Chafer运用的新的根据Python的有效载荷MechaFlounder

访客5年前黑客工具1146

2019年11月,Chafer要挟小组针对土耳其 *** 从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中),特别是域名win10-update [.] com。尽管咱们没有见到此进犯的初始交给机制,但咱们确真实185.177.59 [.] 70上观察到保管的辅佐有效载荷,此IP是该域名在进犯活动时解析的地址。
Unit 42从2019年开端观察到Chafer活动,但Chafer自2019年以来一向活泼。这个新的辅佐有效载荷是依据Python的,并运用PyInstaller编译成可履行文件。这是Unit 42辨认这些运营者运用的之一个依据Python的有效载荷。咱们还发现其代码与OilRig的Clayside VBScript堆叠,但此次将Chafer和OilRig作为独自的要挟安排进行盯梢。咱们已将此有效载荷命名为MechaFlounder以便盯梢,并在下面具体评论。
一、针对土耳其 ***
咱们辨认此次Chafer活动依据从IP地址185.177.59 [.] 70下载的歹意可履行文件。现在尚不清楚进犯者怎么定位受害者并导致他们下载此文件。
名为“lsass.exe”的文件是经过HTTP恳求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标示为与Chafer要挟安排相相关的指示符。从此域名下载的lsass.exe文件是曾经未陈述的依据python的有效载荷,咱们命名为MechaFlounder并继续追寻。咱们以为Chafer运用MechaFlounder作为辅佐有效载荷,并运用之一阶段有效载荷下载,以便在受感染的主机上履行其后续活动。依据咱们的遥测技术,在此活动中没有观察到之一阶段的有效载荷。
2019年2月,IP地址134.119.217 [.] 87解析为win10-update [.] com以及或许与Chafer活动相关的其他几个域名。风趣的是,域名turkiyeburslari [.] tk,它镜像了合法的土耳其奖学金 *** 范畴turkieyburslari [.] gov [.] tk,也解析到这个IP。与此IP地址相关的域名包括在附录中,如下面的图1所示。

图1. 与134.119.217[.]87相相关的基础设施
二、MechaFlounder载荷
依据python的有效载荷“lsass.exe”经过HTTP恳求从指令和操控(C2)服务器获取到以下URL:
win10-update[.]com/update.php?req=&m=d
咱们盯梢的这个MechaFlounder有效载荷(SHA256:0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)是用Python开发的,并运用PyInstaller东西绑缚为可移植的可履行文件。此辅佐有效载荷充任后门,答应操作人员上传和下载文件,以及在受感染体系上运转其他指令和应用程序。
MechaFlounder首要进入一个循环,不断测验与其C2服务器通讯。特洛伊木马运用HTTP将出站信标发送到其C2服务器,该信标包括用户的帐户名和主机名。如图2所示,代码经过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后,代码两次运用上述新字符串创立URL字符串,并在两者之间运用反斜杠“”字符,并附加字符串“-sample.html”。

图2. 用于构建反常HTTP恳求的特洛伊木马代码
在此剖析过程中,图2中的代码为其信标生成了反常HTTP恳求,如下面的图3所示。有人或许会注意到图3中的GET恳求不是以正斜杠“/”字符最初,而是在URL中包括反斜杠字符“”。这会导致合法的Web服务器(例如咱们的测验环境中运用的nginx)以“400 Bad Request”过错音讯进行呼应。这或许标明,图2中的代码运用httplib模块中的HTTPConnection类来生成反常HTTP信标,要挟行为者创立了一个自定义服务器来处理此C2通讯,而不是依赖于规范Web服务器。
此外,图2显现歹意软件作者运用变量名'cmd'来构建用于HTTP办法和途径的字符串,并在字符串的HTTP办法中查看单词'exit'。咱们不确认此查看的意图,因为此字符串中的HTTP办法不会呈现“exit”,因而永久不会建立。咱们以为这或许源自作者忘掉删去的之前版别的脚本。

图3. Trojan在测验环境中宣布的HTTP恳求示例
假如C2服务器承受图3中的信标,它将呼应HTML,其间包括用于解析和履行特洛伊木马的指令。特洛伊木马首要运用下面图4中的代码将呼应中的HTML转换为文本。图4中的HTML到文本代码能够在Internet上的多个当地取得,但它或许源于Stack Overflow上的一个题为运用Python从HTML文件中提取文本的评论,歹意软件作者或许从此处获取该代码。

图4. 或许从Stack Overflow评论中取得的代码
将HTML转换为文本后,特洛伊木马会疏忽呼应的前10个字符,并将字符串的其余部分视为指令。C2还能够在此指令字符串中供给子字符串“yes”,指示特洛伊木马将指令解码为base16编码的字符串,并移除“yes”子字符串。特洛伊木马将C2供给的指令置于处理程序中,该处理程序确认特洛伊木马将履行的动作。表1显现了特洛伊木马指令处理程序中可用的指令列表以及相应的行为。指令处理程序中的指令为Chafer供给了与长途体系交互的必要功用。

[1] [2]  黑客接单网

相关文章

代码共享:运用Python和Tesseract来辨认图形验证码

 各位在企业中做Web缝隙扫描或许浸透测验的朋友,或许会常常遇到需求对图形验证码进行程序辨认的需求。许多时分验证码分明很简略(关于非互联网企业,或许企业界网中的运用来说特别如此),但由于没有趁手的辨认...

中、小企业怎么自建免费的云WAF

概述 WEB进犯是十几年来黑客进犯的干流技能,国内的大厂们早已把WAF作为安全基础设施的标配,市面上也有许多安全厂商供给了WAF产品或云WAF服务。 关于没有自己安全团队,却又饱尝sql注入、xss...

HTML5 安全问题解析

HTML5 安全问题解析 标签: html html5 web安全 本文参阅: w3school:html5相关基础知识(w3school.com.cn)...

“神起”僵尸网络的诱捕与反击(上)

2019年5月中旬,蜜罐体系监测到了一同进犯事情,引起了咱们的留意,小伙伴们敏捷跟进分析,并经过技术手段拿下黑客操控端服务器,发现黑客运用了一款名为“神起ddos集群”的软件,操控了3000+的僵尸网...

子域名收集思路与技巧整理

前语 本文合适Web安全爱好者,其中会说到8种思路,7个东西和还有1个小程序,看本文前需求了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。 感谢我的老友龙哥的技巧大放送以及Or...

PHP中该怎样避免SQL注入?

问题描述: 假如用户输入的数据在未经处理的情况下刺进到一条SQL查询句子,那么运用将很可能遭受到SQL注入进犯,正如下面的比如: $unsafe_variable = $_POST['user_in...