黑客接单找工作_Chafer运用的新的根据Python的有效载荷MechaFlounder

作者: admin 分类: 新闻动态 发布时间: 2022-07-01 15:30

黑客接单找工作_Chafer运用的新的根据Python的有效载荷MechaFlounder

2019年11月,Chafer要挟小组针对土耳其政府从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中),特别是域名win10-update [.] com。尽管咱们没有见到此进犯的初始交给机制,但咱们确真实185.177.59 [.] 70上观察到保管的辅佐有效载荷,此IP是该域名在进犯活动时解析的地址。Unit 42从2019年开端观察到Chafer活动,但Chafer自2019年以来一向活泼。这个新的辅佐有效载荷是依据Python的,并运用PyInstaller编译成可履行文件。这是Unit 42辨认这些运营者运用的第一个依据Python的有效载荷。咱们还发现其代码与OilRig的Clayside VBScript堆叠,但此次将Chafer和OilRig作为独自的要挟安排进行盯梢。咱们已将此有效载荷命名为MechaFlounder以便盯梢,并在下面具体评论。一、针对土耳其政府咱们辨认此次Chafer活动依据从IP地址185.177.59 [.] 70下载的歹意可履行文件。现在尚不清楚进犯者怎么定位受害者并导致他们下载此文件。名为“lsass.exe”的文件是经过HTTP恳求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标示为与Chafer要挟安排相相关的指示符。从此域名下载的lsass.exe文件是曾经未陈述的依据python的有效载荷,咱们命名为MechaFlounder并继续追寻。咱们以为Chafer运用MechaFlounder作为辅佐有效载荷,并运用第一阶段有效载荷下载,以便在受感染的主机上履行其后续活动。依据咱们的遥测技术,在此活动中没有观察到第一阶段的有效载荷。2019年2月,IP地址134.119.217 [.] 87解析为win10-update [.] com以及或许与Chafer活动相关的其他几个域名。风趣的是,域名turkiyeburslari [.] tk,它镜像了合法的土耳其奖学金政府范畴turkieyburslari [.] gov [.] tk,也解析到这个IP。与此IP地址相关的域名包括在附录中,如下面的图1所示。图1. 与134.119.217[.]87相相关的基础设施二、MechaFlounder载荷依据python的有效载荷“lsass.exe”经过HTTP恳求从指令和操控(C2)服务器获取到以下URL:win10-update[.]com/update.php?req=&m=d咱们盯梢的这个MechaFlounder有效载荷(SHA256:0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff)是用Python开发的,并运用PyInstaller东西绑缚为可移植的可履行文件。此辅佐有效载荷充任后门,答应操作人员上传和下载文件,以及在受感染体系上运转其他指令和应用程序。MechaFlounder首要进入一个循环,不断测验与其C2服务器通讯。特洛伊木马运用HTTP将出站信标发送到其C2服务器,该信标包括用户的帐户名和主机名。如图2所示,代码经过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后,代码两次运用上述新字符串创立URL字符串,并在两者之间运用反斜杠“\”字符,并附加字符串“-sample.html”。图2. 用于构建反常HTTP恳求的特洛伊木马代码在此剖析过程中,图2中的代码为其信标生成了反常HTTP恳求,如下面的图3所示。有人或许会注意到图3中的GET恳求不是以正斜杠“/”字符最初,而是在URL中包括反斜杠字符“\”。这会导致合法的Web服务器(例如咱们的测验环境中运用的nginx)以“400 Bad Request”过错音讯进行呼应。这或许标明,图2中的代码运用httplib模块中的HTTPConnection类来生成反常HTTP信标,要挟行为者创立了一个自定义服务器来处理此C2通讯,而不是依赖于规范Web服务器。此外,图2显现歹意软件作者运用变量名'cmd'来构建用于HTTP办法和途径的字符串,并在字符串的HTTP办法中查看单词'exit'。咱们不确认此查看的意图,因为此字符串中的HTTP办法不会呈现“exit”,因而永久不会建立。咱们以为这或许源自作者忘掉删去的之前版别的脚本。图3. Trojan在测验环境中宣布的HTTP恳求示例假如C2服务器承受图3中的信标,它将呼应HTML,其间包括用于解析和履行特洛伊木马的指令。特洛伊木马首要运用下面图4中的代码将呼应中的HTML转换为文本。图4中的HTML到文本代码能够在Internet上的多个当地取得,但它或许源于Stack Overflow上的一个题为运用Python从HTML文件中提取文本的评论,歹意软件作者或许从此处获取该代码。图4. 或许从Stack Overflow评论中取得的代码将HTML转换为文本后,特洛伊木马会疏忽呼应的前10个字符,并将字符串的其余部分视为指令。C2还能够在此指令字符串中供给子字符串“yes”,指示特洛伊木马将指令解码为base16编码的字符串,并移除“yes”子字符串。特洛伊木马将C2供给的指令置于处理程序中,该处理程序确认特洛伊木马将履行的动作。表1显现了特洛伊木马指令处理程序中可用的指令列表以及相应的行为。指令处理程序中的指令为Chafer供给了与长途体系交互的必要功用。

[1] [2]  黑客接单网

更多阅读