来自 防护 2021-05-02 11:03 的文章

高防ddos_服务器安全防护措施_免费试用

高防ddos_服务器安全防护措施_免费试用

CyberGate RAT和RedLine Stealer在正在进行的AutoIt恶意软件活动中交付在我们最近的博客中,我们详细介绍了一个恶意软件活动,该活动使用恶意文档(DOC)文件来传递AutoIt脚本,进而传递Taurus stealer来窃取凭证、cookies、历史记录、系统信息等等。按照类似的思路,我们最近遇到了一个新的恶意软件活动,它使用一个类似的AutoIt脚本来交付一个新的变种"赛博之门老鼠"和"红线窃贼"。本博客将引导您详细分析有效负载交付机制、功能以及命令和控制(C&C)通信。我们还观察了自定义C&C协议用于过滤敏感信息的情况。我们将阐明赛博门老鼠使用的定制协议。以下是过去一个月AutoIt恶意软件活动的检测时间表。我们观察到AutoIt恶意软件的几次点击,涉及各种恶意软件家族,包括AZOrult、Xtreme RAT、Taurus stealer、RedLine stealer和CyberGate RAT。Zscaler ThreatLabZ团队正密切关注这些活动的发展,以确保覆盖率。图1:过去一个月内基于AutoIt的恶意软件的点击率。Zscaler云沙盒成功抓获了赛博之门老鼠和红线窃贼。我们观察到,这两种机器都是用同一个包装机包装的,并使用相同的有效载荷输送机制。在这两次战役中观察到的战术、技术和程序(TTP)在性质上是相似的,ddos种类及如何防御,所以我们怀疑是同一个参与者在策划这些攻击。有效载荷传递机构正如在之前的博客中所观察到的,盗贼的来源是包含下载恶意软件链接的垃圾邮件或下载恶意软件的附加文档文件。在跟踪此活动时,我们发现此恶意软件由钓鱼网站提供服务。在我们分析的时候,我们发现了一个名为Resistance的加密货币区块链交易所的钓鱼网站,该网站为RedLine窃取者提供服务。图2:加密区块链交换钓鱼网站。包装分析从这些仿冒网站下载的文件是自解压存档(SFX),其中包含一个压缩文件和一个用于执行嵌入文件的脚本。可以在RCData资源目录下找到cabinet文件,并在资源目录RUNPROGRAM中执行命令。图3:包装文件的资源目录。cabinet文件包含三个扩展名为"com"的文件,文件名是随机的,ddos流量防御,在其他AutoIt脚本中是不同的。这些文件是:ffXi.com网站-这是一个合法的Autoit3.exe,它具有用于运行AutoIt脚本的无效头广告网-certutil编写的Windows Base64编码的AutoIt脚本bzYfp.com网站-加密的有效载荷"RUNPROGRAM"资源目录中用于执行嵌入文件的命令行脚本如下所示:命令/clsass.com网站&类型ffXi.com网站>> lsass.com网站&德尔ffXi.com网站&certutil-解码广告网R&lsass.com网站R&P 127.0.0.1-n 20更正第一个标题ffXi.com网站'(Autoit3.exe)通过附加"M",将其存储在'lsass.com网站'然后删除'ffXi.com网站’. 之后,它使用带有参数"-decode"的"certutil"对Base64编码的AutoIt脚本进行解码,将其保存到文件"R",然后使用Autoit3.exe运行此AutoIt脚本(lsass.com网站). 最后,它使用ping命令作为睡眠计时器AutoIt脚本使用自定义混淆,所有的硬编码字符串都在恶意软件中加密,正如我们之前在本次活动中看到的那样。在执行时,AutoIt脚本将在目录"%APPDATA%\\cghost"中删除并隐藏以下四个文件,以在系统上实现持久性。我们在AutoIt脚本中发现了这种持久性技术,只有在最终有效负载是RAT的情况下。cghost.com网站-AutoIt解释器副本aGuDP-Autoit脚本的副本bzYfp.com网站-加密有效负载的副本dLzSj.vbs-用VBS脚本执行AutoIt解释器VBS文件包含:cgxdbksryqqndown=GetObject("winmgmts:\\.\root\cimv2:Win32\u进程")。创建("%appdata%\cghost\cghost.com网站%appdata%\cghost\aGuDP","%appdata%\cghost",空,ojxmekrelvrj)为了持久性,它会创建一个internet快捷方式文件'cghost.url'中包含以下内容:[Internet快捷方式]URL="%APPDATA%\cghost\dLzSj.vbs"AutoIt脚本有多个沙盒规避技巧,以避免被检测到。它还检查系统中是否存在文件和计算机名,并检查特定域。图4:恶意软件在执行前执行多次检查。此恶意软件包装通过检查是否存在"C:\aaa"来避免在Windows defender防病毒模拟器中执行_触摸菜单.txt"系统中的文件。如果恶意软件发现AV仿真器使用的以下计算机名称,则会终止执行:"NFZTFBPH"-卡巴斯基"tz"-Bitdefender"ELICZ"-平均"主"-VBA"DESKTOP-QO5QU33"-假设这是攻击者的计算机名它使用'GetTickCount'检查sleep API补丁来检测沙盒模拟。它还检查域'OJtmGmql.OJtmGmql,如果域处于活动状态,则它将退出。这些是随机字符串,在其他包装中都是不同的。如果它通过了以上所有检查,那么它将基于系统体系结构的"RC4"算法的外壳代码注入指定的运行进程或当前进程内存中。图5:RC4算法外壳代码。RC4密钥在AutoIt脚本中是异或加密的,可以在函数调用中找到该脚本,该脚本与加密的数据和进程路径一起用于注入。图6:加密的RC4密钥。RC4密钥在每种情况下都是不同的。AutoIt脚本读取加密的有效负载(bzYfp.com网站)并使用带有硬编码密钥"537180"(在本例中)的RC4外壳代码对其进行解密。图7:第一个外壳代码中的RC4算法。之后,它在内存中注入另一个shell代码,ddos高防ip不能防御,它首先创建一个名为"jftzratsjpattzlfcuth"的互斥锁,然后获取解密的PE文件,将其注入进程,并执行它。最后的有效负载被解密并在内存中执行,这样它就不会被防病毒程序捕获,如果它有静态检测。我们编写了一个python脚本来解密加密的有效负载,可以在附录一中找到。这个包装上掉下来的有效载荷是赛博门老鼠或红线窃贼。赛博门老鼠这次竞选中的"赛博之门老鼠"看起来像是我们过去从未见过的新变种。CyberGate允许攻击者浏览和操作受害者机器上的文件、设备和设置,以及下载和执行其他恶意软件。它还具有广泛的信息窃取能力,如键盘记录、屏幕捕捉和远程启用网络摄像头。我们在这个变体中发现的CyberGate RAT的功能包括:收集系统信息创建指定目录下载并执行附加文件获取指定文件的内容窃取浏览器的凭据捕捉屏幕运行键盘记录器C&C地址和端口信息以二进制形式加密和硬编码。加密是用硬编码密钥"2qYNYM2Z74XL"进行简单的异或加密。图8:加密IP地址的XOR解密。唯一的bot ID是通过添加用户名、计算机名和受害机器的序列号并计算MD5哈希值来创建的。Bot ID=MD5(用户名+计算机名+序列号)图9:机器人ID创建。网络流量分析这个变种的CyberGateRat有一个硬编码和加密的C&C IP地址,它使用3970端口在TCP协议上进行通信。完整的流量通过zlib压缩进行压缩,并使用二进制文件中存在的硬编码密钥用RC4加密。图10:CyberGate网络流量。图11:包结构。客户端和服务器数据包由RC4使用相同的硬编码密钥"draZwyK8wNHF"加密或解密,免费ddos防御软件,该密钥存在于二进制文件中。服务器数据包解密后,数据以14字节的标记"@@XXXXXXXXXX@@"开始,然后是zlib压缩数据。我们在之前版本的赛博之门老鼠中见过这个标记。图12:解密包数据。解压后,数据以命令开头,后跟参数,cdn高防和服务器配置有关吗,并用标记"##$##"。结构:###$####$##图13:客户端和C&C服务器之间的解密通信。在第一个请求中,该命令将向服务器发送计算出的唯一bot ID。第二个命令将搜索Chrome和Firefox浏览器配置文件中存储的凭据。如果它与参数匹配,那么它将凭据与计算机信息一起发送到服务器,包括套接字名称、用户名、计算机名称、产品名称和bot ID。图14:发送到服务器的凭证和机器信息。命令"Ky8pr22KrbW3"或"neAWM9TC4tsk"在%appdata%中创建指定的目录。然后,它将指定的文件下载并存储在其中并执行它。图15:下载和执行其他恶意软件的命令。我们在赛博门老鼠的变种中发现了以下命令。命令说明4个月将唯一的机器人程序ID发送到服务器ECDnG66CYsZc窃取浏览器的凭据和机器信息dYh3GKy2DK型将数据存储到注册表Ky8pr22KrbW3下载并执行其他恶意软件neAWM9TC4tsk公司下载并执行其他恶意软件并自行退出EffNaMNRW43T捕捉屏幕5Qvape9Wv6eA启动键盘记录器我们已经编写了一个python脚本来解密CyberGate RAT和C&C流量,可以在附录II中找到。红线窃贼最后的有效负载是RedLine stealer的.NET二进制文件。这个偷盗者可以在俄罗斯论坛上出售,以前在一辆COVID-t上见过