👻
security
  • 计算机技术
  • OWASP TOP 10
  • 名词解释
  • 1
    • 常见端口利用
    • F5 big-ip从环境搭建到漏洞复现
    • 红队资源
  • About
    • APT
      • 海莲花(APT-C-00)
        • 样本分析
      • 毒云藤(APT-C-01)
        • 大规模钓鱼攻击活动披露
        • 2020上半年针对我重要机构定向攻击活动揭秘
      • 响尾蛇(T-APT-04)
        • 利用WebSocket隧道的新型攻击活动披露
      • 蔓灵花(APT-C-08)
        • 移动平台攻击活动揭露
      • 蓝宝菇(APT-C-12)
        • 组织使用云存储技术发起的最新攻击活动披露
      • 双尾蝎组织(APT-C-23)
        • 针对中东地区的最新攻击活动
      • Lazarus(APT-C-26)
        • 暴风行动 -利用MATA框架针对数字货币行业的攻击活动揭秘
      • Fancy Bear(APT-C-28)
        • 携小众压缩包诱饵对北约、中亚目标的定向攻击分析
      • 肚脑虫组织(APT-C-35)
        • 使用升级版数字武器针对周边地区的攻击活动
        • 针对巴基斯坦的攻击活动
      • 拍拍熊(APT-C-37)
      • 军刀狮(APT-C-38)
      • 蓝色魔眼(APT-C-41)
        • 组织首次针对我国重要机构定向攻击活动披露
      • 美人鱼(Infy)
        • 使用最新的Foudre后门进行攻击活动的分析
    • 各类靶场讲解
      • sqli-labs
      • upload-labs
      • xss-labs
    • CISP题库
    • Docker
      • Docker基线
        • docker基线-概述
        • 推荐一
        • 推荐二
        • 推荐三
        • 推荐四
        • 推荐五
        • 推荐六
      • 命令与选项
      • 基于Docker的固件模拟
      • 固件相关
      • Docker 私有仓库搭建
      • 基础命令的背后
      • 渗透思路调研
      • Docker容器环境检测方法【代码】
    • 浏览器
    • markdown
    • 密码学
    • 内网渗透TIPS
    • 网络扫描
    • 正则表达式
  • 操作系统
    • Android
      • APK终端安全分析法
      • 应用审计指南
        • 通用审计方法
    • IOS
      • 应用审计指南
    • Linux
      • 反弹shell
      • 基线检查
      • SHELL编程
      • 实战技能
    • windows
      • BACKDOOR with 权限维持
      • 磁盘取证实验
      • 基线检查
      • 免杀抓取明文
      • payload下载方式
      • powershell
      • 日志分析
        • 分析工具
      • Untitled
  • 数据库
    • db2
    • mysql
      • webshell写入
      • 基础知识
      • 核心技术
      • 高级应用
    • oracle
      • webshell写入
    • SQLserver
      • webshell写入
  • 中间件
    • apache
      • 基线检查
      • 日志审计
    • iis
      • 基线检查
      • 7.5解析绕过漏洞
    • nginx
      • 基线检查
    • tomcat
      • 基线检查
  • 编程语言
    • C
    • Java
      • webshell
        • 查杀Java web filter型内存马
        • Filter/Servlet型内存马的扫描抓捕与查杀
        • 基于内存 Webshell 的无文件攻击技术研究
        • 基于tomcat的内存 Webshell 无文件攻击技术
        • Tomcat 内存马检测
      • 代码审计
      • 代码审计指南
      • 浅析Java命令执行
      • 相关框架简介及漏洞
    • PHP
      • 代码审计
      • 破解DVWA-admin密码
      • webshell
        • 常见php一句话webshell解析
        • PHP Webshell Hidden Learning
        • Webshell免杀研究
        • Webshell那些事-攻击篇
        • 过D盾webshell分享
      • 相关框架简介及漏洞
    • python
      • 安全编码规范-代码审计
      • 编码规范
      • fishc
      • 某教程涉及脚本
      • POC编写相关
      • python秘籍
        • 上半部分
        • 下半部分
      • 安全方面的内容
        • Python Opcode逃逸笔记
        • 虚拟机逃逸
      • with-EXCEL
      • 相关框架简介及漏洞
      • 源码剖析
        • 多线程和GIL锁
        • Set容器
        • 统一内存管理
        • 信号处理机制
        • 循环垃圾回收器
        • 字符串对象PyStringObject
        • 整数对象PyIntObject
        • 字节码和虚拟机
    • 汇编
    • Javascript
      • Tampermonkey Script
  • AIGC
    • howtouse
  • 网络
    • CCNA
  • 漏洞类型及讲解
    • 综合
    • 技术分享
      • 暴力破解与信息泄露
      • 信息泄露漏洞_java
      • sqli-with-java
      • python远程命令执行与SSRF
    • SQL-Injectoin
    • Cross-Site Scripting
      • 跨站的艺术-XSS入门与介绍
      • 跨站的艺术-XSS Fuzzing 的技巧
      • 给开发者的终极XSS防护备忘录
      • AngularJS特性的 XSS
    • 文件操作
      • 文件包含
  • how-to-use
    • Acunetix(AWVS)
      • 安装到使用
      • 编写AWVS脚本探测web services
      • 简单分析-web方面
      • 流量分析特征
    • burpsuite
      • 导出报告方式
      • captcha-killer
      • FAKE-IP
      • JSFind
      • 编写插件绕过WAF
    • Cobalt Strike
      • Cobalt Strike Powershell过360+Defender上线
    • FOFA
    • GDB
    • PowerSh
      • 获得Powershell命令的历史记录
      • 深入分析PowerShell的两面性
      • 内网渗透利器之PowerSploit
      • PoC:滥用PowerShell Core
      • 如何绕过PowerShell访问限制并实现PowerShell代码执行
      • 工具包
      • 无powershell运行powershell方法总结
    • sheji
    • sqlmap
      • Atlas修改SQLMap tampers 绕过WAF/IDS/IPS
      • 内核分析
      • 检测剖析
      • tamper
      • UDF
      • --os-shell
      • sqlmapapi
      • with burp
      • 网络特征
    • Matlab
    • Metasploit
      • 与Powershell
    • NESSUS
      • 流量分析特征
      • Untitled
    • Network MapTools
      • 流量特征修改
      • 识别主机指纹
    • waf
      • ngx-lua-waf
      • modsecurity
由 GitBook 提供支持
在本页
  • 1、攻击技术分析
  • 2、核心加载程序
  • 3、恶意功能组件
  • TunnelCore
  • FileRat
  • ShellRAT
  • 4、关联分析
  • 附录 IOCs

这有帮助吗?

  1. About
  2. APT
  3. 响尾蛇(T-APT-04)

利用WebSocket隧道的新型攻击活动披露

上一页响尾蛇(T-APT-04)下一页蔓灵花(APT-C-08)

最后更新于4年前

这有帮助吗?

1、攻击技术分析

相关攻击第一阶段的恶意荷载主要利用DotNetToJScript技术,以JavaScript恶意脚本为载体,在内存中执行.NET Assembly形式的恶意功能组件,以无文件攻击的方式躲避安全软件的查杀。

第二阶段的后门程序会通过C&C下载各类攻击组件,其中核心的攻击动作是在失陷机器上利用WebSocket隧道建立反向的Socks5代理,操作各种后门和攻击组件进行渗透攻击。由于WebSocket隧道属于加密流量,部分流量安全设备很难识别异常情况。

2、核心加载程序

第一阶段的核心加载程序是DLL形式的恶意荷载,按功能特点我们将其命名为JsLoader。其主要功能是从C&C服务器下载加密的JS脚本文件在内存中执行。

名称

MD5

类型

JsLoader

7680ea7601c90078f07f7b9be1944b3b

PE32(DLL)

JsLoader是由Delphi语言编写,在其主要功能函数中,是通过与密钥“MF8Ya”进行异或运算解密全局数据来获取配置信息。配置信息为首次需要访问的URL和注册表路径等信息,主要信息如下:

a)URL:

https://v1ew0[.]net/MF8YaoBm1D1QTpk2TYkOTzb2pjvbRH0JLf0a2g1S/-1/1904/25cca85/resources/frAQBc8W

b)注册表:

HKEY_CURRENT_USER\Software\Gallery2.0

紧接着该程序会尝试加载amsi.dll,对AmsiScanBuffer函数进行inline hook处理,躲避反病毒软件的检测。

然后枚举获取HKCU\Software\Gallery2.0下的键值保存起来,使用事先保存在TLS中的回调函数中创建线程对数据进行解密,针对解密后的数据后使用jscript组件对其进行加载执行。其解密算法为跳过数据的前12个字节后,与密钥“MF8Ya”进行异或运算

在此之后,JsLoader会通过访问bing.com、baidu.com、google.com进行网络连通性测试,然后与最开始解密出的URL建立HTTP会话,并获取服务器响应数据,此段数据为服务器下发的JS恶意脚本,程序会对数据进行异或解密操作,并调用jscript组件对其进行加载执行。

相关的JS脚本是通过DotNetToJScript技术加载base64编码的.NET Assembly数据,将恶意组件反射加载到内存中执行。

JsLoader程序在与C&C服务器进行HTTP通信的过程中,还会有如下网络行为特点:

1.如果响应请求为HTTP 505,则该样本会创建另一个自身进程,并退出。

2.HTTP请求为GET请求,需要有9轮HTTP 200的会话响应,每一轮的请求参数有如下规律:

a)第一轮:URL/true?x=5

b)第二轮:URL/true?x=4,5

c)第三轮:URL/true?x=3,4,5

d)…

3.当响应状态不是HTTP 200时,则会将请求中的“true”替换为”false”,并再次向服务器发送请求,直到返回HTTP 200。

4.当9轮的HTTP 200会话完成后,则会将”true”替换为”mt10”,持续与服务器进行通信

3、恶意功能组件

在C&C下发的JavaScript脚本中,我们捕获到了三个不同功能的恶意组件,按功能特点我们分别将其命名为TunnelCore、FileRAT和ShellRAT,如下表所示:

名称

文件名

功能说明

TunnelCore

ProxyModule.dll

利用WebSocket隧道建立Socks5代理进行,为其他组件提供内网穿透通道

FileRat

LiveFileManagerModule.dll

本地HTTP服务器,监听本地12380端口,提供多种文件操作功能

ShellRat

LiveConsoleModule.dll

本地TCP服务器,监听本地12323端口,提供远程Shell功能

TunnelCore

TunnelCore属于核心的代理隧道组件,通过传入指定的URL参数发起WebSocket连接。

利用WebSocket协议伪装成正常的Web请求,建立通信隧道。

紧接着利用WebSocket隧道建立Socks5代理实现内网穿透

FileRat

FileRat样本会建立本地HTTP服务器,监听本地的12380端口,同时利用TunnelCore组件实现的内网端口转发,黑客可以远程访问该HTTP服务器以达到控制目标主机的目的。

其主要提供了如下功能:

访问路径

说明

/

发送404响应

/api/

执行后续操作所需访问的父路径

/api/getZipBundle

将指定文件进行ZIP压缩

/api/sendFile

发送指定文件

/api/getDriveInfo

枚举获取驱动器信息

/api/getDirectoryInfo

获取指定目录文件信息

/api/closeModule

无

/api/delete

删除指定文件

/api/getFileListing

枚举驱动器,获取所有文件信息

ShellRAT

ShellRAT属于远程Shell组件,会在本地监听TCP 12323端口,同时利用TunnelCore组件实现的内网端口转发,黑客可以远程Shell命令

在与cmd交互的过程中,其输入缓冲区的第一个字节为特殊功能号,具体如下:

特殊功能号

说明

‘\u0003’

结束远程Shell

‘\u0004’

暂停远程Shell

‘\u0010’

与远程Shell的交互,执行命令

其中与cmd进行交互中,会额外将命令缓存在@string所标识的文件流中。

采取的格式如下:

1byte

62bytes

4bytes

Buffer

'\u0010'功能号

@string代表文件名

长度

命令

4、关联分析

核心加载程序JsLoader 的dll导出函数与duser.dll一致,是常用于DLL劫持类攻击的荷载。

响尾蛇组织历史上的多次攻击活动惯用credwiz.exe+duser.dll组合的白利用攻击手法,通过360安全大脑根据相关攻击模式对JsLoader的分析显示,相关样本与响尾蛇(SideWinder)组织的多次攻击活动存在关联。

附录 IOCs

## URL
https://v1ew0[.]net/MF8YaoBm1D1QTpk2TYkOTzb2pjvbRH0JLf0a2g1S/-1/1904/25cca85/resources/frAQBc8W
https://ms10t[.]net/9SH3VxPLwcngKM2yO2gz2comZ9vd06g4w485XFLR/36847/1595/2a182725/resources/frAQBc8W

## 注册表
HKUR\Software\Gally2.0

## MD5
7680ea7601c90078f07f7b9be1944b3b
fb88fc5a6f4ada89b3fc3e3bbe6d532d
f5547a680651fc361089f3aea03a3cbd
e1a387dbaa1cb89b4218d301abe47308

## 同族样本
1388d61b4abc3734772e1dc5c279e5c3
dfc0a83e39268fca21d84f8ee2e9964e