JasperLoader:主攻意大利的恶意软件加载器-黑客接单平台

访客6年前黑客资讯917
在曩昔的几个月里,呈现了一种名为JasperLoader的新式歹意软件加载器,它以意大利和其他欧洲国家为方针,分发Gootkit等银行木马。咱们最近也宣布过JasperLoader相关特性的全面剖析,在陈述宣布后不久,与之有关的分发活动就中止了。但经过几周的埋伏之后,咱们发现JasperLoader的一个新版别正在传达。与初始版别比较,此版别有几个改动和改善的当地。JasperLoader通常用额定的歹意软件payload来感染体系,这些payload可用于走漏灵敏信息、损坏体系或对安排发生其他负面影响。 此次举动背面的进犯者有计划地操控歹意软件的传达,还采取了相应的办法防止安全人员的剖析,一起用到了一种新的机制来改善受感染体系和C2之间的通讯。现在,JasperLoader还在持续对意大利分散着要挟,进犯者也未连续对此歹意软件的改善工作,使之变得越来越杂乱,在未来咱们可能会看到JasperLoader的多种版别。 歹意软件分发上的改动 正如咱们之前在对JasperLoader的剖析中所说到的,JasperLoader采用了一个多阶段的感染进程,其特点是运用了几种混杂技能,使得剖析愈加困难。在感染初始阶段,进犯者运用一个名为Posta Elettronica Certificata (PEC)的服务来分发歹意邮件,PEC是一种经过认证的电子邮件服务,2019年头,意大利经过了PEC相关法案,这项新立法要求意大利企业运用电子发票来交给B2B和B2C买卖的发票。进犯者嗅觉敏锐地认识到了能够运用新方案添加自身的可信度,诱使更多受害者翻开歹意邮件。 不过现在,进犯者对歹意软件分发的 *** 做了一些改动。 咱们开端看到的样本中,邮件带着了一个ZIP文件,其间包含VBS文件,一旦翻开便会敞开感染进程。而在当时版别中,进犯者不再直接运用附件。 上图是初始样本的邮件内容,由意大利语编写,并带有一个歹意附件,该邮件标题为“postacert.eml”,翻开电子邮件后会弹出以下内容: 上图则是此次进犯中发现的新样本,也是分发进程开端开端改变的当地。电子邮件不再带着附件,可是有一个超链接转到地址hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip,一起链接结尾加上了邮件中的一个参数。例如,完好的URL是hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip?214299,数字214299是电子邮件自身中引证的数字。该地址看似没什么问题,会得到来自Web服务器的HTTP 302呼应。 HTTP 302是用于暂时移动的重定向代码,多年来一向被进犯者乱用,比方几年前盛行的运用302缓冲的缝隙运用工具包。 该链接会重定向到www.cnnic [.] cn,即我国互联 *** 信息中心(CNNIC)。明显,这个域名对用户而言是无害的,只会让他们感到一头雾水,所以咱们决议开端研讨潜在的地舆定位。 地舆定位是一种技能,进犯者运用它来保证一切的受害者都来自特定的区域或国家,而像咱们这样的研讨人员很难追寻到这种活动。地舆定位常常由APT安排运用,但不常用于像JasperLoader这样的软件。为了测验,咱们将流量路由到了意大利IP空间。 当流量经过意大利IP空间路由时,成果会有很大差异。回来请求是一个ZIP文件,其间包含一个歹意VBS文件,该文件相似于咱们发现的前期样本。履行此VBS文件后,感染进程发动并装置加载程序。 这也阐明JasperLoader在持续运用域名暗影(Domain Shadowing),并在进犯者操控的子域之间快速移动。下图显现了与JasperLoader运用的某一C2域的DNS解析,尽管规模有限,但能看出有超越95%的进犯事情来自意大利,地舆定位保护办法似乎是成功的。 JasperLoader功用改动 JasperLoader的感染进程仍具有多阶段的特征,包含用于在体系上树立立足点,发动与进犯者操控的基础设施的通讯,并完成加载器的中心功用。尽管许多处理函数与咱们之前对JasperLoader的剖析中描述的相似,可是歹意软件的操作有几个明显的改动,这些改动将在下面的末节中描述。 额定的混杂层 与之前在JasperLoader感染进程中所看到的相似,进犯者依托多层混杂来企图躲藏歹意软件的动作。混杂机制通常是运用字符替换机制,并在运行时经过数学计算来重构即将履行的PowerShell指令。歹意软件运用的的Visual Basic脚本(VBS)下载器也运用相同的进程。 在当时举动中,进犯者引入了额定一层混杂,用字符替换来进一步含糊底层的PowerShell。 对VBS进行反含糊处理后,底层PowerShell为: 对上图中的每个字符替换后会变成之一阶段的PowerShell,该文件用于从C2检索其他阶段。这一阶段PowerShell的样本是: 此PowerShell与之前的JasperLoader中的内容相似,但还有一些明显差异。 钓饵文件 从之一阶段的PowerShell中能够看出,它从指定的URL检索PDF并将其显现给用户。 此PDF不是歹意的,仅仅规划用作钓饵文档,这样当用户履行VBS时,就会有一个预期的成果。[1][2][3]黑客接单网

相关文章

计算机的发展历史,找黑客帮刷手游充值,找一个能叫黑客技术的师傅

在弹出的窗口中,首要给要截获得参数值命名,这儿就叫做token ,然后用鼠标挑选咱们要截取的内容,这儿就把token的值选取了即可,假如呈现如下界面就表明OK了192.168.1.1 ether0A-...

有黑客免费接单的不_怎么找黑客查看别人的微信聊天记录

一、 全体态势参数绑定概况14、666666 (新呈现)· 1月份被传庞氏圈套的传销币项目BitConnect的印度领袖在迪拜被抓,投资者对其建议司法诉讼。 有黑客免费接单的不,怎么找黑客查看别人的微...

破解网站_微信内容删除后找黑客能查出来吗-黑客接单平台

0×00概述http://1.acfun.tv现在许多网站都运用CloudFlare供给的服务,咱们或许以往也都遇到过,怎么绕过CloudFlare的防护,找到真是的网站IP,估量咱们都比较蛋疼,必定...

无定金黑客接单,济南黑客的联系方式,找手机定位黑客在哪找

5在 Java 中为了可以更便利的办理、拜访和调用长途的资源目标,常常会运用 LDAP 和 RMI 等服务来将资源目标或办法绑定在固定的长途服务端,供运用程序来进行拜访和调用。 为了更好的了解整个 J...

带五万块钱去奥门赌博能赢多少钱回来。

结合着反汇编代码看,效果可能更好ExecStop=/usr/sbin/apachectl stopWindows Embedded Standard 7 for x86蠕虫病毒可以在受感染的网络系统内...

黑客接单联系方式_找黑客改大学成绩被骗

四、 被进犯的设备品种不断扩大摘要:2018年度勒索病毒最常运用的进犯手法是远程桌面弱口令暴力破解进犯。 第一章,勒索病毒全体进犯态势在这种办法中,会对给定的种子文件,随机选取 chunk 进行删去。...