窃密团伙对准企业秘要信息,备用病毒超60个 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

窃密团伙对准企业秘要信息,备用病毒超60个

申博_新闻事件 申博 157次浏览 已收录 0个评论

一、概述

数据正在成为信息时代最有代价的资产,在收集暗盘,大批小我及企业数据被肆意生意交流,盗取、出卖数据是收集黑产取利的重要体式格局之一。国度对珍爱小我及企业信息平安,有严厉的法律法规请求,行将公布《收集平安品级珍爱手艺2.0》做为全国各个行业革新信息平安的指导性文件。

近日,腾讯平安御见要挟情报中心截获一个歹意应用高危破绽进击的Office文档,并以该文档溯源肯定了该病毒团伙的基础画像。该窃密团伙经由过程多种体式格局分发病毒模块,包罗:应用破绽组织Office进击文档、伪装为explorer或钓饵紧缩包的快捷体式格局实行长途掌握木马等,终究完成病毒模块的下载装置,从而耐久掌握目的体系。

腾讯平安专家发明,在该窃密病毒团伙的木马下载站点,重要歹意病毒范例为长途掌握类及窃密类木马,合计有34个分类目次,病毒数目合计凌驾60个,详细目次构造以下图所示。

窃密团伙对准企业秘要信息,备用病毒超60个

图1

二、样本剖析

该名为“Declaration_Reports.doc”的word文档,内容本身毫无意义,当用户运用存在破绽的老版本Office翻开文档就会触发歹意代码实行,用户不会有任何非常发明,在翻开文档的霎时,窃密病毒已运转,会偷偷上传用户敏感信息,中毒电脑被黑客长途掌握。

该文档应用了CVE-2017-11882破绽(即Office公式编辑器破绽),破绽触发后会实行体系白顺序powershell.exe,经由过程Powershell剧本代码下载病毒文件hxxp://51.89.0.134/bvikl/3xp.exe。病毒会被下载到暂时目次,并伪装为显卡驱动相干顺序:nvbackend.exe。

窃密团伙对准企业秘要信息,备用病毒超60个

图2

接下来我们剖析下载下来的病毒,该病毒由Autoit剧本言语编写,经由过程添补大批一般函数用于将本身伪装为一般剧本。从第5117行最先完成病毒的主逻辑,这局部剧本函数经由过程字符串随机地位反转和随机字符添补,完成隐匿杀软的特性婚配和加大逆向剖析的难度。重要的功用以下所述:

1、检测虚拟机。

· 若是存在vmtoolsd.exe或许vbox.exe则完毕本身历程。

· 搜检explorer.exe的窗口是不是存在,若是不存在则完毕本身。

2、oiifofqttlspbli功用函数检测体系版本后挪用对应的函数,经由过程应用特别注册表键项实行fodhelper.exe或eventvwr.msc用于 bypassUAC,进而以管理员权限重新启动本身。

3、读取并拼接本身资本段中名为”setupcly”与”ApiSetHost.AppExecutionAliass”字符串资本并运用AES256密钥”KvwWJyTOBRxuzFXeyPzTVpVpSwpMQFHP”解密出一段紧缩数据,末了经由过程挪用RtlDecompressBuffer中LZ解紧缩算法将最新的贸易级窃密歹意软件版本“HawkEye Keylogger”窃密病毒解密到内存。挪用逻辑以下所示。

 “HawkEye Keylogger” 最新版本窃密病毒简述:经由过程HOOK手艺猎取键盘记录、剪切板信息等,经由过程Process Hollowing手艺将正当的BrowserPassView和MailPassView东西转储用户的浏览器与邮箱的登录凭据,挪用摄像头举行照相,和通例的体系信息猎取、行动日记抹除等等(旧版本的“HawkEye Keylogger”详细剖析见“援用”[1]链接文章)

窃密团伙对准企业秘要信息,备用病毒超60个

图3

解密并解紧缩的功用函数去殽杂并转换字符串后,获得以下指令序列。

窃密团伙对准企业秘要信息,备用病毒超60个

图4

4、diamlgutqpdcjol要领用于指定运转进口点偏移为0xBE的shellcode。shellcode经由过程动态猎取简朴加密过的14个所需API称号的地点后,拉起RegSvcs.exe而且将$lpfile指针指向的歹意代码地点(“HawkEye Keylogger”窃密病毒)注入,注入完成以后开释shellcode代码内存。Shellcode拼接代码以下所示。

窃密团伙对准企业秘要信息,备用病毒超60个

图5

《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展

0x00 前言 《Lateral Movement — SCM and DLL Hijacking Primer》介绍了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以通过SCM(Service Control Manager)实现远程执行。本文将要扩展这三个dll的用法,分别介绍提权和后门利用的方法。 0x01 简介 本文将要介绍以下内容: · 利用wlbsctrl.dll实现的提权 · 利用TSMSISrv.dll和TSVIPSrv.dll实现的后门 · 利用MF.dll实现的后门 0x03 wlbsctrl.dll的利用 1、原文中的用法 IKEEXT(IKE and AuthIP IPsec Keying Modules)服务在启动时会加载wlbsctrl.dll,但Windows系统默认配置下该dll不存在,如果我们将自己的dll放在这个位置,在服务启动时就能加载该dll POC:https://github.com/djhohnstein/wlbsctrl_poc 测试系统: Win7 x64 这里使用的dll不需要指定导出函数,所以可以直接使用之前我的测试dll: https://github.com/3gstudent/test/raw/master/calc_x64.dll 本地执行的用法: (需要管理员权限) copy calc_x64.dll C:\Windows\System32\wlbsctrl.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT 远程执行的用法: copy calc_x64.dll \\TARGET\C$\Windows\System32\wlbsctrl.dll
sc \\TARGET query IKEEXT
sc \

Shellcode动态猎取API地点代码逻辑以下所示。

窃密团伙对准企业秘要信息,备用病毒超60个

图6

5、在启动目次中写入url链接用于指向天生的VBS,VBS用于启动本体(本体经由过程在尾部添补随机数完成简朴的自变形用于隐匿查杀),完成常驻。

窃密团伙对准企业秘要信息,备用病毒超60个

图7

6、nlhobotprjstlck函数检测,若是运转中的剧本是在启动目次,则挪用CMD删除该剧本检测虚拟机。

然则在我们现实剖析的时刻,发明“HawkEye Keylogger”病毒用于发送敏感信息的邮箱账号密码失效了。

窃密团伙对准企业秘要信息,备用病毒超60个

图8

现实上,这个“HawkEye Keylogger”病毒样本编译时候较早,如图所示为2019年1月22日,然则病毒母体倒是于2019年5月6日编译的。

窃密团伙对准企业秘要信息,备用病毒超60个

图9

腾讯御见要挟情报中心监测发明,5月8日晚该木马下载站点更新了3xp.exe病毒模块,因而我们预测该样本在开端测试阶段因为某些缘由弃用该病毒模块,替代为 “Remcos” 长途掌握木马(“Remcos”长途掌握木马为一款贸易木马顺序,黑客经由过程该木马能够完整掌握目的计算机。详细剖析见“援用”[2]链接文章)。

在该木马下载站点我们发明,本来的3xp.exe被重命名为了hawk.qwe,而且包装壳由Autoit编写言语替代为了C++,包装壳中shellcode解密注入逻辑晋级为了轮回异或自定义密码表解密出PE,以下图所示。

窃密团伙对准企业秘要信息,备用病毒超60个

图10

开释的“HawkEye Keylogger”窃密病毒与本来逻辑一致,只更新了用于发送敏感信息的邮箱账号密码。

窃密团伙对准企业秘要信息,备用病毒超60个

图11

三、溯源剖析

我们在该木马下载站点发明了凌驾60个病毒,多半为窃密病毒与远控病毒,包罗但不限于:NetWire远控、NanoBot远控等,现在还没有更多的证据去证明该病毒团伙的相干性,腾讯御见要挟情报中心将会延续存眷该团伙的运动状况。

窃密团伙对准企业秘要信息,备用病毒超60个

图12

四、平安发起

1、 不要翻开来历不明的文件或顺序;

2、 实时装置Office组件的平安补丁,制止遭受破绽进击;


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明窃密团伙对准企业秘要信息,备用病毒超60个
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址