您好,登錄后才能下訂單哦!
這篇文章將為大家詳細(xì)講解有關(guān)如何利用AutoIT腳本釋放DarkComet后門(mén),文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。
近日,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到一起利用郵件間接傳播CVE-2017-11882漏洞文檔以攻擊商貿(mào)行業(yè)從業(yè)者的安全事件,與之前發(fā)布的“商貿(mào)信”事件不同的是,此次攻擊者使用的手法有所變化:借用AutoIT程序以繞過(guò)安全軟件的查殺,傳播的后門(mén)程序?yàn)镈arkComet遠(yuǎn)控木馬程序,并且相關(guān)樣本下載服務(wù)器是搭建在亞馬遜云服務(wù)上,這樣導(dǎo)致邊界設(shè)備將無(wú)法直接對(duì)該服務(wù)器域名/IP進(jìn)行攔截,進(jìn)一步繞過(guò)安全檢查。
此次事件中,攻擊者首先將釣魚(yú)郵件定向發(fā)送給貿(mào)易相關(guān)行業(yè)的受害者,一旦受害者打開(kāi)郵件中的附件,將會(huì)向遠(yuǎn)程服務(wù)器加載一個(gè)惡意的OLE對(duì)象(CVE-2017-11882漏洞文檔),然后漏洞文檔會(huì)下載一個(gè)自解壓程序,自解壓程序運(yùn)行后先將相關(guān)文件解壓到臨時(shí)目錄,然后通過(guò)autoit3程序執(zhí)行混淆過(guò)的au3腳本文件,通過(guò)au3腳本文件解密出一個(gè)DarkComet后門(mén)程序,然后以傀儡進(jìn)程的方式加載該后門(mén)程序,達(dá)到控制受害者機(jī)器的目的。大體攻擊流程如下圖所示:
MD5: 3ABAEED8930DD4C511340A882A05E79A
捕獲EML樣本,打開(kāi)后內(nèi)容如下:
將郵件附件保存,得到Document Copy.docx (MD5: 7A861F4F39AAA85C7547F7521544ED58)文件,該文件是一個(gè)內(nèi)嵌惡意OLE對(duì)象的文檔,文檔打開(kāi)后,會(huì)通過(guò)OLE對(duì)象加載機(jī)制從遠(yuǎn)程服務(wù)器加載另一個(gè)漏洞文檔:
https [:]//s3.amazonaws[.]com/rewqqq/SM.doc
將目標(biāo)文檔下載分析后,可以知道SM.doc文檔是一個(gè)利用CVE-2017-11882漏洞的惡意文檔。文檔打開(kāi)后會(huì)通過(guò)漏洞執(zhí)行遠(yuǎn)程hta腳本:
https[:]//s3.amazonaws[.]com/rewqqq/awss.hta
awss.hta腳本負(fù)責(zé)從遠(yuǎn)程服務(wù)器https[:]//s3.amazonaws[.]com/rewqqq/wizzy.exe
下載一個(gè)后門(mén)木馬程序保存到c:/windows/temp/shell.exe,然后執(zhí)行該后門(mén)程序。
通過(guò)工具查看該文件信息,可以知道該文件是一個(gè)WinRAR打包的自解壓程序。
用WinRAR打開(kāi)該文件可以發(fā)現(xiàn),該文件執(zhí)行后會(huì)執(zhí)行如下命令:
taa.exe xtb=ldp
這里為了分析,我們可以使用解壓工具進(jìn)行解壓,解壓后得到如下文件:
其中taa.exe是一個(gè)帶正常簽名的AutoIT腳本解釋器程序,用于執(zhí)行au3腳本
xtb=ldp文件是一個(gè)au3腳本文件,可以看到腳本內(nèi)添加了大量無(wú)用的注釋,這里作者通過(guò)這種方式防止殺軟檢測(cè)出此惡意腳本
VT上x(chóng)tb=ldp腳本的檢測(cè)結(jié)果:
作者為了和殺軟進(jìn)行對(duì)抗,對(duì)該腳本添加大量無(wú)效注釋,這個(gè)嚴(yán)重影響我們閱讀該腳本,為了方便分析該腳本的功能,我們對(duì)該腳本進(jìn)行簡(jiǎn)單的處理,處理后腳本關(guān)鍵代碼片段如下:
通過(guò)調(diào)試該腳本,可以知道該腳本運(yùn)行后會(huì)先檢測(cè)當(dāng)前主機(jī)是否存在avastui.exe進(jìn)程,如果存在則先睡眠20秒,然后繼續(xù)執(zhí)行。腳本會(huì)讀取當(dāng)前目錄下的fgx.mp3文件,從中讀取sData、esData字段的內(nèi)容,然后將數(shù)據(jù)進(jìn)行解密,并將解密后的數(shù)據(jù)保存到當(dāng)前目錄下,文件名為隨機(jī)生成的五位字符串,然后利用autoit3程序執(zhí)行解密后的文件。我們將解密后的文件打開(kāi)后,發(fā)現(xiàn)該文件是一個(gè)新的au3腳本文件。
fgx.mp3文件中sData、esData字段部分內(nèi)容如下:
解密出來(lái)的新au3腳本(此次文件名為BAKBS)部分內(nèi)容如下:
為了方便閱讀該腳本,我們對(duì)該腳本進(jìn)行一點(diǎn)修改和注釋。通過(guò)閱讀該腳本代碼,我們可以知道,該腳本主要實(shí)現(xiàn)如下功能:
1. 虛擬機(jī)檢測(cè)
2. 沙箱檢測(cè)
3. 禁用UAC
4. 禁用任務(wù)管理器
5. 開(kāi)機(jī)自啟
6. 下載執(zhí)行更新
7. 執(zhí)行本地腳本
8. 解密并釋放后門(mén)木馬程序
下面是修改后的腳本部分功能代碼。
核心功能代碼片段:
虛擬機(jī)檢測(cè)代碼:
沙箱檢測(cè)代碼:
禁用UAC代碼:
禁用任務(wù)管理器代碼:
開(kāi)機(jī)自啟代碼:
下載并執(zhí)行代碼:
解密并執(zhí)行后門(mén)木馬程序:
執(zhí)行配置文件中指定的程序:
執(zhí)行后門(mén)程序和目標(biāo)程序時(shí),先拷貝一個(gè)白簽名程序(此處是RegSvcs.exe或Firefox.exe),然后通過(guò)傀儡進(jìn)程方式將目標(biāo)進(jìn)程注入到白進(jìn)程中,以達(dá)到隱藏的目的:
下面我們來(lái)看下上面提到的解密出來(lái)的后門(mén)木馬程序。
該程序經(jīng)過(guò)UPX加殼:
脫殼后,文件信息如下:
該程序是國(guó)外的一款遠(yuǎn)程控制軟件,早期作者將其免費(fèi)發(fā)布在網(wǎng)絡(luò)上。由于該軟件支持的功能非常多,發(fā)布后深受攻擊者們喜愛(ài),被廣泛用于網(wǎng)絡(luò)攻擊,基于這種情況,作者在2012年出于法律問(wèn)題將該項(xiàng)目停止。盡管作者不再更新,但是目前仍有大量攻擊者使用該工具進(jìn)行網(wǎng)絡(luò)攻擊。
下面是DarkComet遠(yuǎn)控的的配置界面,可以看到,該軟件支持的功能非常之多,并且支持靈活配置,其中主要包含資料竊取、鍵盤(pán)記錄、視頻/聲音監(jiān)控、桌面監(jiān)控、系統(tǒng)控制等等。
通過(guò)OD調(diào)試該遠(yuǎn)控木馬程序,可以看到,樣本運(yùn)行后會(huì)讀取資源區(qū)中的”DCDATA”資源,然后進(jìn)行解密,解密后得到配置信息如下:
#BEGIN DARKCOMET DATA --MUTEX={DCMIN_MUTEX-B6DQQC7}SID={KAYANA}NETDATA={obyterry.hopto.org:1990}GENCODE={HMgiLefV9w0m}OFFLINEK={1}#EOF DARKCOMET DATA --
通過(guò)解密出的信息可以知道,攻擊者使用的控制服務(wù)器地址為:obyterry.hopto.org:1990
下面是該后門(mén)程序執(zhí)行相關(guān)功能的代碼片段:
攻擊者通過(guò)該后門(mén)程序能夠輕而易舉地監(jiān)控到受害者主機(jī)的一切行為,包括鍵盤(pán)輸入、桌面操作、主機(jī)文件等等,如果受害者電腦有攝像頭等設(shè)備,攻擊者還能通過(guò)攝像頭及麥克風(fēng)來(lái)監(jiān)控受害者的一舉一動(dòng)。根據(jù)騰訊威脅情報(bào)中心的數(shù)據(jù)來(lái)看,受害者大多為貿(mào)易相關(guān)的從業(yè)者,一旦這些人員被攻擊,很容易造成公司核心資料外泄,對(duì)公司產(chǎn)生巨大威脅,因此我們?cè)诖颂嵝褟V大用戶,對(duì)于陌生郵件一定要謹(jǐn)慎對(duì)待。
關(guān)于如何利用AutoIT腳本釋放DarkComet后門(mén)就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。