JasperLoader:主攻意大利的恶意软件加载器-黑客接单平台

访客6年前黑客资讯920
在曩昔的几个月里,呈现了一种名为JasperLoader的新式歹意软件加载器,它以意大利和其他欧洲国家为方针,分发Gootkit等银行木马。咱们最近也宣布过JasperLoader相关特性的全面剖析,在陈述宣布后不久,与之有关的分发活动就中止了。但经过几周的埋伏之后,咱们发现JasperLoader的一个新版别正在传达。与初始版别比较,此版别有几个改动和改善的当地。JasperLoader通常用额定的歹意软件payload来感染体系,这些payload可用于走漏灵敏信息、损坏体系或对安排发生其他负面影响。 此次举动背面的进犯者有计划地操控歹意软件的传达,还采取了相应的办法防止安全人员的剖析,一起用到了一种新的机制来改善受感染体系和C2之间的通讯。现在,JasperLoader还在持续对意大利分散着要挟,进犯者也未连续对此歹意软件的改善工作,使之变得越来越杂乱,在未来咱们可能会看到JasperLoader的多种版别。 歹意软件分发上的改动 正如咱们之前在对JasperLoader的剖析中所说到的,JasperLoader采用了一个多阶段的感染进程,其特点是运用了几种混杂技能,使得剖析愈加困难。在感染初始阶段,进犯者运用一个名为Posta Elettronica Certificata (PEC)的服务来分发歹意邮件,PEC是一种经过认证的电子邮件服务,2019年头,意大利经过了PEC相关法案,这项新立法要求意大利企业运用电子发票来交给B2B和B2C买卖的发票。进犯者嗅觉敏锐地认识到了能够运用新方案添加自身的可信度,诱使更多受害者翻开歹意邮件。 不过现在,进犯者对歹意软件分发的 *** 做了一些改动。 咱们开端看到的样本中,邮件带着了一个ZIP文件,其间包含VBS文件,一旦翻开便会敞开感染进程。而在当时版别中,进犯者不再直接运用附件。 上图是初始样本的邮件内容,由意大利语编写,并带有一个歹意附件,该邮件标题为“postacert.eml”,翻开电子邮件后会弹出以下内容: 上图则是此次进犯中发现的新样本,也是分发进程开端开端改变的当地。电子邮件不再带着附件,可是有一个超链接转到地址hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip,一起链接结尾加上了邮件中的一个参数。例如,完好的URL是hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip?214299,数字214299是电子邮件自身中引证的数字。该地址看似没什么问题,会得到来自Web服务器的HTTP 302呼应。 HTTP 302是用于暂时移动的重定向代码,多年来一向被进犯者乱用,比方几年前盛行的运用302缓冲的缝隙运用工具包。 该链接会重定向到www.cnnic [.] cn,即我国互联 *** 信息中心(CNNIC)。明显,这个域名对用户而言是无害的,只会让他们感到一头雾水,所以咱们决议开端研讨潜在的地舆定位。 地舆定位是一种技能,进犯者运用它来保证一切的受害者都来自特定的区域或国家,而像咱们这样的研讨人员很难追寻到这种活动。地舆定位常常由APT安排运用,但不常用于像JasperLoader这样的软件。为了测验,咱们将流量路由到了意大利IP空间。 当流量经过意大利IP空间路由时,成果会有很大差异。回来请求是一个ZIP文件,其间包含一个歹意VBS文件,该文件相似于咱们发现的前期样本。履行此VBS文件后,感染进程发动并装置加载程序。 这也阐明JasperLoader在持续运用域名暗影(Domain Shadowing),并在进犯者操控的子域之间快速移动。下图显现了与JasperLoader运用的某一C2域的DNS解析,尽管规模有限,但能看出有超越95%的进犯事情来自意大利,地舆定位保护办法似乎是成功的。 JasperLoader功用改动 JasperLoader的感染进程仍具有多阶段的特征,包含用于在体系上树立立足点,发动与进犯者操控的基础设施的通讯,并完成加载器的中心功用。尽管许多处理函数与咱们之前对JasperLoader的剖析中描述的相似,可是歹意软件的操作有几个明显的改动,这些改动将在下面的末节中描述。 额定的混杂层 与之前在JasperLoader感染进程中所看到的相似,进犯者依托多层混杂来企图躲藏歹意软件的动作。混杂机制通常是运用字符替换机制,并在运行时经过数学计算来重构即将履行的PowerShell指令。歹意软件运用的的Visual Basic脚本(VBS)下载器也运用相同的进程。 在当时举动中,进犯者引入了额定一层混杂,用字符替换来进一步含糊底层的PowerShell。 对VBS进行反含糊处理后,底层PowerShell为: 对上图中的每个字符替换后会变成之一阶段的PowerShell,该文件用于从C2检索其他阶段。这一阶段PowerShell的样本是: 此PowerShell与之前的JasperLoader中的内容相似,但还有一些明显差异。 钓饵文件 从之一阶段的PowerShell中能够看出,它从指定的URL检索PDF并将其显现给用户。 此PDF不是歹意的,仅仅规划用作钓饵文档,这样当用户履行VBS时,就会有一个预期的成果。[1][2][3]黑客接单网

相关文章

解压缩密码破解,找黑客追款犯法吗,损友圈怎么找黑客黑好友

这一关是一个躲藏文件,直接运用ll -a指令。 不多说。 [1][2]黑客接单渠道0x00 缝隙简介:百度搜索关键字 “JDK下载” ,进入Oracle官网(Java原归于Sun公司,Sun公司于20...

我老婆网络赌博去万,想报警,自己会受到什么惩罚

8、2019年7月31日ExecReload=/usr/sbin/apachectl graceful* when it's safe in the single Listen case.关于Blue...

编程一小时_绝地求生找黑客解封-黑客可以找手机吗

#include <stdio.h> 3、Server弹回Shell让咱们来看看这个文件编程一小时,绝地求生找黑客解封 exit();这儿的要害点便是在某种程度上打破查询,然后再修...

深入分析web.config上传方面的安全问题(下)-黑客接单平台

(接上文) 2.2. 接收现有/上传的.NET文件 下面的web.config可用于接收现有的Web服务文件: <?xmlversion="1.0"encoding="UTF-8"?>...

压缩包破解

U盘蠕虫曩昔首要用于传达远控和挖矿病毒,但在2018年11月忽然呈现传达GandCrab勒索病毒的现象。 360终端安全实验室曾对该类蠕虫做了详细剖析,详细可拜见:第一章,勒索病毒全体进犯态势事实上,...

XXE缝隙使用技巧:从XML到长途代码履行

你的Web运用是否存在XXE缝隙? 假如你的运用是经过用户上传处理XML文件或POST恳求(例如将SAML用于单点登录服务乃至是RSS)的,那么你很有或许会遭到XXE的进犯。XXE是一种十分常见的缝...