手机黑客-网吧黑客哪里找

四、进犯时刻(改变趋势) 3  现代的缝隙运用东西变得越来越难以检测了,由于这些EK东西在规划时就会测验防止安全研讨人员的检测。 特别的,Angler EK还具有以下特性:inurl:help.asp...