TA505在最新攻击活动中使用HTML, RAT和其他技术-黑客接单平台

访客5年前黑客工具929
TA505以运用歹意垃圾邮件和不同的歹意软件来进犯金融安排和零售企业而臭名远扬。研究人员在曩昔2个月检测到与TA505相关的进犯活动。在该安排的最近活动中,运用了HTML附件来传达歹意XLS文件,XLS文件会导致下载器和后门FlawedAmmyy,首要进犯韩国用户。 图1. TA505最新感染链 本文介绍与TA505相关的3个方面内容: · 针对特定区域的最新进犯活动; · 运用的技能和payload; · 与该安排相关的可疑活动。 研究人员还对最新的TA505发展进行了剖析,包括邮件盗取器、运用合法软件和MSI装置器等。 针对拉美和东亚区域的攻最新击活动 前面也提到了TA505首要进犯金融企业。从2019年12月起,TA505就十分活泼,并运用合法或被黑的RAT(remote access trojans),比方FlawedAmmyy, FlawedGrace和Remote Manipulator System (RMS)。 在监控这些活动时,研究人员发现该安排仍然在更新其TTP(办法、技能和程序)。2019年4月,TA505运用FlawedAmmyy RAT和RMS RAT作为payload进犯了拉美国家智利和墨西哥以及意大利。研究人员了解到该安排也开始运用FlawedAmmyy RAT作为payload进犯东亚国家,比方我国、韩国和我国台湾区域。 TA505最近运用LOLbins和合法的Windows操作体系进程来履行歹意活动和传达payload。作为进犯的进口点,进犯者运用含有歹意excel或word文件的邮件。该安排之前就乱用Excel 4.0宏来绕过宏检测。 图2. 韩语(左)、简体中文(右)的微软office提示怎么启用宏 图3. Excel 4.0宏 宏会履行一个指令来运用msiexec.exe来下载之一阶段payload,msiexec.exe是一个合法的微软装置东西,能够下载和运转Windows装置文件。之一阶段payload是一个MSI装置器,是用EXE to MSI converter创立的。 图4. 用EXE to MSI converter创立的MSI Installer 实在的歹意payload其实是一个MSI Installer包。不同进犯活动中的payload是不同,其间最常运用的有FlawedAmmyy 下载器、ServHelper和RMS RAT 启动器。 Payload:FlawedAmmyy下载器 MSI Installer自身含有一个通过签名的FlawedAmmyy下载器。 图5. FlawedAmmyy下载器 图6. 通过签名的FlawedAmmyy下载器 下载器会查看受感染的机器是否运转在活动目录(Active Directory,AD) *** 中。然后运转net group /domain指令来查看workgroup是否包括在输出成果中。通过查看后,会下载RC4加密的FlawedAmmyy RAT,然后解密并作为最终的payload来履行。 研究人员最近也发现一些没有通过数字签名的FlawedAmmyy下载器的实例,但FlawedAmmyy RAT payload都是通过签名的。 Payload: ServHelper ServHelper被分类为后门,但仍然能够作为FlawedGrace的下载器。假如MSI Installer包将ServHelper作为payload,就会有NSIS (Nullsoft Scriptable Install System) installer。 图7. NSIS Installer NSIS是一个用来办理Windows体系中装置的东西,但该东西被一些黑客乱用了。比方,TA505就乱用NSIS来装置ServHelper。NSIS installer有两个文件:(nsExec.dll和repotaj.dll)和[NSIS].nsi。后者是处理要装置的文件的配置文件。 图8. NSIS Installer sections 在本例中,repotaj.dll便是ServHelper,会被提取到%TEMP% 目录下,并用feast参数作为导出函数来履行。ServHelper履行后,就会运转一个PowerShell脚原本从受感染的机器中获取信息。 Payload:RMS RAT TA505在进犯活动中仍是用了合法的RAT——RMS。假如MSI Installer包括有RMS RAT作为payload,就包括一个自提的RAR。 图9. SFXRAR 该SFXRAR会提取出3个文件到%TEMP%,并履行其间一个文件。exit.exe 是 i.cmd的启动器,i.cmd重命名kernel.dll为uninstall.exe,然后用参数履行。 图10. SFXRAR提取的3个文件 [1][2]黑客接单网

相关文章

Web版勒索软件CTB-Locker PHP源码现身GitHub

勒索软件CTB-Locker呈现其Web演化版别,可感染网页站点。据剖析,其编码为选用PHP编写,现在源码已被保管至GitHub上。 Web版勒索软件CTB-Locker的初次呈现 就在本年西方情人节...

自己着手打造Fiddler挖洞插件

关于一个Web开发人员来说,Fiddler并不生疏。作为一款Web调试利器,它具有强壮的调试功用,灵敏的装备以及丰厚的可扩展功用。我在开发工作中,最喜爱的便是它的Inspectors和AutoResp...

综合利用SlickQuiz两个0-Day漏洞接管Uber的WordPress网站-黑客接单平台

本文叙述作者在参与HackerOne的H1-4420竞赛中,针对厂商Uber的某WordPress博客网站为方针,发现其内置问卷调查插件SlickQuiz最新版存在存储型XSS(CVE-2019-12...

浅谈RASP技能攻防之根底篇

本文就笔者研讨RASP的进程进行了一些概述,技能干货略少,倾向于遍及RASP技能。中心对java怎么完成rasp技能进行了简略的举例,想对咱们起到抛砖引玉的效果,能够让咱们更好的了解一些关于web运用...

开发一个基于Dalvik字节码的相似性检测引擎,比较同一款Android应用程序的不同版本之

上文咱们说过,《针对Dalvik字节码的类似性检测引擎,比较同一款Android运用程序的不同版别之间的代码差异》这篇文章计区分两个部分来解说,上文只介绍了怎么运用Quarkslab公司开发的diff...