Plead歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Plead歹意软件剖析

申博_新闻事件 申博 84次浏览 未收录 0个评论

ESET研究人员发明一个之前D-Link公司运用的代码署名证书署名的后门软件——Plead。近期,研究人员检测到一同新的进击运动,个中也运用了Plead歹意软件,并连接到华硕云公司开辟的正当软件。

Trend Micro之前的剖析显现,Plead歹意软件是BlackTech黑客构造运用的一款后门软件。BlackTech构造主要进击亚洲地区举行收集监控运动。

ESET检测到的这起新进击运动进击的目标是台湾地区,个中Plead歹意软件已被广泛运用了。

进击运动概述

2019年4月尾,ESET研究人员发明一同实验运用Plead歹意软件的进击运动。个中,Plead后门是由正当历程AsusWSPanel.exe建立和实行的。AsusWSPanel.exe历程是ASUS WebStorage云贮存效劳的Windows客户端。如图1所示,可实行文件的署名为华硕云公司。

Plead歹意软件剖析

图1.  AsusWSPanel.exe代码署名证书

一切发明的Plead样本都含有文件名:Asus Webstorage Upate.exe [sic]。研究人员确认ASUS WebStorage的AsusWSPanel.exe模块能够在软件更新过程当中建立含有上面文件名的文件,如图2所示。

Plead歹意软件剖析

图2. ASUS WebStorage客户端的反编译代码

为何正当软件会建立和实行Plead歹意软件呢?下面是几种能够的诠释。

场景1 – 供应链进击

进击者应用供应链进击能够同时寂静地入侵大批目标,这也是为何会供应链进击赓续增添的缘由。ESET研究人员也剖析过M.E.Doc,  Elmedia Player, VestaCP, Statcounter和游戏行业的大批供应链进击案例。

关于华硕WebStorage供应链进击的能够性,研究人员斟酌了以下几点:

· 正当ASUS WebStorage二进制文件经由过程雷同的更新机制流传二进制文件;

· 以后还没有发明ASUS webstorage效劳器用作C2效劳器或作为歹意二进制文件

· 进击者运用零丁的歹意软件文件而不是将其歹意功用融入道正当软件中

因而,研究人员以为供应链进击的能够性对照小,但也依然存在。

场景2 – 中间人进击

ASUS WebStorage软件易遭到中间人进击。软件更新的请乞降传输运用的是HTTP协定,一旦更新下载并实行,软件在实行前并不会考证其真实性。若是更新历程被进击者阻拦,就能够推送歹意更新。

ESET研究人员对照熟习歹意软件经由过程ISP级的中间人进击传输歹意软件,好比FinFisher, StrongPity2, Turla mosquito。

Trend Micro剖析以为Plead歹意软件进击了有破绽的路由器,以至运用这些路由器作为C2效劳器。

域渗入——普通用户权限取得DNS纪录

0x00 前言 在之前的文章《域渗透——DNS记录的获取》介绍了域渗透中获得DNS管理员权限后获取DNS记录的方法,而更普遍的情况是只有域普通用户的权限,也需要获得DNS记录。 本文将会参考公开的资料,整理域普通用户获得DNS记录的方法,修复dns-dump.ps1在高版本Windows系统下的bug。 0x01 简介 本文将要介绍以下内容: · 实现原理 · 开源的工具和方法 0x02 实现原理 1.SharpAdidnsdump的实现原理 先通过LDAP查询获得域内计算机的名称,再通过DNS查询获得对应的IP。 详细实现细节可参考: https://github.com/b4rtik/SharpAdidnsdump 测试环境: test.com (1)通过LDAP查询获得域内计算机的名称 对应LDAP的查询参数如下: LDAP://test.com/DC=test.com,CN=microsoftdns,DC=DomainDnsZones,DC=test,DC=com
(&(!(objectClass=DnsZone))(!([email protected]))(!(DC=*arpa))(!(DC=*DNSZones))) (2)通过DNS查询获得域内计算机对应的IP 使用Dns.GetHostEntry方法,参考资料: https://docs.microsoft.com/en-us/dotnet/api/system.net.dns.gethostentry?redirectedfrom=MSDN&view=netframework-3.5#System_Net_Dns_GetHostEntry_System_String_ 2.dns-dump的实现原理 先通过LDAP查询

ESET研究人员剖析发明大多数受沾染的构造都有雷同生产厂家的路由器,并且这些路由器的控制面板能够经由过程互联网接见。因而研究人员以为路由器级的中间人进击是最能够的进击场景。

由于ASUS WebStorage软件运用HTTP发送更新要求,即发送要求到update.asuswebstorage.com效劳器,效劳器会发送一个XML花样的相应。XML相应中最主要的元素是guid和链接。Guid元素含有以后可用的版本,link元素含有更新用的下载URL。更新过程很简单:软件搜检下载的版本是不是老于近来的版本,若是是用供应的URL要求二进制文件,如图3所示。

Plead歹意软件剖析

图3.  ASUS WebStorage软件更新搜检过程当中的正当通讯

进击者能够运用本身的数据来替代这两个元素以触发更新。这也是进击者经常使用的要领和进击场景。如图4所示,进击者插进去新的URL,该URL指向位于被黑的gov.tw域名的歹意文件。

Plead歹意软件剖析

图4. ASUS WebStorage软件歹意更新过程当中抓取的通讯

图5中的申明证明了经由过程被黑的路由器流传歹意payload到目标的最能够的场景。

Plead歹意软件剖析

图5. 中间人进击场景

Plead后门

Plead样本是第一阶段下载器,实行后,会从效劳器下载fav.ico文件,效劳器名模仿华硕官方WebStorage效劳器: update.asuswebstorage.com.ssmailer[.]com。

下载的文件含有一张PNG花样的图象和歹意软件运用的数据,地位就在PNG数据以后。图6是歹意软件搜刮的特定字节序列,然后运用下一个512字节作为RC3加密密钥来解密数据的盈余局部。

Plead歹意软件剖析

图6.下载的PNG文件中的Plead歹意软件运用的数据

解密的数据含有一个Windows PE二进制文件,能够运用以下文件名和途径开释和实行:

· %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\slui.exe

· %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

· %TEMP%\DEV[4_random_chars].TMP

经由过程将本身写入开始菜单文件夹,歹意软件就完成了驻留,每当用户登入体系就会加载歹意软件。

开释的可实行文件是第二阶段加载器,目标是解密来自PE resource的shellcode,并在内存中实行。Shellcode会加载第三阶段DLL,DLL的目标是从C2效劳器猎取分外模块并实行。第3阶段DLL和下载的模块之前被日本互联网应急相应中间剖析过,拜见https://blogs.jpcert.or.jp/en/2018/03/malware-tscooki-7aa0.html。

总结

进击者在赓续寻觅新的、越发寂静的体式格局来流传歹意软件。供应链进击和中间人进击越来越多地出现在环球的进击中。须要注重的是软件开辟者不只须要监控能够的进击场景,还要再产物中运用恰当的更新机制来反抗中间人进击。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Plead歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址