来自 资讯 2021-06-09 00:13 的文章

高防cdn_国内高防_零元试用

高防cdn_国内高防_零元试用

介绍黑莓塞伦斯的研究人员最近发现了一种以前未命名的蟒蛇鼠,我们称之为PyXie。至少从2018年开始,免费高防国外cdn,PyXie就在野外被观察到,而网络安全行业并未给予太多关注。PyXie已经被部署在一个针对广泛行业的持续运动中。它与Cobalt Strike beacons以及一个与Shifu banking特洛伊木马有相似之处的下载程序。分析人士观察到,有证据显示,威胁行为体试图用PyXie向医疗和教育行业提供勒索软件。BlackBerry Cylance已经进行了多次事件响应(IR)活动,路由器ddos攻击防御,其中PyXie在受害者环境中的主机上被识别。PyXie活动的主要亮点包括:合法的LogMeIn和Google二进制文件用于侧载有效负载。一个特洛伊木马俄罗斯方块应用程序,从内部网络共享加载和执行钴打击stagers。使用一个与师傅相似的下载器命名为"钴模式"。使用Sharphound从受害者那里收集活动目录信息。一个自定义编译的Python解释器,它使用加扰的操作码来阻碍分析。使用改进的RC4算法对每个受感染主机使用唯一密钥加密有效负载。本博客的主要关注点将是PyXie RAT,但活动其他部分的IOC将在附录中列出。攻击概述图1:加载程序概述第一级装载机这个活动使用了一种侧载技术,cc规则防御,利用合法的应用程序来加载恶意软件的第一阶段组件。我们观察到针对流行应用程序的两种不同变体的恶意加载程序可能在大多数计算机上找到:lmiguardinandll.dll由有符号的二进制文件侧面加载(LmiGuardianSvc.exe)从洛格明。谷歌更新.dll由有符号的二进制文件侧面加载(谷歌更新.exe)从谷歌。表1列出了按编译时间戳按时间顺序分析的侧面加载DLL的列表:文件名SHA256时间戳不适用E0F22863C84EE634B2650B322E6DEF6E5BB74460952F7256715272C6C18FE8E2017年3月17日12:23谷歌更新.dllc9400b2fff71c401fe752aba967fa8e7009b64114c9c431e9e91ac39e8f794972017年12月15日18:46谷歌更新.dll814357417aa8a57e43d50cb3347c9d287b99955b0b8aee4e53e12b463f7441a02018年1月11日22:30谷歌更新.dll7330FA1CA4E40CDFE9492134636EF06CD999EFB71F510074D185840AC16675D2018年6月4日20:44谷歌更新.dllA765DF03FFFA343AA7A420A0A57D4B5C64366392AB6162C3561F9F7B0AD56232018年7月16日16:51谷歌更新.dllDE44656B4A3DDE6E0ACDC6F59F7314CE6BB6342BEC0DCD45DA8676D78B0042E2018年8月23日17:11谷歌更新.dll5937746FC1A511D9A8404294B0CAA2EAD2F86B5BE8159385B6C7A4D6FB402018年11月20日20:35谷歌更新.dll56e96ce15ebd90c197a1638a91e8634dbc5b0b4d8ef28891dcf470ca28d080782018年12月2日13:47谷歌更新.dll1d970f2e7af9962ae6786c35fcd6bc48bb860e2c8ca74d3b81899c0d3a978b2b2018年12月8日20:38谷歌更新.dlld271569d5557087aecc340bb570179b73265b29bed2e774d9a2403546c7dd5ff2018年12月10日14:26谷歌更新.dll3A47E59C37DCE42304B345A16BA6A3D78FC44B21C4D0E3A0332EE21F1D138452019年1月9日16:58谷歌更新.dll3aa746bb94acee94c86a34cb0b355317de8404c91de3f00b40e8257b80c6474119年11月1日16:51谷歌更新.dllf9290cd938d134a480b41d99ac2c5513a964de001602ed34c6383dfeb577b8f719年1月27日15:36lmiguardinandll.DLLc3b3f46a5c850971e1269d09870db755391dcbe575dc7976f90ccb1f3812d5ea2019年4月10日14:22不适用ea27862bd01ee8882817067f19df1e61edca7364ce649ae4d09e1a1cae14f7cc2019年4月10日14:22谷歌更新.dllEDD1480FE3D83DC4DC59992FC8436BC1F33BC065504DCF4B14670E9E2C57A892019年4月11日13:08lmiguardinandll.DLL92A8B74CAFA5EDA3851C494F26DB70E5EF0259BC7926133902013E5D73FD2852019年6月19日14:29lmiguardinandll.DLL78471DB16D7BD484932C8EB72F7001DB510F4643B3449D71D63756791CA363B19年8月14日16:29表1:恶意侧面加载的DLL一旦被LogMeIn或Google二进制文件加载,恶意DLL将定位其相应的加密负载。它通过获取从中加载的完整路径并附加一个.dat扩展名来实现这一点。例如,如果恶意DLL被命名为lmiguardinandll.dll,有效负载文件名将是lmiguardinandll.dll.dat.加密的有效载荷从磁盘读取,cc防御思路,然后由加载程序在CBC模式下对AES-128进行解密。16字节的初始化向量(IV)和对称密钥硬编码到DLL中,并且可以根据样本的不同而变化。使用硬编码IV和密钥的加载程序示例如图2所示:图2:负载硬编码解密细节解密的结果是第二阶段有效负载,它被映射到加载程序进程地址空间并执行。第二阶段-安装和持久性第二阶段的恶意软件主要负责安装自己,建立持久性,并产生一个新的进程来注入第三阶段的有效负载。第二阶段组件通过生成硬件ID散列对受害者机器进行指纹识别。这个散列稍后被用作各种函数的种子,以及随后阶段中的加密密钥。硬件ID硬件ID是通过计算包含从系统收集的信息的80字节缓冲区的MD5哈希生成的,包括:通过对CPUID指令的一系列调用(EAX设置为0x80000002、0x80000003和0x80000004值)获得的64字节零填充进程品牌字符串。调用GetSystemInfo返回的dwNumberOfProcessors和dwProcessorType的输出值。通过调用GetVolumeInformation获得的操作系统逻辑驱动器的卷序列号。使用种子为-1(0xFFFFFFFF)的ZLIB-CRC32实现调用GetUserNameA获得的当前用户的CRC32哈希。 图3:用于计算硬件ID的缓冲区给定图3中的缓冲区,硬件ID将是:66aafbed7c63b1a1d0289969d97e06f。互斥量创建两个互斥锁以防止多个有效负载实例同时运行使用以下算法生成第一个互斥体名称:通过调用getModuleFileNameaAPI获得感染第二阶段有效负载的进程,并计算相应二进制文件的CRC32计算出的哈希与当前登录用户的CRC32进行异或。最后一个哈希的十六进制字符串表示互斥体名称第二个互斥体是硬件ID MD5哈希的十六进制表示的最后28个字符:图4:从硬件ID生成的互斥体权限提升如果受第二阶段有效负载感染的进程正在以管理员权限运行,则恶意软件将尝试升级其自己的权限。它通过创建和启动一个临时服务来实现这一点,从而重新生成并作为本地系统进程运行。为了保持隐蔽性,ddos防御设备,恶意软件会从服务控制管理器中删除临时服务。安装加载程序及其相应的负载将复制到%APPDATA%文件夹中的子目录中。目录是从图5中的字符串列表中选择的。使用硬件标识字符串modulo 21(0x15)result的CRC32编号作为列表中的索引进行选择:金丝鲨温拉尔视觉抑制剂电脑遥控器乌龟TeamViewer颠覆自动填表记事本++Mozilla公司宏观媒体保持道JGsoft公司身份苹果电脑随叫随到Microsoft FxCop微软公司Microsoft Visual Studio 图5:面向安装的APPDATA目录坚持不懈持久性是通过在HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表项下创建一个名为动态生成DWORD的十六进制字符串表示的注册表值来实现的。注册表值设置为指向加载程序可执行文件的路径。下一级有效载荷的注入第三阶段的有效负载通过调用rtldecompressbufferapi进行解压,然后注入到新生成的进程中。通过枚举%SYSTEMROOT%\System32目录中的可执行文件并搜索满足以下条件的第一个可执行文件,可以选择要注入的可执行文件:它没有运行它有一个GUI子系统版本信息中有"Microsoft"它是签名的新进程是通过使用CreateProcessA API并将路径传递给加载了第二个stage的可执行文件的lpCommandLine参数来生成的。第三阶段-"钴模式"下载程序第三阶段是一个下载程序,它根据一些分析样本中留下的调试信息被指定为Cobalt模式。PDB路径的示例如图6所示:Z: \coding\pyproject\compiled\cobalt_模式\cobalt_模式.pdb图6:第三阶段调试信息钴模式的主要功能是:连接到命令和控制(C&C)服务器下载加密的有效负载解密有效载荷在当前进程的地址空间中映射和执行有效负载生成用于代码注入的新进程钴模式恶意软件可以执行一系列环境检查。它可以确定它是从沙盒还是虚拟机(VM)运行的,是否连接了智能卡读卡器,以及请求是否被中间人(MitM)攻击拦截。检查使用的函数和值