对APT34泄漏东西的剖析——Jason | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对APT34泄漏东西的剖析——Jason

申博_人物事迹 申博 143次浏览 未收录 0个评论

0x00 媒介

Jason是由Lab Dookhtegan在2019年6月3日泄漏的另一款东西,用于Exchange账户的暴力破解。

但是,泄漏的这款东西虽然包含源码,但存在一些bug,没法一般运用。

本文不会剖析Jason和APT34之间的关联,仅在手艺研究的角度,修复Jason的bug,恢复Jason的功用,剖析运用的手艺,同其他开源东西做横向比较。

注:

之前关于APT34的剖析文章:

《对APT34泄漏东西的剖析——PoisonFrog和Glimpse》

《对APT34泄漏东西的剖析——HighShell和HyperShell》

0x01 简介

本文将要引见以下内容:

· Jason的开源材料。

· 修复Jason的bug。

· 现实测试Jason。

· 同其他开源东西的横向比较。

0x02 Jason的开源材料

Jason最早泄漏于Telegram的频道:https://t.me/lab_dookhtegana

p3pperp0tts将其上传至Github,地点以下:

https://github.com/p3pperp0tts/APT34/tree/master/Jason

文件夹decompiled_code内为Jason的源码。

Jason采纳EWS Managed API来完成对Exchange资本的接见。

注:

关于EWS Managed API的运用细节可参考之前的文章《Exchange Web Service(EWS)开辟指南》。

经由简朴的修复,我在VS2015下能够编译胜利。

但在测试环境中,Jason没法辨认准确的邮箱用户名和口令,一切测试效果均失利。

0x03 修复Jason的bug

编译环境: VS2015

为了恢复一般功用,源代码须要修改以下4个位置。

1.增加Microsoft.Exchange.WebServices.dll的援用

我这里是将Microsoft.Exchange.WebServices.dll放在工程的同级目次下,并做了援用。

2.证书信托战略的bug修改

位置:Form1.cs

原代码:

ServicePointManager.ServerCertificateValidationCallback = ((object <p0>, X509Certificate <p1>, X509Chain <p2>, SslPolicyErrors <p3>) => true);

修改后的代码:

ServicePointManager.ServerCertificateValidationCallback = (sender, certificate, chain, sslPolicyErrors) => { return true; };

3.变量赋值的bug修改

位置:Form1.cs

(1)共有两个位置

原代码:

MainConfig.AppLocation + "out.txt";

修改后的代码:

MainConfig.AppLocation = MainConfig.AppLocation + "out.txt";

(2)共有两个位置

原代码:

MainConfig.UsernameStart + userClass.Username + MainConfig.UsernameEnd;

修改后的代码:

userClass.Username = MainConfig.UsernameStart + userClass.Username + MainConfig.UsernameEnd;

4.EWS和OAB的推断有题目

经由测试,变量MainConfig.Method的值一直为空。

须要修改MainConfig.Method没法取值的bug。

位置:Form1.cs

原代码:

MainConfig.Method = this.cmbMethod.SelectedText;

修改后的代码:

MainConfig.Method = (string)this.cmbMethod.SelectedItem;

完成完全功用的工程我已上传至github,地点以下:

https://github.com/3gstudent/APT34-Jason

0x04 现实测试Jason

编译胜利后天生文件Jason.exe。

在同级目次须要文件Microsoft.Exchange.WebServices.dll,顺序才能够一般运转。

顺序启动后,须要设置的设置以下:

1.Exchange Address

输入Exchange服务器的URL

在我的测试环境下,Exchange Address为:https://192.168.206.17

2.Exchange Version

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种分析

执行摘要 MyDoom是一个臭名昭著的计算机蠕虫病毒,最早在2004年初被发现。这一恶意软件已经被列入到十大破坏性计算机病毒的列表之中,大概已经造成了380亿美元的损失。时至今日,尽管这一病毒威胁已经过了“鼎盛时期”,但它仍然是网络威胁领域的一个组成部分。 尽管没有其他恶意软件那么突出,但MyDoom在过去几年中保持了一个比较平衡的发展势头。在全部电子邮件附带的恶意软件中,有1.1%是MyDoom。每个月,我们都会监测到数以万计的MyDoom样本

挑选对应的版本

此处挑选低版本能够适用于高版本的Exchange服务

3.BF Method

三个选项:

· EWS(Exchange Web Service)

· OAB(Offline Address Book)

· Full

一般挑选EWS。

4.Username File

用户名的字典文件。

花样可参考PassSample.txt中提醒的花样。

我的测试环境下,我用的花样示例为:

[email protected] [email protected]

5.Password File

口令字典文件。

6.Number of Threads

设置扫描线程个数。

7.Generate Pass

点击后显现暴力破解运用的字典。

8.Generate Pass Per

点击后天生文件夹PasswordPerUser,文件夹中天生以每一个用户名定名的txt文件,内容为口令字典。

9.Add to Username Start

发生新的用户,将输入的字符加在用户名前面。

测试环境下发起不设置。

10.Add to Username End

发生新的用户,将输入的字符加在用户名背面。

测试环境下发起不设置。

我的测试环境下,设置以下图:

对APT34泄漏东西的剖析——Jason

暴力破解胜利后,天生日记文件out-year-month-day-hour-minute-second.txt,保留用户名和对应的口令。

0x05 同其他开源东西的横向比较

1.Jason

· C#完成

· 对Exchange举行暴力破解的位置:

– https://url/ews/exchange.asmx

– https://url/oab

· 支撑多线程

· 界面操纵

2.MailSniper

· https://github.com/dafthack/MailSniper

· Powershell完成

· 对Exchange举行暴力破解的位置:

    – https://url/ews/exchange.asmx

    – https://url/owa

· 支撑多线程

· 命令行操纵

3.Ruler

· https://github.com/sensepost/ruler

· Go完成

· 对Exchange举行暴力破解的位置:

– https://url/autodiscover/autodiscover.xml

· 不支撑多线程

· 命令行操纵

关于Exchange账户的暴力破解,在道理上迥然不同,都是接见Exchange的Web资本,假如返回401示意考证失利,假如取得预期效果代表用户口令准确。

关于Jason,同MailSniper和Ruler比拟,道理和功用基础雷同,个人认为该东西不存在被大规模滥用的隐患,也不会致使歹意软件手艺的晋级。

0x06 小结

本文引见了怎样修复Jason的bug,剖析个中的手艺,同其他开源东西做了横向比较,得出终究结论:个人认为该东西不存在被大规模滥用的隐患,也不会致使歹意软件手艺的晋级。

原文地点: https://www.4hou.com/technology/19488.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对APT34泄漏东西的剖析——Jason
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址