对APT34泄漏对象的剖析——PoisonFrog和Glimpse | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对APT34泄漏对象的剖析——PoisonFrog和Glimpse

申博_新闻事件 申博 192次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

0x00 媒介

近来APT34的6款对象被泄漏,本文仅在手艺角度对个中的PoisonFrog和Glimpse举行剖析。

0x01 简介

本文将要引见以下内容:

· 对PoisonFrog的剖析

· 对Glimpse的剖析

· 小结

0x02 对PoisonFrog的剖析

对应泄漏文件的称号为posion frog。

包孕两局部文件:

· agent,包罗文件poisonfrog.ps1,是经由过程powershell完成的木马顺序

· server side,对应木马掌握端,运用Node.js开辟

一、agent完成的功用

1、在%public%\Public文件夹下开释三个文件

· dUpdater.ps1

· hUpdater.ps1

· UpdateTask.vbs

注:%public%\Public默以为隐蔽文件夹。

开释文件的详细功用以下:

(1)dUpdater.ps1

1.天生一个以后体系的专有标记

2.读取以后体系的署理设置

3.经由过程HTTP协定从c2服务器下载文件

4.依据下载文件的内容举行下一步操纵,包孕实行敕令,上传文件和下载文件

(2)hUpdater.ps1

1.天生一个以后计算机的专有标记

2.建立以下文件夹

· %public%\Public<id>

· %public%\Public<id>\reveivebox

· %public%\Public<id>\sendbox

· %public%\Public<id>\done

3.经由过程DNS A纪录从c2服务器吸收掌握敕令

4.实行敕令并回传效果

(3)UpdateTask.vbs

内容以下:

command0 = "Powershell.exe -exec bypass -file C:\Users\Public\Public\hUpdater.ps1"
set Shell0 = CreateObject("wscript.shell")
shell0.run command0, 0, false
command1 = "Powershell.exe -exec bypass -file C:\Users\Public\Public\dUpdater.ps1"
set Shell1 = CreateObject("wscript.shell")
shell1.run command1, 0, false

用来加载powershell剧本dUpdater.ps1和hUpdater.ps1

2、建立两个计划任务

· 称号为\UpdateTasks\UpdateTask,每10分钟运转一次,以以后用户权限实行UpdateTask.vbs

· 称号为\UpdateTasks\UpdateTaskHosts,每10分钟运转一次,以System权限实行UpdateTask.vbs

二、 对server side的剖析

经由过程Node.js完成。

运用时须要先经由过程npm装置第三方包,详细装置的敕令位于文件install_pachages.bat中。

index.js为主体顺序。

果真A站完了是B站,B站后台工程源码疑似泄露,已被GitHub删除!

据微博@互联网的那点事爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。” 同时,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项

考虑到制止被滥用,掌握端的代码不做详细剖析,也不供应详细搭建的要领。

注:我在之前的文章《渗入测试中的Node.js——Downloader的完成》和《渗入测试中的Node.js——应用C++插件隐蔽实在代码》曾引见过Node.js的运用,Node.js的基础知识能够参考这两篇文章。

运用Node.js完成server side有以下长处:

· 语法简朴易懂

· 轻量又高效

· 可同时布置在Windows和Linux体系

三、该对象的公然线索

1.APT34曾应用CVE-2017-11882流传该木马,FireEye对样本举行过剖析:

https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html

2.Palo Alto Networks将其命名为Early BondUpdater,对样本的剖析材料:

DNS Tunneling in the Wild: Overview of OilRig’s DNS Tunneling

0x03 对Glimpse的剖析

对应泄漏文件的称号为Glimpse。

包孕四局部文件:

· Agent,包罗四个文件dns.ps1、dns_main.ps1、refineddns_main.ps1和runner_.vbs

· panel,包罗一个c#开辟的界面顺序,是界面化的木马掌握端

· server,是Node.js开辟的木马掌握端

· Read me.txt,设置装备摆设申明文档

一、agent完成的功用

dns.ps1、dns_main.ps1和refineddns_main.ps1三个文件的功用雷同。

原始版本为dns_main.ps1

dns.ps1和refineddns_main.ps1只是变量称号替代成了无意义的殽杂字符串。

dns_main.ps1的功用以下:

1.建立文件夹%public%\Libraries

注:%public%\Libraries默以为隐蔽文件夹。

2.推断文件%public%\Libraries\lock是不是存在

· 若是不存在,建立文件并写入以后powershell历程的pid

· 若是文件存在,读取文件建立时候,若是间隔如今的时候凌驾10分钟,那末会退出历程并删除lock文件

3.天生一个以后体系的专有标记,写入文件%public%\Libraries\quid

4.建立以下文件夹

· %public%\Libraries\files

· %public%\Libraries<id>

· %public%\Libraries<id>\reveivebox

· %public%\Libraries<id>\sendbox

· %public%\Libraries<id>\done

5.经由过程DNS A纪录或DNS TXT纪录从c2服务器吸收掌握敕令

6.实行敕令并回传效果

二、 对server的剖析

经由过程Node.js完成。

运用时须要先经由过程npm装置第三方包,详细装置的敕令位于文件Read me.txt中。

比拟于PoisonFrog,Glimpse在代码构造上做了优化,而且添加了经由过程DNS TXT纪录传输数据的功用。

考虑到制止被滥用,掌握端的代码不做详细剖析,也不供应详细搭建的要领。

三、该对象的公然线索

1.Palo Alto Networks将其命名为Updated BondUpdater,对样本的剖析材料

0x04 小结

关于PoisonFrog和Glimpse,虽然此次泄漏了对象源码,但它们早在2017年已被捕捉样本,也被剖析的很清晰,个人以为该对象不存在被大规模滥用的隐患。而运用DNS协定传输数据也是一个很陈旧的要领,个人以为该对象不会致使歹意软件手艺的晋级。

真假文件夹?FakeFolder病毒再次捣乱企业内网

1. 背景概述 近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对APT34泄漏对象的剖析——PoisonFrog和Glimpse
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址