来自 安全 2022-05-13 21:20 的文章

香港高防cdn_服务器攻击防御_原理

香港高防cdn_服务器攻击防御_原理

多系统特洛伊木马Janicab通过脚本

攻击Windows和MacOSX。7月12日,星期五,AVAST的收件箱收到一条来自AVAST粉丝的关于新的多态多系统威胁的警告。此外,这里讨论的恶意文件的档案附呈。其中一些已上载到Virustotal,因此已在同一天与计算机安全专业人员共享。一个周末过去了,有关MacOs新特洛伊木马的文章开始在网上出现。我们决定做一个彻底的分析,而不是迅速赶时髦。关键的观察结果是,云cdn防御cc,最终的有效负载以需要由Windows脚本控制台resp解释的脚本的形式出现;MacOs中的Python。此外,还包括创建新的恶意Windows文件快捷方式的脚本生成器。

Windows版本

在Windows平台上安装恶意Visual Basic脚本的事件链如下:

开始时,如何增强cc防御,有一个恶意Office Open XML文档包含两个嵌入的二进制文件。其中一个名为ActiveX.bin,它携带由广泛传播的漏洞CVE-2012-0158触发的主外壳代码(在MSCOMCTL.OCX触发器代码执行中的特殊设置ActiveX控件下)。Shell代码本身通过使用0xEE作为单字节密钥的初始循环进行解密。然后,通过散列(VirtualAlloc、CreateFile、ReadFile、WriteFile、GetTempPath、CloseHandle)解析删除另一个文件所需的一些API函数。在图中,服务器防御策略cc,我们可以看到对魔术值0xB19B00B5的检查(shell代码因此执行此步骤两次,因为常规内存搜索可能返回其自身程序集的地址,而不是数据中的位置)。创建一个临时文件"A.l"。

接下来的步骤是从第二个名为ActiveX1.bin的嵌入二进制文件解密。它被加载到edi寄存器指向的缓冲区中。提取两个字节和一个双字,并立即在解密例程中使用(一个字节的异或,密钥在每次迭代中通过常数进行额外更改)。动态链接库被删除和加载。

删除器仅加载和执行资源中未加密的两个文件。第一种是Word文档,它不是恶意的,其目的是在打开此类文档后不会引起任何怀疑。第二个是恶意的Visual Basic脚本"1.vbe",使用Windows脚本编码器screnc.exe进行编码。此脚本是链的最终有效负载,高防御ddos服务,并带有版本号"1.0.4"的标签。

根据系统版本,恶意软件在WMI对象"winmgmts:{impersonationLevel=impersonate}.\"上执行查询"Select displayName from AntiVirusProduct"时,在Windows Management Instrumentation(WMI)中寻找防病毒产品\root\SecurityCenter2"。它将一个值存储到变量installedAV中。然后它从硬编码列表中随机选择一个youtube.com链接,并对接收到的内容计算正则表达式:

Set objMatch=objRE.Execute(outputHTML)

如果objMatch.Count=1,则server="http://"&objMatch.Item(0)。子匹配(0)如果

如果getPage(server&"/Status.php",30)="OK",则结束存在服务器1结束如果

在缓存的YouTube页面中搜索web上的模式,结果发现表达式"111.90.152.210/cc"可能已作为C&C服务器地址返回。

受感染系统上的持久性由C&C决定:

如果它命令关键字"reg"作为启动方法,则为包含行的注册表文件"[HKEY\U CURRENT\U USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="wscript.exe\%userprofile%\\SystemFolder\\.vbe"将导入。

此变体中不存在间谍功能。主要的恶意行为是不断等待C&C的命令在受害者的计算机上执行(getPage涉及创建"InternetExplorer.Application"对象并返回给定地址的html内容):

MacOsX版本

如简介中所述,带ddos防御的国外服务器,MacOs的变体使用Python编译的脚本,并用大量相关的屏幕截图进行了描述(另一个参考在这里)。它使用从右到左的覆盖方法在执行时混淆用户(Windows恶意软件使用类似的屏蔽)。内部版本号为"3.0.6",因此可能开发时间更长。

间谍活动包括使用名为"声音交换"的命令行工具录制音频,并通过鼠标动作控制截图(通过自由分发的命令行工具mt解决,这是鼠标工具的快捷方式):

用于比较在Windows版本中,可以观察到C&C服务器是以非常相似的方式获得的:

持久化是通过在cron中添加初始恶意脚本"runner.pyc"实现的:

脚本生成器

有一个简单的php脚本,它使用文件快捷方式创建存档,该文件快捷方式运行从特定模板派生的脚本并显示任何想要分散注意力的图像。作为脚本模板,Janicab的Windows版本会隐式工作。即使生成新样本的方法看起来是基本的,但看到恶意软件作为一个完整的包出现也是很有趣的,因为在本例中是这样的。

来源最后,用avast检测一些选定样本的MD5!提供发动机。与Windows版本相关的样本检测在AV产品中非常普遍。

确认衷心感谢我的同事贾罗米尔·霍伊齐在这一分析上的合作。