2019年11月,Chafer要挟小组针对土耳其 *** 从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中),特别是域名win10-update [.] com。尽管咱们没有见到此进犯的初始交给机制,但咱们确真实185.177.59 [.] 70上观察到保管的辅佐有效载荷,此IP是该域名在进犯活动时解析的地址。
Unit 42从2019年开端观察到Chafer活动,但Chafer自2019年以来一向活泼。这个新的辅佐有效载荷是依据Python的,并运用PyInstaller编译成可履行文件。这是Unit 42辨认这些运营者运用的之一个依据Python的有效载荷。咱们还发现其代码与OilRig的Clayside VBScript堆叠,但此次将Chafer和OilRig作为独自的要挟安排进行盯梢。咱们已将此有效载荷命名为MechaFlounder以便盯梢,并在下面具体评论。
一、针对土耳其 ***
咱们辨认此次Chafer活动依据从IP地址185.177.59 [.] 70下载的歹意可履行文件。现在尚不清楚进犯者怎么定位受害者并导致他们下载此文件。
名为“lsass.exe”的文件是经过HTTP恳求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标示为与Chafer要挟安排相相关的指示符。从此域名下载的lsass.exe文件是曾经未陈述的依据python的有效载荷,咱们命名为MechaFlounder并继续追寻。咱们以为Chafer运用MechaFlounder作为辅佐有效载荷,并运用之一阶段有效载荷下载,以便在受感染的主机上履行其后续活动。依据咱们的遥测技术,在此活动中没有观察到之一阶段的有效载荷。
2019年2月,IP地址134.119.217 [.] 87解析为win10-update [.] com以及或许与Chafer活动相关的其他几个域名。风趣的是,域名turkiyeburslari [.] tk,它镜像了合法的土耳其奖学金 *** 范畴turkieyburslari [.] gov [.] tk,也解析到这个IP。与此IP地址相关的域名包括在附录中,如下面的图1所示。
图1. 与134.119.217[.]87相相关的基础设施
二、MechaFlounder载荷
依据python的有效载荷“lsass.exe”经过HTTP恳求从指令和操控(C2)服务器获取到以下URL:
win10-update[.]com/update.php?req=&m=d
咱们盯梢的这个MechaFlounder有效载荷(SHA256:0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)是用Python开发的,并运用PyInstaller东西绑缚为可移植的可履行文件。此辅佐有效载荷充任后门,答应操作人员上传和下载文件,以及在受感染体系上运转其他指令和应用程序。
MechaFlounder首要进入一个循环,不断测验与其C2服务器通讯。特洛伊木马运用HTTP将出站信标发送到其C2服务器,该信标包括用户的帐户名和主机名。如图2所示,代码经过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后,代码两次运用上述新字符串创立URL字符串,并在两者之间运用反斜杠“”字符,并附加字符串“-sample.html”。
图2. 用于构建反常HTTP恳求的特洛伊木马代码
在此剖析过程中,图2中的代码为其信标生成了反常HTTP恳求,如下面的图3所示。有人或许会注意到图3中的GET恳求不是以正斜杠“/”字符最初,而是在URL中包括反斜杠字符“”。这会导致合法的Web服务器(例如咱们的测验环境中运用的nginx)以“400 Bad Request”过错音讯进行呼应。这或许标明,图2中的代码运用httplib模块中的HTTPConnection类来生成反常HTTP信标,要挟行为者创立了一个自定义服务器来处理此C2通讯,而不是依赖于规范Web服务器。
此外,图2显现歹意软件作者运用变量名'cmd'来构建用于HTTP办法和途径的字符串,并在字符串的HTTP办法中查看单词'exit'。咱们不确认此查看的意图,因为此字符串中的HTTP办法不会呈现“exit”,因而永久不会建立。咱们以为这或许源自作者忘掉删去的之前版别的脚本。
图3. Trojan在测验环境中宣布的HTTP恳求示例
假如C2服务器承受图3中的信标,它将呼应HTML,其间包括用于解析和履行特洛伊木马的指令。特洛伊木马首要运用下面图4中的代码将呼应中的HTML转换为文本。图4中的HTML到文本代码能够在Internet上的多个当地取得,但它或许源于Stack Overflow上的一个题为运用Python从HTML文件中提取文本的评论,歹意软件作者或许从此处获取该代码。
图4. 或许从Stack Overflow评论中取得的代码
将HTML转换为文本后,特洛伊木马会疏忽呼应的前10个字符,并将字符串的其余部分视为指令。C2还能够在此指令字符串中供给子字符串“yes”,指示特洛伊木马将指令解码为base16编码的字符串,并移除“yes”子字符串。特洛伊木马将C2供给的指令置于处理程序中,该处理程序确认特洛伊木马将履行的动作。表1显现了特洛伊木马指令处理程序中可用的指令列表以及相应的行为。指令处理程序中的指令为Chafer供给了与长途体系交互的必要功用。
[1] [2] 黑客接单网
Modbus协议 Modbus是全球第一个真实用于工业现场的总线协议,ModBus选用主/从(Master/Slave)方法通讯。最大可支撑247个隶属控制器,但实践所支撑的隶属控制器数还得由所用通讯...
经过第一节给咱们简略介绍了一下代码审计简略运用,那么第二节,咱们来介绍一下,使用东西和手艺进行缝隙发掘。为了咱们能对sql注入有更好的学习和收成。引荐咱们几个学习php根底的网站 Imooc.co...
1、HPP HTTP参数污染 HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比方Apache就要以最终一个参数为准,比方: user.php?id=111&a...
一、前语 本文提出了一种清晰界说的办法,即通过勘探假定出检测歹意字符串的规矩并编写Payload,来绕过跨站脚本进犯(XSS)的安全防备机制。咱们提出的办法共包含三个阶段:确认Payload结构、勘探...
Brida是一款 Burp Suite 扩展,作为一座桥梁衔接着Burp Suite以及Frida,以协助用户修正运用程序与后端服务器之间的通讯数据为己任。在剖析移动端运用时遇到运用运用随机密钥式对称...
在2019年对csp研讨过一阵,发现能够经过其他的dom向存在CSP的dom注入javascript协议,来到达绕过CSP的安全防护。 众所周知,CSP(内容安全战略)有两种方法来设置,一种是经过浏览...