Chafer运用的新的根据Python的有效载荷MechaFlounder

访客5年前黑客工具1141

2019年11月,Chafer要挟小组针对土耳其 *** 从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中),特别是域名win10-update [.] com。尽管咱们没有见到此进犯的初始交给机制,但咱们确真实185.177.59 [.] 70上观察到保管的辅佐有效载荷,此IP是该域名在进犯活动时解析的地址。
Unit 42从2019年开端观察到Chafer活动,但Chafer自2019年以来一向活泼。这个新的辅佐有效载荷是依据Python的,并运用PyInstaller编译成可履行文件。这是Unit 42辨认这些运营者运用的之一个依据Python的有效载荷。咱们还发现其代码与OilRig的Clayside VBScript堆叠,但此次将Chafer和OilRig作为独自的要挟安排进行盯梢。咱们已将此有效载荷命名为MechaFlounder以便盯梢,并在下面具体评论。
一、针对土耳其 ***
咱们辨认此次Chafer活动依据从IP地址185.177.59 [.] 70下载的歹意可履行文件。现在尚不清楚进犯者怎么定位受害者并导致他们下载此文件。
名为“lsass.exe”的文件是经过HTTP恳求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标示为与Chafer要挟安排相相关的指示符。从此域名下载的lsass.exe文件是曾经未陈述的依据python的有效载荷,咱们命名为MechaFlounder并继续追寻。咱们以为Chafer运用MechaFlounder作为辅佐有效载荷,并运用之一阶段有效载荷下载,以便在受感染的主机上履行其后续活动。依据咱们的遥测技术,在此活动中没有观察到之一阶段的有效载荷。
2019年2月,IP地址134.119.217 [.] 87解析为win10-update [.] com以及或许与Chafer活动相关的其他几个域名。风趣的是,域名turkiyeburslari [.] tk,它镜像了合法的土耳其奖学金 *** 范畴turkieyburslari [.] gov [.] tk,也解析到这个IP。与此IP地址相关的域名包括在附录中,如下面的图1所示。

图1. 与134.119.217[.]87相相关的基础设施
二、MechaFlounder载荷
依据python的有效载荷“lsass.exe”经过HTTP恳求从指令和操控(C2)服务器获取到以下URL:
win10-update[.]com/update.php?req=&m=d
咱们盯梢的这个MechaFlounder有效载荷(SHA256:0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)是用Python开发的,并运用PyInstaller东西绑缚为可移植的可履行文件。此辅佐有效载荷充任后门,答应操作人员上传和下载文件,以及在受感染体系上运转其他指令和应用程序。
MechaFlounder首要进入一个循环,不断测验与其C2服务器通讯。特洛伊木马运用HTTP将出站信标发送到其C2服务器,该信标包括用户的帐户名和主机名。如图2所示,代码经过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后,代码两次运用上述新字符串创立URL字符串,并在两者之间运用反斜杠“”字符,并附加字符串“-sample.html”。

图2. 用于构建反常HTTP恳求的特洛伊木马代码
在此剖析过程中,图2中的代码为其信标生成了反常HTTP恳求,如下面的图3所示。有人或许会注意到图3中的GET恳求不是以正斜杠“/”字符最初,而是在URL中包括反斜杠字符“”。这会导致合法的Web服务器(例如咱们的测验环境中运用的nginx)以“400 Bad Request”过错音讯进行呼应。这或许标明,图2中的代码运用httplib模块中的HTTPConnection类来生成反常HTTP信标,要挟行为者创立了一个自定义服务器来处理此C2通讯,而不是依赖于规范Web服务器。
此外,图2显现歹意软件作者运用变量名'cmd'来构建用于HTTP办法和途径的字符串,并在字符串的HTTP办法中查看单词'exit'。咱们不确认此查看的意图,因为此字符串中的HTTP办法不会呈现“exit”,因而永久不会建立。咱们以为这或许源自作者忘掉删去的之前版别的脚本。

图3. Trojan在测验环境中宣布的HTTP恳求示例
假如C2服务器承受图3中的信标,它将呼应HTML,其间包括用于解析和履行特洛伊木马的指令。特洛伊木马首要运用下面图4中的代码将呼应中的HTML转换为文本。图4中的HTML到文本代码能够在Internet上的多个当地取得,但它或许源于Stack Overflow上的一个题为运用Python从HTML文件中提取文本的评论,歹意软件作者或许从此处获取该代码。

图4. 或许从Stack Overflow评论中取得的代码
将HTML转换为文本后,特洛伊木马会疏忽呼应的前10个字符,并将字符串的其余部分视为指令。C2还能够在此指令字符串中供给子字符串“yes”,指示特洛伊木马将指令解码为base16编码的字符串,并移除“yes”子字符串。特洛伊木马将C2供给的指令置于处理程序中,该处理程序确认特洛伊木马将履行的动作。表1显现了特洛伊木马指令处理程序中可用的指令列表以及相应的行为。指令处理程序中的指令为Chafer供给了与长途体系交互的必要功用。

[1] [2]  黑客接单网

相关文章

网易云音乐PC客户端加密API逆向解析

1、前语 网上现已有许多的web端接口解析的办法了,可是对客户端的接口解析基本上找不到什么材料,本文首要剖析网易云音乐PC客户端的API接口交互方法。 经过内部的署理设置,运用fiddler作为署理东...

从零开始学Fuzzing系列:带领nduja打破Grinder的壁垒

四年前开源的Grinder项目,和借助于它运转的nduja,着实让浏览器缝隙发掘飞入了寻常百姓家。但随着时刻的检测,Grinder也遇到了让人爱恨交加的为难:分明发生了Crash,可便是无法重现。有多...

Game-of-Thrones-CTF-1靶机彻底攻略

虚拟机地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/ 这个靶机的难度较高,进程并不是趁热打铁,所以经过了屡次替换网络和IP的进程...

TrickBot银行木马归来突击全球金融机构

一、布景 最近国外安全研究人员发现TrickBot银行木马最新的样本,深服气EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细剖析,承认此样本为TrickBot银行盗号木马的最...

操控流程完整性:给我们介绍一种“特殊”的Javascript反剖析技能

写在前面的话 了解歹意软件的实在代码对歹意软件剖析人员来说对错常有优势的,由于这样才干够实在了解歹意软件所要做的工作。但不幸的是,咱们并不总是能够得到“实在”的代码,有时歹意软件剖析人员或许需求相似...

恣意用户暗码重置(五):重置凭据可暴破

在逻辑缝隙中,恣意用户暗码重置最为常见,或许出现在新用户注册页面,也或许是用户登录后重置暗码的页面,或许用户忘掉暗码时的暗码找回页面,其间,暗码找回功用是重灾区。我把日常浸透过程中遇到的事例作了缝隙成...