SLUB最新变种剖析:仅靠 Slack举行C2通讯 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

SLUB最新变种剖析:仅靠 Slack举行C2通讯

申博_新闻事件 申博 100次浏览 已收录 0个评论

4个月之前,研究人员发明一同运用一款新出现的歹意软件SLUB的进击运动。SLUB运用CVE-2018-8174 VBScript引擎破绽来举行流传,运用GitHub和Slack作为歹意软件与控制器和控制器之间的通讯东西。

7月9日,研究人员发明一个新的SLUB变种经由过程了一个水坑网站举行流传。该歹意站点运用了IE 破绽CVE-2019-0752。这是研究人员从4月最先发明该破绽以后初次发明在野破绽运用。

新版本的SLUB歹意软件已不再运用GitHub来举行通讯,而是运用Slack。Slack是一个合作的音讯体系,用户能够经由过程频道(channel)来建立本身的事情空间。研究人员发明这些流传SLUB歹意软件的站点都与朝鲜政府有关。

感染链

SLUB歹意软件是经由过程注入了CVE-2018-8174或CVE-2019-0752破绽运用的水坑站点来流传的。假如受害者运用未修复破绽的IE浏览器接见该站点就会感染SLUB加载器。

下面是破绽运用剧本实行加载器的步骤。感染链与之前SLUB类似,但该版本运用差别的手艺来绕过AV检测和机械进修算法:

· 翻开PowerShell作为流传机制,个中含有隐蔽的WindowStyle和殽杂要领。

· 运用Rundll32来挪用从水坑站点下载的伪装为C++运转态名的歹意DLL(伪装为mfcm14u.dll)。

· 歹意DLL依据Windows Naming Convention运用导出标志,并运用实在的Windows API名:AfxmReleaseManagedReferences。注重:运用Windows定名划定规矩能够协助进击者绕过机械进修算法。 SLUB最新变种剖析:仅靠 Slack举行C2通讯

图1. 下载和启动SLUB loader的 PowerShell剧本

PowerShell剧本会检察体系的架构来搜检应当下载哪一个DLL文件。下载的歹意DLL文件就是SLUB Loader。对x86体系来讲,会下载32位的SLUB Loader和CVE-2019-0808破绽运用。对x64体系来讲,会下载64位的SLUB Loader和CVE-2019-0803破绽运用。下载的破绽运用的作用就是为了在Windows体系中举行全新提拔。然后,loader会搜检体系的架构来决定要下载和运用x86照样x64版本的SLUB歹意软件来感染受害者。

一切的破绽运用、加载器和SLUB歹意软件都直接保存在水坑站点上。

SLUB最新变种剖析:仅靠 Slack举行C2通讯

图2. SLUB歹意软件感染链

SLUB最新变种剖析:仅靠 Slack举行C2通讯

图3. SLUB歹意软件感染链流量模子

后门

自上次剖析SLUB歹意软件以后,该后门做了一些更新和革新。最显著的变化是完整采纳Slack来构造受害者机械和宣布敕令。下面是一些详细的变化,包含:

· 不再运用Github

· 运营者建立Slack workspace

· 每一个受感染的机械都邑到场该workspace,并且在workspace中建立一个名为<use_name>-<pc_name>的自力信道

· C2通讯只运用Slack信道,假如运营者想要在受感染的机械上实行敕令,就要特定受害者信道中插进去音讯

· 受害者读取特定信道的音讯,并对音讯举行剖析,然后实行要求的敕令

除了这些变化外,研究人员还发清楚明了2个Slack token中发明的新音讯(硬编码在二进制文件中)。

SLUB最新变种剖析:仅靠 Slack举行C2通讯

讹诈构造INDRIK SPIDER半路分爨,DoppelPaymer应运而生

CrowdStrike研究团队近日确定了BitPaymer勒索软件的一类新变种,并将其命名为DoppelPaymer。自2019年6月以来,DoppelPaymer涉及了一系列恶意勒索活动,其中就包括美国德克萨斯州埃德库奇市和智利的农业部的袭击事件。 DoppelPaymer与BitPaymer大部分代码是相同的,不过也存在许多差异。BitPaymer之前一直由INDRIK SPIDER恶意组织运营,这个转变可能意味着INDRIK SPIDER有成员出走,并自行将Dridex银行木马和BitPaymer融合到了一起,开启了专属于自己的犯罪道路。 INDRIK SPIDER起源 INDRIK SPIDER是一个复杂的网络犯罪集团,该组织自2014年6月以来就一直在运营Dridex银行木马。在2015年和20

这些token用来向slack API查询一些元数据信息,比方team info、用户列表、信道列表等。经由过程进一步观察研究人员发明用用户将workspace的时区设置为了韩国标准时候。

在搜检token response header时,研究人员看到OAuth局限有一些差别:

C&C token:

SLUB最新变种剖析:仅靠 Slack举行C2通讯

Notify token:

SLUB最新变种剖析:仅靠 Slack举行C2通讯

C&C token在OAuth scope中含有admin,许可它治理workspace。

假如操作者须要修正这些token,能够更新toni132[.]pen[.]io页面的内容。Web页面的源码会剖析特定的关键词:HELLO^, WHAT^, !!!。

假如找到关键词,就会token举行剖析和更新:

SLUB最新变种剖析:仅靠 Slack举行C2通讯 

C2通讯

通讯流程以下:假如运营者想要发送敕令给受害者,就要宣布一条音讯到特定信道上。音讯的text值指定了要实行的敕令。

下面的例子说清楚明了截图的capture敕令:

SLUB最新变种剖析:仅靠 Slack举行C2通讯 

在给定目次中列出敕令:

SLUB最新变种剖析:仅靠 Slack举行C2通讯 

列出受害者桌面的一切文件的敕令:

SLUB最新变种剖析:仅靠 Slack举行C2通讯 

然后受害者机械会读取敕令并实行,然后上传截图和分享该链接的文件作为相应。注重upload的值被设置为true。

 SLUB最新变种剖析:仅靠 Slack举行C2通讯

其他支撑的敕令另有exec, dnexec, capture, file, drive, reg和tmout,这与之前剖析的SLUB是类似的。在运转敕令时,敕令运转的效果会上传到file.io。

在进击过程当中,研究人员发明SLUB歹意软件运用了2个Slack组sales-yww9809和marketing-pwx7789。Workspace的建立时候未知。在组sales-yww9809中,含有2个用户,Lomin ([email protected][.]me)和Yolo ([email protected][.]me),建立时候都是2019年5月23日。Lomin的timezone设置为GMT时候,Yolo的timezone设置为韩国标准时候。marketing-pwx7789组中有2个用户Boshe ([email protected][.]cc)和Forth ([email protected][.]lu),建立时候都是2019年4月17日。Boshe timezone设置为GMT时候,Forth的timezone设置为韩国标准时候。

这些邮件地点都运用免费的加密邮件效劳,没法依据用户名找出更多信息。

结论

运用Slack, cock.li, pen.io如许的在线效劳使研究人员很难追踪进击者。研究人员没有发明其他变种,也没有发明该进击者举行的其他进击运动。该进击运动的目的是接见水坑站点的特定用户。为了应对此次进击事宜,Slack回应称会未被黑,然则会防备平台被滥用来举行歹意行动。

原文地点: https://www.4hou.com/info/news/19273.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明SLUB最新变种剖析:仅靠 Slack举行C2通讯
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址