记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华APT组织PLATINUM使用的两种新后门
2018年6月,卡巴斯基实验室曾在南亚和东南亚的一些国家发现过一组不同寻常的恶意软件样本,以外交、政府和军事实体为攻击目标。此次行动被称为EasternRoppels,最早可追溯到2012年,其幕后推手可能与臭名昭著的PLATINUM APT组织有关。恶意软件的特点是多阶段执行,以及用了一种前所未见的隐写技术来隐藏通信过程。在感染的第一个阶段,攻击者通过WMI订阅功能来运行初始PowerShell下载器,以下载另一个小型的PowerShell后门。我们在收集了许多初始WMI PowerShell脚本后发现,它们的硬编码C2的IP地址、加密密钥、用于加密(以及用于初始加载器)的盐、每天活跃的时间往往都不甚相同。C2地址位
针对中亚地区政府部门的攻击:通过Office漏洞传播新型Hawkball后门
一、概述近期,FireEye Labs观察到针对中亚政府部门的攻击,该攻击利用众所周知的Microsoft Office漏洞CVE-2017-11882和CVE-2018-0802提供新型Hawkball后门。Hawkball是一个后门,攻击者可以利用该后门收集受害者的信息,同时可以提供Payload。Hawkball能够对主机进行信息收集、创建命名管道执行本地Windows命令、终止进程、创建/删除及上传文件、搜索文件、列举驱动器。下图展示了实际攻击中所使用的诱饵文件。诱饵文件doc.rtf(MD5值为:AC0EAC22CE12EAC9EE15CA03646ED70C)包含一个OLE对象,该对象使用公式编辑器将嵌入的
再看Zebrocy:APT28通过Delphi后门执行了哪些命令?
当受害者遭后门入侵并被攻击者控制时会发生什么?这是一个很难回答的问题,即使通过逆向工程代码也难以完全解析。而在本文中,我们将分析Sednit组织在近期行动中发送到目标的命令。Sednit组织,也被称为APT28, Fancy Bear(奇幻熊), Sofacy 或STRONTIUM,是一个自2004年以来运行的攻击组织,其主要目的是窃取目标的机密信息。他们的行动在过去几年中经常成为头条新闻。去年九月,我们披露了一个名为LoJax的UEFI rootkit的存在,并将其归于Sednit组织。UEFI rootkit允许黑客在目标计算机上植入持久性恶意软件,这些恶意软件能在硬盘驱动器擦除后继续存在。此次发现也表明Sedni
黑客组织TA505利用LoLbin和新型后门攻击金融行业
常年混迹网络安全圈,你可能对网络犯罪分子的一些攻击手法早已不陌生,比如他们为了拓展恶意软件的功能或是使其更难以被检测到,而将之与合法软件相结合使用。而最近Cyberreason的研究人员发现,许多Windows系统进程也会被攻击者们恶意劫持以用于达成他们的目标。在本文中,我们将介绍黑客团伙TA505于2019年4月对某金融机构进行的一场精心策划的攻击事件,它是一起具有强针对性的网络钓鱼。恶意软件的持久性可根据环境选择是否创建,攻击还利用到了一个称为ServHelper的复杂后门。TA505的关键特征· 目标明确——只针对企业内部少数特定账户的进行网络钓鱼。· 恶意代码经过签名验证——这是为了避免被发现而采取的
集后门、挖矿机和勒索软件的攻击活动分析
研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
SLUB后门使用Slack等进行通信
研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
我是如何通过分析后门JXplorer样本发现其背后的恶意组织
一、概述最近,我在使用VirusTotal Intelligence进行一些动态行为查询时,偶然发现了这个奇怪的PE二进制文件(MD5:7fce12d2cc785f7066f86314836c95ec)。该文件声称是JXplorer 3.3.1.2的安装程序,根据其官网提供的信息,JXplorer是一个基于Java的跨平台LDAP浏览器和编辑器。为什么我会说它非常奇怪呢?因为一个流行的LDAP浏览器,其安装程序应该不会创建计划任务,从而从免费动态DnS提供商托管的子域名下载和执行PowerShell代码:我一开始,本来打算写一篇简短的文章,并专注于分析这个可疑的JXplorer二进制文件。然而,在我分析的过程中才发现,
新的SLUB后门通过Slack进行通信
趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。
其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。被发现时,防病毒软件并未检测出该后门。
除此之外,研究人员还发现恶意软件连接到了Slack平台,Slack平台是一个协作消息系统,
该来的始终要来——WinRAR ACE漏洞被用来安装后门
研究人员近日发现一起传播恶意RAR的垃圾邮件活动,其中恶意的RAR文件就利用了新发现的WinRAR ACE漏洞来安装恶意软件。上周,Checkpoint在博客中介绍了WinRAR UNACEV2.DLL库中潜藏了19年的漏洞,允许伪造的ACE文件在提取文件时可以提取到Windows开始菜单中。这样恶意可执行文件就获得了驻留,当用户再次登陆到Windows中后会自动启动。为了修复该漏洞,WinRAR开发者直接移除了UNACEV2.DLL和ACE文件类型支持。但有超过5亿用户已经安装了WinRAR,恶意软件也会利用这些已经安装而未升级的版本进行发起攻击。360威胁情报中心发推文称发现了一个分发恶意RAR文件的邮件,该文件提
朝鲜APT组织Lazarus使用KEYMARBLE后门攻击俄罗斯
一、简介在过去的几周里,我们一直在监控针对俄罗斯公司的可疑活动,我们观察到朝鲜对俄罗斯实体开展的一次攻击,这个活动暴露了我们之前从未见过的捕食者-猎物关系。虽然将攻击归因于某个威胁组织或其他组织是有问题的,但下面的分析揭示了其与朝鲜APT组织Lazarus使用的战术、技术和工具的内在联系。这一发现来自我们正在跟踪的为俄罗斯受害者专门设计和制作的多个恶意Office文档。通过仔细检查这些文档,我们能够看出它们属于感染链的早期阶段,此感染链的终端是一个多功能Lazarus后门的更新版本,被US-CERT称为KEYMARBLE 。Lazarus有时也被称为Hidden Cobra,是当今世界上最流行和最活跃的APT
Fake Jobs:你收到的offer可能含有恶意后门
概览自2018年中开始,Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司,涵盖零售业、娱乐业以及其他在线支付的工作行业。攻击活动尝试通过滥用领英的私信(直接消息)服务建立与潜在受害者的关系。然后通过邮件,攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中,攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中,攻击者使用一系列恶意附件来传播More_eggs。传播研究人员在调查过程中还发现这些攻击活动的变种,但是大多数都有一些相同的特征。首先攻击
针对APT28 Zebrocy Delphi加载器后门最新变种的分析(V6.02到V7.00)
一、摘要APT28,也称为Sofacy、Fancy Bear、STRONTIUM、Pawn Storm和Sednit,在2018年持续针对各国政府和政治实体开展攻击,并且活动非常活跃。在我们深入研究最新的Zebrocy样本之前,我强烈推荐首先阅读ESET的文章《Sednit: What's going on with Zebrocy?》以及Ralo Alto Unit 42的文章《Dear Joohn: The Sofacy Group’s Global Campaign》。Zebrocy Delphi变种本质上是收集受害者信息的加载器和后门。部分变种会经过UPX加壳,并将它们的配置数据存储在“TForm1”
如何检测并清除WMI持久化后门
概述WMI(Windows Management Instrumentation)事件订阅(Event Subscription)是一种非常流行的终端持久化技术。我们针对Empire的WMI模块( https://github.com/EmpireProject/Empire )进行了尝试,并对其模块进行分析,同时还汇总了可用于查看和删除WMI事件订阅的PowerShell命令。本文将主要阐述如何检测WMI持久化后门并进行移除。“WMI事件订阅”在MITRE ATT&CK技术中的编号为T1084,详情请参见: https://attack.mitre.org/wiki/Technique/T1084 。攻击者可
Drupal web服务器从脏牛到持续后门
本文,我们将讲解一种简短有效而且十分严重的攻击,攻击对象是基于Linux的系统。在这次攻击中,攻击者使用了一系列的漏洞,包括臭名昭著的Drupalgeddon2和脏牛漏洞,还有系统配置错误,对存在漏洞的drupal web服务器进行持久化的攻击,并最终控制用户主机。在以前,对web服务器的远程代码执行(RCE)攻击通常都是一次性的安全事件——攻击者运行恶意代码,服务器执行代码,这样就完了。如果管理员检测到进程并且终止了进程,或者重启了web服务器,这样的攻击也就结束了。而现在,越来越多的攻击者开始进行持续性攻击。持续性意味着如果攻击进程被终止或者服务器重启之后,他们有方法非常轻易的就重新感染web服务器,或者是执行额外
土耳其出现与MuddyWater Tools非常相似的PowerShell后门
MuddyWater是一个著名的威胁攻击组织,自2017年以来一直很活跃。其目标为中东和中亚地区,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近,他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来,该组织已经露出真容。在第一份报告之后,其他安全公司对其进行了广泛的分析。通过这一切,我们只看到他们在使用的工具、技术和程序(TTP)方面发生了很微小的变化。但是,最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc(标题意为土耳其语“报告”或“秘
使用恶意的InPage文档和老旧版本的VLC媒体播放器实施后门攻击
最近,Office 365安全团队发现,有攻击者以特定语言文字(乌尔都语、波斯语、普什图语和阿拉伯语等)的处理软件为目标,进行攻击,该攻击利用了InPage的一个漏洞。由此可见,我们不仅要防范大规模恶意软件活动,还要防范小规模和本地化的攻击。本次恶意活动的75%的目标都位于巴基斯坦,另外也包含一些欧洲和美国的国家,甚至还包含政府机构。攻击目标的地理分布此前,Palo Alto和Kaspersky的研究人员曾分别发表过关于使用恶意InPage文档发动攻击的分析文章。除了他们发布的文章之外,针对这类攻击的公开研究非常有限。本次攻击是Office 365团队在6月发现的,攻击步骤如下:1.攻击者发出带有恶意InPage文档的
公告
关注公众号hackdig,学习最新黑客技术