稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传

申博_安全工具 申博 57次浏览 已收录 0个评论

sunbet下载

sunbet下载是最具影响力的一家新闻门户网站。sunbet下载二十四小时发布新闻要点,涵盖金融、教育、房产、旅游、问政、要闻、县区等多个领域的新闻热点,汇集新闻资讯热点、便民生活查询、上情下达领域的服务功能。是居民应用率最高的新闻助手,做您最贴心的德州生活伴侣,海量资讯、保质保量,随心所欲感受身边事。

,

无文件歹意软件特性之一是滥用当地正当东西举行歹意运动,这类东西一般被称为“LOLBin”(living-off-the-land binaries),借助它们歹意软件能坚持持久性、横向挪动或用于其他歹意目的。

但当进击者须要的功用超越规范LOLBins功用时会发作什么呢? 近期,Microsoft的研究人员发现了一款名为Nodersok的新型歹意软件。它的特别的地方在于,进击者不单运用本机LOLBins,还将两个外部LOLBins引入到歹意运动中,包含以下两个东西:

· Node.exe,Node.js框架的Windows完成,运用它的Web应用程序不可胜数

· WinDivert,一款功用壮大的收集数据包捕捉及处置惩罚东西

上述两款东西都是正当的,虽然进击者将正当的第三方东西下载到受感染机械上的行为并不少见(比方PsExec经常被滥用来运转其他东西或敕令),但Nodersok却阅历了一连串的无文件手艺,装置了一对非常特别的东西,末了的目的是将受感染的机械变成僵尸代办。

进击概述

在过去的几周中,Nodersok已感染了数千台机械,大多数都位于美国和欧洲。目的对象大多是消费者,另有3%的在教诲、专业效劳、医疗、金融和零售等行业的构造中。

Nodersok除了采纳了先进的无文件手艺外,还用了一种难以捉摸的收集基础设施,而恰是这类收集基础设施让进击显得悄无声息。

7月中旬,Microsoft Defender ATP遥测发现了MSHTA.exe非常运用,这也是Nodersok的运动陈迹初次被观测到,在短短几天运动量就增加了10倍:

经由跟踪和剖析,我们将感染链组合在一起:

步骤形貌以下:

1、用户在阅读歹意广告时下载了歹意HTA文件(或是直接点击下载);

2、HTA文件中的JavaScript代码下载第二阶段组件(另一JavaScript文件或是包含JavaScript代码的XSL文件);

3、第二阶段组件经由过程隐蔽环境变量中的嵌入指令来启动PowerShell敕令;

4、PowerShell指令下载并运转其他加密组件,包含:

· 一个制止Microsoft Defender AntiVirus和Windows Update的PowerShel模块;

· 举行权限提拔的二进制shellcode;

· WinDiver包捕捉库;

· 运转和相应WinDiver包过滤器引擎的shellcode;

· Node.exe(来自Node.JS框架)

· 终究payload app.js(用Node.JS框架编写的JavaScript,能把用户机械变成代办)

感染链的每一个步骤中都只能运转正当的LOLBins,无论是从计算机自身(mshta.exe,powershell.exe)照样从第三方下载的LOLBins(node.exe,Windivert.dll / sys)。一切相干功用都托管在剧本和shellcode中,这些剧本和shellcode险些都是加密的,解密后仅在内存中运转,毫不会将歹意可实行文件写入磁盘。

上述体式格局仅在Nodersok的最新变体中表现,而在Nodersok初期运动版本(主payload为05sall.js或04sall.js)中,则是在注册表中装置歹意编码的PowerShell敕令,解码后运转终究payload。

初始接见:庞杂的长途装备

当用户下载并运转名为Player1566444384.hta的HTML应用程序(HTA)文件时,进击就最先了。每次进击中文件名中的数字都差别。Microsoft Defender ATP遥测剖析指出,歹意广告是通报HTA文件的最能够的感染序言。在HTA文件运转,mshta.exe东西经由过程-embedding敕令行参数启动,该参数一般示意启动操纵是由阅读器启动的。

另外在实行HTA文件之前,遥测数据一致显现用户有对可疑广告效劳或对Cloudfront(一个正当内容托付效劳)的接见。Cloudfront不是歹意实体或歹意效劳,用户接见时不会正告提醒,观察到的域名包含:

· d23cy16qyloios[.]cloudfront[.]net

· d26klsbste71cl[.]cloudfront [.]net

· d2d604b63pweib[.]cloudfront [.]net

· d3jo79y1m6np83[.]cloudfront [.]net

· d1fctvh5cp9yen[.]cloudfront [.]net

· d3cp2f6v8pu0j2[.]cloudfront[.]net

· dqsiu450ekr8q[.]cloudfront [.]net

进击者应该是采纳这些域来通报HTA文件,进击链中滥用的另一种内容分发效劳是Cdn77。观察到的一些URL以下:

· hxxps://1292172017[.]rsc [.]cdn77 [.]org/images/trpl[.]png

· hxxps://1292172017[.]rsc.cdn77[.]org/imtrack/strkp[.]png

第一阶段JavaScript

当HTA文件运转时,它会试图接见一个定名随机的域名来下载JavaScript代码。第一阶段中运用的域寿命很短,一般注册上线后一两天就被删除了,包含相干DNS条目。这使得观察检索通报组件变得越发难题。观察到的域名包含:

· Du0ohrealgeek[.]org – 运动于8月12日至14日

· Hi5urautopapyrus[.]org –运动于 4月21日至22日

· Ex9ohiamistanbul[.]net – 运动于8月1日到2日

天下信息平安大会定址成都|“Black Hat”换个姿态走进中国

10月22日,世界信息安全大会“INSEC WORLD”在成都西部博览城举办,主办方是全球最大的展会主办机构Informa Markets,与国内网络安全会议多由业内公司举办不同的是,Informa Markets是一家独立于行业外的第三方机构,但是这家展会机构与网络安全颇有渊源,每年7、8月份在拉斯维加斯举办的世界黑客大会“Black Hat”同是这家机构主办。 嘶吼作为业内媒体应邀来到成都,我们非常好奇“Blackhat”

· Eek6omyfilmbiznetwork[.]org – 运动于7月23日至24日

此阶段先是从C2中检索JavaScript或可扩大款式言语(XSL)文件,文件具有半随机称号,比方1566444384.js和1566444384.xsl,每次数字均差别;下载并运转此文件后,再与长途C2联络,接着下载名为1566444384.mp4的RC4加密文件和名为1566444384.flv文件的解密密钥。解密后的MP4文件是启动PowerShell的JavaScript,代码片断以下:

值得注意的是,歹意PowerShell剧本被隐蔽在名为“ deadbeef”的环境变量中(第一行),然后运用编码敕令(第二行)启动PowerShell,该敕令只运转“deadbeef”变量的内容。这类技能一般用于隐蔽真正的歹意剧本,如许它就不会出现在PowerShell历程的敕令行中。

第二阶段PowerShell

感染继承举行,经由过程启动几个PowerShell实例来下载并运转其他歹意模块。一切模块都以RC4加密情势托管在C&C效劳器上,运转之前须要举行为态解密。PowerShell的种种实例均实行以下步骤:

1.下载module.avi,该模块实行以下操纵:

· 禁用Windows Defender Antivirus

· 禁用Windows updates

· 运转二进制shellcode,经由过程自提拔的COM接口来尝试特权提拔

2.下载Cdn77效劳上托管的模块trpl.png和strkp.png

3.从官方nodejs.org网站下载正当的node.exe东西

4.植入WinDivert数据包捕捉库组件WinDivert.dll,WinDivert32.sys和WinDivert64.sys

5.实行经由过程WinDivert来过滤和修正某些传出数据包的Shellcode

6.末了,植入JavaScript payload以及它所需的一些Node.js模块和库,并经由过程node.exe运转。

到这步算是这感染完毕,此时收集包过滤器处于运动状况,机械作为一个潜伏的代办僵尸在事情。当一台机械变成了一个代办,它能够被进击者作为一个中继接见其他收集实体(网站,C&C效劳器,被进击的机械,等等),继承实行隐蔽的歹意运动。

基于Node.js的代办引擎

这并非滥用Node.js的首例要挟,除了清洁利落以外,Node.exe另有一个有用的数字署名,许可歹意JavaScript在可托历程的高低文中运转。JavaScript payload自身则相对简朴:只包含一组基础函数,许可它充任长途实体的代办。

 稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传

图4.基于Node.js的歹意代办的

代码好像仍处于起步阶段,仍在开辟中,但确切有用。它有两个目的:

· 从新衔接到长途C&C

· 吸收HTTP要求以代办情势回传

它支撑SOCKS4A协定。虽然我们没有观察到来自进击者的收集要求,然则我们编写了基于Node.js的C&C效劳器应用程序能够的模样:效劳器向衔接回它的受感染客户端发送HTTP要求,并吸收来自这些客户端的相应。我们对歹意JavaScript歹意软件举行了一些修正,以使其纪录有意义的音讯,运转JavaScript效劳器,运转JavaScript歹意软件,并按预期代办HTTP要求:

效劳器启动,然后客户端启动并衔接到它。作为相应,效劳器将HTTP要求(运用Socks4A协定)发送给客户端。该要求是一个简朴的HTTP GET。客户端将HTTP要求代办到目的网站,然后将HTTP相应(200 OK)和HTML页面返回给效劳器.该测试表明能够将该歹意软件用作代办。

Nodersok初期版本的05sall.js

如前所述,该歹意软件存在其他变种。05sall.js的的构造类似于上述形式,但payload不是在Node.js中开辟的(而是一个可实行文件)。另外,除了充任代办以外,它还能够运转其他敕令,如更新、停止或运转shell敕令。

该歹意软件还能够处置惩罚JSON花样的设置数据。比方,此设置被编码并存储在受感染机械的注册表中:

该设置表明歹意软件的模块化性子。它显现了感染中运用的两个模块的称号(离别名为block_av_01和all_socks_05)。

WinDivert收集数据包过滤

在剖析过程当中另有末了一个未处理的题目:WinDivert包捕捉库是如何的?

我们从个中一个运动中恢复了一段shellcode。此Shellcode是解码过的,而且只能经由过程PowerShell敕令在内存中运转。它装置以下收集过滤器(运用WinDivert能辨认的言语):

这意味着Nodersok经由过程阻拦发送的数据包来启动TCP衔接。过滤器激活后,shellcode仅对与以下特定花样婚配的TCP数据包感兴趣:

 稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传

图8. Nodersok感兴趣的TCP数据包花样

数据包必需具有规范的以太网,IP和20字节的TCP标头,外加20字节的TCP附加选项。这些选项必需完整根据上图所示的递次显现:

02 04 XX XX –最大网段大小
01 –无操纵指令
03 03 XX – Windows Scale
04 02 –SACK permitted
08 0A XX XX XX XX XX XX XX XX –时候戳

假如检测到相符此规范的数据包,则Nodersok会经由过程将“ SACK Permitted”选项挪动到数据包的末端(其大小扩大四个字节),然后将原始选项字节替换为两个“ No operation”字节来对其举行修正。

 稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传

图9. Nodersok对其举行变动后的TCP数据包花样:“SACK permitted”字节(赤色)已挪动到数据包的末端,原始位置已由“ No operation”(黄色)庖代。

这类修正能够对进击者有益,比方协助躲避某些HIPS署名。

运用Microsoft Defender ATP阻挠Nodersok运动

Nodersok依附先进的无文件手艺和散布式收集构架让这场行为在我们眼皮底下悄然运转了一段时候。假如我们消除进击所应用的一切清洁和正当文件,则剩下的只是初始HTA文件、终究payload的基于Node.js的和一堆加密文件,传统的基于文件的署名不足以应对这类庞杂的要挟,这也是为何我们投入了大批资本来开辟壮大的动态检测引擎并经由过程Microsoft Defender ATP供应最先进的纵深防备的缘由。
本文翻译自:https://www.microsoft.com/security/blog/2019/09/26/bring-your-own-lolbin-multi-stage-fileless-nodersok-campaign-delivers-rare-node-js-based-malware/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明稀有歹意软件Nodersok经由过程多阶段无文件手艺疾速流传
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址