解析NanoCore犯罪软件攻击链-黑客接单平台

访客6年前黑客工具1301
*** 犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行,它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用,而且还能躲藏额定的payload。 近来,Cybaze-Yoroi ZLab发现了一类风趣的样本,它是Nanocore长途管理东西(RAT)的变种之一,用到了Delphi封装器。下面是Yoroi实验室对此样本的剖析。 技能剖析 Nanocore RAT是一种“通用的”歹意软件,经过操作它的客户端进行进犯对一般人而言没什么太大难度。此次进犯事情中,进犯者瞄准了意大利的奢侈品职业,进犯由一封伪装成来自银行的垂钓邮件开端。 图1:部分截取的垂钓邮件 附件是一个7z格局的存档文件,包括一个Adobe Acrobat图标的有用PE文件,看来进犯者企图经过一个简略的手段来让用户信任它是一个合法的PDF文件。该PE可履行文件信息如下: 表1:Nanocore dropper/ NanoCore RAT的静态信息 接着咱们在样本上提取了一些静态信息: 图2:有关“trasferimento.exe”dropper / NanoCore RAT的信息 该样本是用“BobSoft Mini Delphi”编译器编译的,有两个重要特征:一是高水平的熵; 二是可履行文件中假造的编译时刻戳。 履行歹意软件时,咱们注意到歹意软件会履行一些查看来躲避检测。 图3:歹意软件查看的进程 上图展现了歹意软件所查看的一些进程,此操作是经过运用经典的Win32 API调用“CreateToolhelp32Snapshot”和“Process32Next”来履行的。 图4:用于查看翻开东西的API调用 假如查看的进程中没有一个处于活动状况,歹意软件就可以继续进行实践的感染:将Nanocore RAT的实践payload写入“%TEMP%”文件夹中。 图5:由加载程序和相关API调用编写的NanoCore payload payload会进一步加载到内存中,风趣的是,该payload在没有经过任何加密或混杂。 图6:嵌入在“trasferimento.exe”样本资源中的有用负载与写入%TEMP%文件夹的“non.exe”之间的比较 如上图所示,“trasferimento.exe”Delphi包装器有许多嵌入式资源(左边),其间一个包括整个Nanocore RAT的payload。右侧咱们列出了一个名为“2035”的资源和实在payload之间的差异剖析,“2035”左上角黄色杰出的是要在机器上植入的payload称号——“non.exe”,后续代码是相同的,也没有任何维护。“trasferimento.exe”组件运转计划使命以保证其持久性。 图7:歹意软件设置的使命调度程序 此刻,歹意软件会创立一个带有伪随机称号的xml文件,该称号包括其在核算机上持久性的装备。创立此文件后,歹意软件会生成“non.exe”进程,然后经过以下命令行从头生成本身。 schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpC5A7.tmp”schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpCB59.tmp” xml装备文件的主体如下: InteractiveToken HighestAvailable Parallel false false true false false false false true true false false false PT0S 4 ”C:UsersadminDesktoptrasferimento.exe” $(Arg0) 这两项计划使命的差异在于,一个引证“trasferimento.exe”进程,另一个引证“non.exe”进程。 它似乎是一种生计机制,在这种机制中,这两个进程都在起作用,并坚持感染的存活。[1][2]黑客接单网

相关文章

代码审计之Fiyo CMS事例共享

Fiyo CMS是小型的商务电话服务及移动协作东西,由一名前职业学校学生初次开发和创立的,后者其时在RPL的SMK 10三宝垄学习。 那时他的姓名不是Fiyo CMS,而是Sirion,它是Site...

根据时延的盲道研讨:受限环境下的内容回传信道

在一次缝隙赏金活动中,挖到个指令注入的洞,我先以时延作为证明向厂商提交该缝隙,厂商以国内网络环境差为由(确实得翻墙)拒收,几回交流,奉告若我能取回指定文件 secret.txt 才认可。方针是个受限环...

怎么高效使用你所“绑架”的HTTP会话?

HTTP会话绑架 HTTP是无状况的协议,为了保持和盯梢用户的状况,引入了Cookie和Session,但都是根据客户端发送cookie来对用户身份进行辨认,所以说拿到了cookie,就能够取得vic...

你还在重视勒索病毒?他人现已转行挖矿

导语:近来,腾讯游戏安全中心捕获一款网吧内传达的歹意软件。原以为是惯例的网吧盗号木马,但详细剖析之后发现并非如此。经证明该歹意软件是现在发现的首款运用Windows SMB缝隙传达,开释虚拟钱银矿机挖...

怎么脱节Google的影响,完成一个完全无Google要素的网络环境

本文我得先从我最近参加的一个安全检测项目开端谈起,本次的客户是一家企业,不得不说,本次咱们的客户的安全防护做得非常好。他们的安全运营中心(SOC)装备了许多先进的内部反常检测东西以及坚强的作业呼应团队...

被黑的Drupal网站被用来挖矿,传达远控,发送欺诈邮件

黑客正在使用最近Drupal CMS中的已知缝隙,例如Drupalgeddon2和Drupalgeddon3来传达挖矿软件、长途管理工具(RAT)和以技术支撑为名的诈骗邮件。 两个缝隙编号为CVE-...