安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播
前言
攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。
从 2021 年 10 月 26 日开始,研究人员发现多个远控木马开始通过云服务进行投递传播。
感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。脚本执行后,会通过下载服务器下载下一阶段的攻击载荷,攻击者将下载服务器部署在基于 Azure 的 Windows 服务器或基于 AWS 的 EC2 实例上。
攻击者使用的远控木马是 Netwire、Nanocore 和 AsyncRAT,并且利用免费动态 DNS 服务 DuckDNS 注册了多个恶意域名。
攻击载荷
Nanocore
Nanocore 通常是 32 位 .NET 可执行文件,在 2013 年被首次发现,后来被各种攻击者广泛使用。
从发现的 Nanocore 样本中提取配置信息后,可以确认攻击者使用的是 1.2.2.0 版本(已泄露版本)的 Nanocore。样本的构建日期为 2021 年 10 月 26 日,使用的 C&C 服务器为 mback5338.duckdns.org
。
Nanocore 配置文件
后续发现的 Nanocore 样本也会使用其他不同的 C&C 服务器和端口号:
nanoboss.duckdns.org
justinalwhitedd554.duckdns.org
样本中携带的是 Client 插件和 SurveillanceEx 插件,前者用于处理与 C&C 服务器的通信,后者用于提供对音视频的捕获和远程桌面。
Netwire
Netwire 通常会窃取受害者的密码、登录凭据和信用卡数据等隐私信息,同时兼具命令执行和窃取文件的功能。
通过写入注册表进行持久化:
HKEY_CURRENT_USER\Software\NETwIRe\HostId
HKEY_CURRENT_USER\Software\NETwIRe\Install Date
HKEY_CURRENT_USER\SOfttware\Microsoft\WIndows\CurrentVersion\Run\SysWOW32
AsyncRAT
AsyncRAT 通常会通过加密链接远程监控和控制计算机,攻击者还可以通过 AsyncRAT 对失陷主机进行击键记录、屏幕录像等操作。
AsyncRAT 创建互斥体 AsyncMutex_6SI8OkPnk
作为失陷主机的感染标记。
AsyncRAT 互斥量
从 AsyncRAT 配置文件提取相关信息,C&C 域名是 asyncmoney.duckdns.org
,使用的端口有 7829、7840、7841 和 7842。
AsyncRAT 连接 C&C 服务器
感染链
感染链起始的附件是一个 ISO 镜像文件,其中包含恶意的加载程序。如下所示,攻击者利用发-票文件来引诱用户点击打开:
钓鱼邮件示例
ZIP 文件的起始字符是随机生成的,可能与特定的攻击行动有关。发现的一些文件名如下所示:
WROOT_Invoice_Copy.zip
YUEOP_Invoice_Copy.zip
HOO8M_Invoice_Copy.zip
TROOS_Invoice_Copy.zip
TBROO1_Invoice_Copy.zip
JavaScript Downloader
JavaScript Downloader 是一个有着四层混淆的脚本。
第一层
第一层去混淆由 ejv()
完成,该函数将混淆数据的每个字符保存在数组中,执行算术运算进行解密。
解密函数
紧接着继续解密:
解密函数
第二层
其余加密内容在第二层进行解密,将 ejv()
解密的结果传递给解密函数。
去混淆的结果包含另一个解密函数 Ox$()
,这是第三层解密函数。
解密函数
第三层
第三层去混淆的结果是另一个混淆函数,包含多个函数调用来进行解密:
部分混淆恶意代码
在分析另一个发现的 JavaScript 脚本时,与首次发现的不相同。这说明代码有可能是自动生成和随机化的,攻击者想通过高度混淆使检测变得更困难。
部分混淆恶意代码
第四层
第四层是最后一层,在去混淆后可以发现这些代码不仅仅是一个 Downloader,还具有其他功能。例如:
- 通过
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
进行持久化 - 通过
schtasks.exe
配置计划任务
计划任务命令
- 通过
http://gg1592661.duckdns.org:7924/vre
下载攻击载荷。下载的是 Netwire、Nanocore 和 AsyncRAT 的变种,保存在临时文件夹并执行。 - 尝试通过
Alternate Data Stream
隐藏下载来源 - 通过
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId
收集设备信息
通过遥测数据,除了 JavaScript 还发现了 Batch 和 VBScript 的脚本。
Batch Downloader
脚本中包含一个混淆命令,用以执行 PowerShell 下载攻击载荷,本例中通过 Azure Cloud 上的服务器 13.78.209.105
进行下载。
Batch Downloader 示例
VBS Downloader
脚本通过 PowerShell 命令连接到服务器,服务器部署在 AWS EC2 上的 52.27.15.250
。
VBScript Downloader 示例
PowerShell Dropper
在 Azure 的服务器上发现了一个使用 HCrypt 构建的 PowerShell 脚本。该脚本会在失陷主机上下载并运行 AsyncRAT 的变种,类似的程序也被趋势科技的研究人员在名为 Water Basilisk
的攻击中发现。
PowerShell Droper 示例
去混淆后的数据就是二进制文件本身。这个包含 Payload 的字符串,连同一个包含注入 .NET 程序 DLL 模块的字符串,一同被传递给函数 H2 转换为二进制字节数组。
去混淆注入
这个数组将会被加载注入:
去混淆 PowerShell 命令
脚本会尝试启动进程 aspnet_compiler.exe
并注入 Payload 执行。样本连接的 C&C 服务器是 yuri101.duckdns.org
,部署在 64.188.16.134
。
PowerShell 感染链
攻击基础设施
攻击者维护了一个分布式攻击基础设施,包括下载服务器、C&C 服务器和恶意域名,下载服务器利用 Microsoft Azure 或 AWS 的云服务。
利用的 Azure 云服务包括:
- 13.78.209.105 在美国西部区域,FQDN 名称为
GOOGLE
- 23.102.1.5 在北欧区域,并启用了 SMB 身份验证
- 40.85.140.7 在北欧区域
- 52.150.26.35 在美国东部区域,FQDN 为
spinxamp
- 13.82.65.56 在美国东部区域
- 137.135.65.29 在美国东部区域,FQDN 为
sj-2nd
并启用了 SMB 身份验证
利用 AWS 云服务是 52.27.15.250
,FQDN 为 ec2-52-27-15-250.us-west-2.compute.amazonaws.com
,但不确定此实例的操作系统。
一些下载服务器运行的是 Apache 服务器:
开放目录
每个远控木马都根据配置文件连接对应的 C&C 服务器,IP 地址如下所示:
103.151.123.194
185.249.196.175
64.188.16.134
恶意域名如下所示:
asyncmoney.duckdns.org
nwire733.duckdns.org
mback5338.duckdns.org
yuri101.duckdns.org
恶意域名
攻击者利用免费的动态 DNS 服务 DuckDNS 创建恶意域名,一些域名绑定在 Azure Cloud 上的服务器,另一些域名绑定在 C&C 服务器上。
gg1592661.duckdns.org
btime1624.duckdns.org
justinalwhitedd554.duckdns.org
wz303811.duckdns.org
js1994.duckdns.org
backu4734.duckdns.org
www.backu4734.duckdns.org
mback5338.duckdns.org
nwire733.duckdns.org
asyncmoney.duckdns.org
nanoboss.duckdns.org
asyncspread.duckdns.org
tdeasy.duckdns.org
dingspread.duckdns.org
asyncpcc.duckdns.org
jw9428875.duckdns.org
meunknown.duckdns.org
yuri101.duckdns.org
从域名请求来看,攻击行动应该是从 2021 年 10 月开始的。
gg1592661.duckdns.org 的 DNS 请求
受害者
通过遥测数据,受害者主要来自美国、加拿大、意大利和新加坡,少量分布在西班牙和韩国。
结论
攻击者正在积极利用云服务构建自己的攻击基础设施,研究发现 Nanocore、Netwire 和 AsyncRAT 就正在这么做。攻击通过钓鱼邮件进行传播,电子邮件仍然是需要防范的重点位置。
安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播相关推荐
- ENVI帮助研究人员发现金矿
本文转自:http://www.esrichina-bj.cn/2012/0319/1663.html 遥感影像能让我们实时的获取地理区域的准确信息,这些为很多石油.天然气和矿产的开采提供关键的信息, ...
- 研究人员发现:基于文本的AI模型容易受到改述攻击
由于自然语言处理(NLP)的进步,越来越多的公司和组织开始利用AI算法来执行与文本相关的任务,例如:过滤垃圾邮件.分析社交媒体帖子和评论.评估简历以及检测假新闻. 但是,真的可以相信这些算法能够可靠地 ...
- 安全研究人员发现新的Android恶意软件:已感染1000多万部安卓手机
整理 | 祝涛 出品 | CSDN(ID:CSDNnews) Zimperium发现了一款名为GriftHorse的新型安卓恶意软件,它可以让用户订阅付费短信服务.据报道,GriftHorse恶意软件 ...
- 华硕路由器信息发现服务器,研究人员发现华硕路由器收集用户访问记录等隐私数据...
基于网络发展和使用需求已经越来越多的用户开始选择智能路由器, 但智能归智能安全性倒是非常值得关注. 日前就有安全研究人员发现了华硕路由器使用的 ASUSWRT 存在收集用户的网页访问记录并与趋势科技共 ...
- 涉及 GitHub、GitLab,研究人员发现 70 个 Web 缓存中毒漏洞;微软:许多攻击者仍对 Log4j 漏洞加以利用;VS 2022 新版发布 | 开源日报
开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习.修改,甚至是重新分发.关注「开源日报」,一文速览国内外今日的开源大事件吧! 一分钟速览新闻点! 微软:许多攻击 ...
- 研究人员发现某中国厂商生产的手机固件回传个人信息
安全公司Kryptowire的研究人员发现,安卓手机固件中的一个秘密后门,发送几乎所有个人识别信息到中国的服务器上.包括短信.联系人列表.通话记录.电话号码和设备识别码(包括IMSI和IMSEI)等信 ...
- 研究人员发现西门子工业控制器中的命令执行漏洞
近期,有研究人员发现了西门子SIMATIC S7-1200可编程逻辑控制器(PLC)的新漏洞,可让攻击者在存在漏洞的设备上执行任意代码. 该漏洞和西门子SIMATIC S7-1200可编程逻辑控制器( ...
- 研究人员发现物联网存在安全漏洞
日前,密歇根大学和石溪大学的研究人员发表了一篇文章,解释了一种关于物联网安全挑战的新方法.研究人员提出了这个问题:"当我们谈论物联网时,安全科学中有什么新的智力挑战?我们可以使用目前已知的安 ...
- 研究人员发现利用Excel宏可发起跳板攻击
SpecterOps公司的研究人员Matt Nelson(马特·尼尔森)研究是否可以通过Microsoft Excel发起跳板攻击(Pivoting).结果,Nelson发现默认的启动与访问权限存在漏 ...
最新文章
- python类的成员函数_Python实现动态添加类的属性或成员函数的解决方法
- 神经网络参数量和计算量计算
- VTK:Utilities之CommandSubclass
- lamp环境搭建经验总结
- h5页面点击事件ios没反应 移动端兼容性问题
- PHP类: SEO必备的伪原创工具 (文章重写)
- 零信任风口来了,新一代企业安全架构革新势在必行
- java判断字符串是否为乱码
- pro* c调用存储过程 linux,Pro*C调用存储过程,存储过程名称如何传递? 高分求高手指点。。。...
- VMware复制Centos6虚拟机要改的地方
- 打开浏览器标签页并修改内容_解决因Bing导致Chrome打开标签页光标失焦的问题...
- wincap问题之一(丢包)
- ASP微信头像保存到服务器,asp微信小程序获取用户头像和微信名-asp写的服务端...
- 赞!WEB设计之路!网络视觉艺术发展史概览
- Apache Hive 2.1.1 安装配置超详细过程,配置hive、beeline、hwi、HCatalog、WebHCat等组件...
- 从“被动挖光缆”到“主动剪网线”,蚂蚁金服异地多活的微服务体系
- T(n)=25T(n/5)+n*n的时间复杂度
- 写给永动机接触者的一封信
- 《拼音字母》 蓝桥杯复试试题
- Jenkins凭证/凭据管理详解
热门文章
- Paper:《A Unified Approach to Interpreting Model Predictions—解释模型预测的统一方法》论文解读与翻译
- DayDayUp:三观一致必将取代血缘关系,成为新的人际纽带(博主推荐文章)
- 成功解决Module Not Found Error : No module named mglearn
- js实现随机生成小方块
- Spring Security构建Rest服务-0702-短信验证码登录
- TASKCTL敏捷调度理念的诠释
- 安装开发环境注意事项2
- PHP教程-防止网站被刷票的小技巧
- UVALive 3026 Period (KMP算法简介)
- 由Lucnene 对于预治疗的文字,全角半角转换器(可执行)