代备案网站空间,网站后台 网站页面没有显示,义乌网站建设和制作,企业邮箱登录入口1、概述
** **近日#xff0c;安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示#xff0c;安天CERT判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。此次事件中安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示安天CERT判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。此次事件中攻击者充分利用技术实现规避反病毒软件查杀具体为利用了隐写术将远控木马相关文件以压缩包格式存储于恶意文档里的图片中以备后期提取利用。首先将该恶意文档另存为docx文件该文件格式具备ZIP文件的特性然后另存为ZIP格式进行解压并获取其中的图片最后提取图片中的远控木马文件。此远控木马采用Python语言编写具备一般远控的上传、下载和命令执行等功能。
##2、事件对应的ATT CK映射图谱
** **本报告中涉及事件为攻击者针对目标系统投放恶意文档释放并运行远控木马。通过梳理该事件对应的ATTCK映射图谱揭示攻击者在该事件中使用的技术点如下图所示 图 2-1 此次攻击活动的ATT CK映射图谱
具体的ATTCK技术行为描述如下表所示
表 2-1 事件对应的ATT CK技术行为描述表
##3、样本分析
###3.1 样本标签
表3-1 样本标签
###3.2 样本运行流程
当恶意文档中的宏代码运行后存在两个自动执行函数在不同状态下触发执行。一个是当文档状态处于打开时触发执行通过创建目录、拷贝、另存ZIP格式、解压等操作获取嵌入图片中的Python编写的远控木马另一个是当文档状态处于关闭时执行调用shell以隐藏窗口的方式执行bat远控启动脚本进而运行远控木马脚本该脚本主要功能为释放vbs脚本文件内容为调用bat远控启动脚本并以该脚本为载体创建计划任务同时建立循环加载配置文件与C2建立连接获取指令执行对应操作。 图 3-1 宏代码创建和释放的相关文件 图 3-2 样本运行流程
###3.3 恶意文档分析
样本为一个具有恶意宏代码的Word文档从内容上看是以SOCAR公司的名义伪造的一份“关于分析用催化剂的出口”的文档同时利用模糊效果和提示信息的手段诱骗目标通过点击“启动宏”按钮的方式可查看文档详细内容。SOCAR是阿塞拜疆共和国国家石油公司的简称结合文档内容判断这是一起针对阿塞拜疆共和国国家石油公司员工的恶意文档投递活动。 图 3-3 文档内容通过提取文档中的宏代码分析主要有两个触发操作的函数“Document_Open()”和“Document_Close()”同时该宏代码存在大量混淆具体是将“rqxjx”、“RXQYE”、“RXQYE_20210329_092748_rqxjx”字符大量嵌入到自定义变量和函数中能够在一定程度上规避反病毒软件和干扰分析工作。 图 3-4 自动执行的相关函数
图 3-5 混淆的宏代码
解混淆后从Document_Open()函数中可以看到其中定义了一些文件路径变量通过MyFunc23函数解密相关路径依据这些变量创建相应目录和文件同时提取恶意文档中利用隐写术保存于图片中的远控木马相关文件。 图 3-6 Document_Open函数内容 表3-2变量信息 图 3-7 Python编写的远控相关文件Document_Close函数功能为以隐藏方式运行远控木马启动脚本脚本文件即为“C:\Users\MA\AppData\Roaming\nettools48\”目录下的runner.bat文件。该脚本文件初始设置了一定时间的延迟而后运行当前文件夹下的远控木马脚本“vabsheche.py”。 图 3-8 运行远控木马启动脚本脚本内容如下
###远控木马脚本内容主要分为三部分
###3.4 释放的远控木马分析
第一部分定义了多个系统判断函数包括Windows、Linux和Mac OS X同时读取C2地址配置文件获取对应域名和端口。从系统判断函数上看虽然本次发现的脚本中只调用了Windows系统判断函数且后续内容只能在Windows系统上执行但是不排除攻击者后期会开发针对Linux和Mac OS X系统的脚本。 图 3-9 远控脚本第一部分内容第二部分定义一个task_registration函数主要功能为将启动脚本runner.bat的路径写入vbs脚本中实现vbs脚本调用运行远控而vbs的调用是通过调用schtasks命令创建计划任务实现每三十分钟运行一次vbs脚本。最后以Windows系统判断函数运行结果来触发task_registration函数。 图 3-10 远控脚本第二部分内容最后一部分功能是C2命令处理过程具体如下通过同目录下的证书文件“cert.pem”结合前期获取的域名和端口同C2建立连接获取C2返回信息。 图 3-11 连接C2代码在整体代码上添加了循环和容错处理如果连接成功则解析C2返回的信息依据特定数据执行不同的指令操作连接失败则延迟120秒继续尝试连接C2持续运行此过程。远控木马C2地址pook.mywire.org 端口220。
表3-3 远控木马指令表 ##4、总结
** **由于该远控木马是用Python编写对应文件具备脚本文件特性其实质文件格式为文本文件相较于PE文件这种文件格式在一定程度上能够降低被反病毒软件查杀的可能性同时结合远控木马VT检测结果安天CERT认为这种脚本形式的远控木马将会更加频繁的被攻击者使用甚至结合混淆编码进行使用。
PE文件这种文件格式在一定程度上能够降低被反病毒软件查杀的可能性同时结合远控木马VT检测结果安天CERT认为这种脚本形式的远控木马将会更加频繁的被攻击者使用甚至结合混淆编码进行使用。
最后
分享一个快速学习【网络安全】的方法「也许是」最全面的学习方法 1、网络安全理论知识2天 ①了解行业相关背景前景确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。非常重要
2、渗透测试基础一周 ①渗透测试的流程、分类、标准 ②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察 ④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础一周 ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全系统入侵排查/系统加固基础
4、计算机网络基础一周 ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析HTTP、TCP/IP、ARP等 ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作2天 ①数据库基础 ②SQL语言基础 ③数据库安全加固
6、Web渗透1周 ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等 恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k。
到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗
想要入坑黑客网络安全的朋友给大家准备了一份282G全网最全的网络安全资料包免费领取 扫下方二维码免费领取
有了这些基础如果你要深入学习可以参考下方这个超详细学习路线图按照这个路线学习完全够支撑你成为一名优秀的中高级网络安全工程师
高清学习路线图或XMIND文件点击下载原文件
还有一些学习中收集的视频、文档资源有需要的可以自取 每个成长路线对应板块的配套视频 当然除了有配套的视频同时也为大家整理了各种文档和书籍资料工具并且已经帮大家分好类了。 因篇幅有限仅展示部分资料需要的可以【扫下方二维码免费领取】
