ScarCruft赓续进化,引入蓝牙收割机 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

ScarCruft赓续进化,引入蓝牙收割机

申博_安全预警 申博 131次浏览 已收录 0个评论

择要

卡巴斯基平安研究人员最早是在2016年发明ScarCruft构造的进击运动的,随后一向追踪。ScarCruft的交换言语为韩语,应该是有国度配景的黑客构造,重要进击朝鲜半岛的构造和企业。

近日,研究人员发明了一些关于该构造的进击运动。剖析发明进击者异常活泼,赓续实验精心制作其进击进击。研究人员剖析发明了ScarCruft的进击沾染流程。他运用多阶段二进制文件沾染来有效地更新每一个模块并绕过检测。

研究人员还剖析了进击运动的受害者散布,发明其与DarkHotel APT构造的进击运动有所重合。

多阶段二进制沾染

研究人员发明ScarCruft构造运用经常使用的歹意软件流传手艺,好比鱼叉式垂纶进击和Strategic Web Compromises (SWC)。在Operation Daybreak进击运动中,进击者运用了0 day破绽运用来实行庞杂进击。对歹意软件开发者来讲,运用公然的破绽运用代码是越发快速和高效的。

为了胜利为final payload运用植入,ScarCruft运用了多阶段二进制沾染要领。初始开释器最著名的函数就是绕过Windows UAC来以更高权限实行下一阶段payload。歹意软件运用公然的权限提取破绽代码CVE-2018-8120 或UACME来就行权限提拔。以后,installer歹意软件会从资本处建立一个下载器和设置装备摆设文件并实行。下载器歹意软件运用设置装备摆设文件并衔接到C2效劳器来提取下一阶段payload。为了绕过网络级的检测,下载器运用了隐写术。下载的payload是一个图像文件,然则个中含有待解密的歹意payload。

ScarCruft赓续进化,引入蓝牙收割机

多阶段二进制文件沾染

前面建立的final payload实际上是一个后门——ROKRAT。基于云效劳的后门含有很多特性,个中就包罗盗取信息。实行后,歹意软件会建立10个随机的目次途径,并运用这些途径做特别目的。歹意软件会同时建立11个线程,个中6个卖力从受沾染的主机上盗取信息,5个卖力转发网络的数据到4个云效劳,分别是Box, Dropbox, Pcloud和Yandex。在上传盗取的数据到云效劳时,歹意软件会运用预界说的目次途径,好比/english, /video, /scriptout。

ScarCruft赓续进化,引入蓝牙收割机

基于云的后门

雷同的歹意软件含有后门的一切功用,敕令是从云效劳提供商的/script途径下载的,实行的效果会上传到/scriptout途径下。歹意软件支撑以下敕令来掌握受沾染的主机:

· 猎取文件、历程列表

· 下载分外的payload并实行

· 实行Windows敕令

· 更新包罗云效劳token信息的设置装备摆设数据

· 生存截图和灌音

ScarCruft构造在赓续扩大其目的以从受沾染的主机上盗取更多的信息,并延续建立东西举行其他的数据盗取。剖析过程当中,研究人员确认进击者还对挪动装备感兴趣。

研究人员还发明了进击者建立的一个很少见的歹意软件——蓝牙装备收割机。该歹意软件卖力盗取蓝夜装备的信息,是从一个下载器中提取处的,能够直接从受沾染的主机上网络信息。歹意软件运用Windows蓝牙API来找出衔接的是蓝牙装备的信息并生存以下信息。

知往鉴今:Chromium近三年UXSS破绽剖析及减缓、防备和检测步伐

一、前言 UXSS(通用跨站脚本攻击)是一种攻击方式,利用浏览器或浏览器扩展中的客户端漏洞,在访问任意资源(来源)时执行恶意代码(通常为JavaScript)。简而言之: 受害者访问恶意网站(被攻陷/被感染)后,攻击者可以阅读受害者的Gmail内容、FaceBook上的私人消息,并可以代替受害者执行其他操作,例如发送电子邮件、上传照片等。 本项研究的主要目的,是分析此前三年来(2014年至2017年)Chromium浏览器中实施的潜在缓解措施,并探索可用于预防或检测UXSS漏洞的新技术。 二、背景 SOP(同源策略)是Web应用程序安全模型中最为重要的概念之一。基本上,它可以防止不同来源互相访问存储在客户端上的数据(即:Cookie、浏览器选项卡的内容、与某些Web应用程序相关的内容、客户端可用的内容)。 Origin是HTML标准中定义的URI方案,是主机与端口的组合。如果两个URI都使用了相同的协议(例如:HTTPS)、相同的主机(例如:google.com)和相同的端口(例如:443),那么就会将二者认为是同源的。否则,会判断两个URI属于不同源,默认情况下不能访问彼此的数据。 在JavaScript中,使用执行上下文(Execution Context)来表示代码被执行的环境。默认情况下的上下文是全局执行上下

· Instance Name: 装备名

· Address: 装备地点

· Class: 装备品种

· Connected: 装备是不是衔接(true/ false)

· Authenticated: 装备是不是认证(true or false)

· Remembered: 是不是记着装备(true or false)

进击者在赓续地增添从受害者处网络的信息的局限。

ScarCruft赓续进化,引入蓝牙收割机

蓝牙信息收割机的途径

受害者散布

研究人员发明该进击运动的受害者重如果越南和俄罗斯的投资和贸易企业。研究人员以为这可能与朝鲜有关,这就能够诠释为何ScarCruft要严密地监控他们。ScarCruft还实验进击位于香港的一家交际机构和一家位于朝鲜的交际机构,据此能够推断ScarCruft的重要目的应该是政治和交际有关的情报机构。

ScarCruft赓续进化,引入蓝牙收割机

进击运动的受害者散布

与其他进击运动存在交织

研究人员剖析发明一个俄罗斯的受害者曩昔接见过朝鲜。事实上该受害者接见朝鲜使其成为被进击的目的。ScarCruft于2018年9月21日沾染了该受害者,而该受害者于2018年3月26日就被另一个APT构造用GreezeBackdoor沾染过。

GreezeBackdoor是 DarkHotel APT构造的东西。并且该受害者在2018年4月3日也被Konni歹意软件进击过。Konni歹意软件在兵器化的文档中伪装成一条朝鲜的消息,文档的名字为Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip。

ScarCruft赓续进化,引入蓝牙收割机

研究人员之前也发明过ScarCruft和DarkHotel这两个黑客构造有堆叠。这两个黑客构造都是韩语进击者,并且受害者散布有交织。但这两个黑客构造有分歧的TTP,因而研究人员以为个中一个进击构造应该是隐藏在另一个进击构造背地的。

总结

ScarCruft是一个手艺精深且异常活泼的黑客构造,重要存眷朝鲜事件,进击的也大多是与朝鲜有关的贸易构造和交际机构。基于ScarCruft的近来运动,研究人员以为该构造还在赓续地发展壮大。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明ScarCruft赓续进化,引入蓝牙收割机
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址