Ostap:超过34,000行的JavaScript下载器用于TrickBot分发活动中-黑客接单平台

访客6年前黑客文章667
要挟行为者在损害体系时,一般需求考虑怎么进入方针 *** 才干防止被检测到,而传递歹意附件的 *** 垂钓邮件往往就充当了初始感染前言的人物。 此外,攻击者还需求一种办法,在安全监控产品的眼皮底下履行代码。最常见的一种代码履行技能便是运用解说脚本言语,能够在操作体系上运转而不需求额定的依靠联系。以Windows为例,遭到攻击者喜爱的言语包括PowerShell、VBScript、 *** cript、VBA,以及乱用cmd.exe来履行指令。 攻击者和防御者的联系就像猫和老鼠,在前进的道路上不断追逐。咱们常常看到歹意行为者为了添加侵略的成功率,花了许多心思在东西改善上,尤其是最开端损坏体系的下载器上。 2019年8月初,咱们注意到传达TrickBot的垂钓邮件举动中开端呈现了Ostap的身影,这是一种根据JavaScript的商业下载器。在曩昔,传达TrickBot的活动往往依靠于运用了混杂shell指令,或是PowerShell指令的下载器,再由VBA AutoOpen宏触发,然后下载并履行歹意payload。 在本文中,我将解说怎么对Ostap进行反混杂处理,并描述我编写的Python脚本(deobfuscate_ostap.py),该脚本能够主动对此 *** cript歹意软件进行反混杂处理,可在GitHub上下载。 TrickBot,也被称为The Trick,是一种模块化银行木马,被至少三个要挟团伙运作过,分别是TA505、Grim Spider和Wizard Spider。尽管根据javascript的下载器并不新鲜,但TrickBot最新的下载器以其巨细、虚拟机检测和反剖析办法而出名。曾有剖析人员做过检测,Ostap样本在两个不同的公共沙箱中的生成并不完好,也没有下载各自的TrickBot payload。此外,上传到VirusTotal的样本在初次上传时检测率仅有6/55(11%),这标明Ostap可有用避开大多数反病毒检测。 图1.Ostap样本的VirusTotal检测 Ostap——TrickBot的 *** cript下载器 下载器的意图是从一个或多个长途服务器上检索及运转次级payload,它们的功用往往比较简单,即便混杂后,也很少有超越几百行代码的。Ostap却彻底不符合这一规则,由于它非常大,包括了近35,000行经过美化的混杂代码。历史上的TrickBot活动标明,操作人员为了绕过检测,用的混杂层数往往比其他歹意软件要多。 图2.Ostap样本的行,字和字节数,有34,757行 宏剖析 下载器伪装在一个启用了宏的Microsoft Word 2007的文档里,文档包括下载器的两个组件:VBA宏和 *** cript(图3)。电子邮件订单买卖为主题,标明这些活动或许旨在针对企业而非个人。 图3.下载器的钓饵文档 下载器的 *** cript组件以白色文本的方式存储在文档正文中,然后导致单词和页数较高。 图4 .钓饵文档中的 *** cript VBA宏保存在名为“Sorry”的项中。翻开文档时,它首先将 *** cript复制到用户默许Word模板目录 (%AppData%MicrosoftTemplates)中名为2angola.dot和2angola.dotu的文件中。该进程由Document.Open事情触发。 图5.翻开文档时运转的带注释的VBA代码 宏的其余部分仅在文档封闭时运转,这是经过监督Document.Close事情来完成的(图6)。这是一种反沙箱办法,运用不会仿照用户活动的沙箱来阻挠行为剖析,例如封闭文档的动作。 图6.文档封闭时运转的带注释的VBA代码 假如文档已封闭,宏将2angola.dot重命名为2angola.Jse然后运转它,过程如下: 1、宏从Win32_Process WMI类调用Create办法,以2angola.Jse作为指令行参数运转新的Explorer.exe进程(图7)。[13] 2、当Explorer.exe进程已经在运转,需求创立一个的新的时,将运用/ factory {75DFF2B7-6936-4C06-A8BB-676A7B00B24B} -Embedding指令行参数创立(图8)。 CLSID对应于名为“CLSID_SeparateMultipleProcessExplorerHost”的ProgID。 3、Explorer运用Windows脚本宿主(WScript.exe)运转2angola.Jse,这是 *** cript编码文件(. *** E)的默许文件处理程序,如图9所示。2angola.dot的文件扩展名重命名为.Jse保证由WScript.exe翻开。这种默许的文件关联性,意味着宏能够经过直接引证WScript来躲避检测,WScript是一种一般在宏的上下文中用于歹意意图的程序。 图7.Sy *** on事情显现了一个Explorer.exe进程,它在WMI Provider Host (WmiPrvSE.exe)发动后运转 *** cript文件 图8.Sy *** on事情显现由参数 /factory,CLSID {75DFF2B7-6936-4C06-A8BB-676A7B00B24B} -Embedding创立的新Explorer.exe进程[1][2][3]黑客接单网

相关文章

根据SQLite数据库的Web应用程序注入攻略

SQL注入又称hacking之母,是形成网络世界巨大损失而臭名远扬的缝隙之一,研究人员现已发布了许多关于不同SQL服务的不同进犯技巧相关文章。关于MSSQL,MySQL和ORACLE数据库来说,SQL...

Nginx 防SQL注入

SQL注入原理,在URI页面加参数查询数据库,假如程序没有严厉过滤字符串,就有或许导致SQL注入 咱们能够在前端Nginx过滤URI来避免SQL注入。装备如下 什么是URL和URI,举例说明: 衔接...

代码审计系列第二节——SQL注入

 经过第一节给咱们简略介绍了一下代码审计简略运用,那么第二节,咱们来介绍一下,使用东西和手艺进行缝隙发掘。为了咱们能对sql注入有更好的学习和收成。引荐咱们几个学习php根底的网站 Imooc.co...

服务器遇到大流量进犯的处理进程

 事例描述 早上接到 IDC 的电话,说咱们的一个网段 IP 不断的向外发包,应该是被进犯了,详细哪个 IP不知道,让咱们检查一下。 按理剖析及解决办法 首要咱们要先确定是哪台机器的网卡在向外发包,还...

怎么打造“钢筋混凝土”型的网络环境

简化、优化你的补丁办理 许多进犯机制,都是针对未修补的体系。所以,不论你的网络是否对外开放,都应该定时更新操作体系和应用程序。尽管这个主张归于陈词滥调,但从另一个旁边面也说明晰该主张的重要性。 关于W...

看我怎么发现比特币赌博网站缝隙并收成$12000赏金

Web浸透测验中比较难的便是测验那些交互较少的使用了,当你尝试了各种缝隙使用办法而无效之后,很或许就会抛弃了。但有时分,这种花费时刻的投入和研讨,对白帽本身的技能进步来说,仍是十分有用的。这儿我就共...