文章图片
第六,解码工具Shellcode分析
恶意的jQuery文件包含解码工具Shellcode和最终的钴击DLL。但是,这里使用的DLL是异或编码的。解码工具Shellcode负责对其进行解码,并激活交付工具进程内存中的最终有效负载。
解码工具Shellcode负责解码最终的RAT有效负载:
文章图片
七、钴罢工分析
最终的RAT有效载荷实际上是钴撞击。解码DLL后,解码工具Shellcode会跳到内存中MZ的开头,而不是转到DllEntryPoint。这样做的目的是计算加载工具例程的地址并跳转到该位置。该例程将在启动工具进程的内存中执行钴击的反射DLL加载。
代码从基本图像开始,然后通过调用ebx跳转到反射加载工具的地址:
文章图片
加载工具例程在内存中设置完DLL后,将跳转到DllEntryPoint来激活感染过程的最后一个阶段——实际的RAT组件。
7.1钴撞击的配置
钴罢工使用的配置中指定的”。概要”文件。这些配置描述了恶意Payload的各种特性,包括C2配置、通信协议、进程注入技术等。
此攻击中使用的配置文件试图模仿合法的jQuery请求。在这种攻击中,最常见的配置如下:
信标类型= HTTP
CnC URL资源位置= /jquery-3.3.1.min.js
HTTP Post位置= /jquery-3.3.2.min.js
用户代理= Mozilla/5.0 apple WebKit/537.36 Chrome/74 . 0 . 3729 . 157 Safari/537.36
获取元数据=
接受:文本/html,应用程序/xhtml+xml,应用程序/XML;q=0.9,*/*;q=0.8
主持人:code.jquery.com
推荐人:http://code.jquery.com/
接受-编码:gzip,放气
__cfduid=
饼干
HTTP帖子元数据=
接受:文本/html,应用程序/xhtml+xml,应用程序/XML;q=0.9,*/*;q=0.8
主持人:code.jquery.com
推荐人:http://code.jquery.com/
接受-编码:gzip,放气
_ _ cfduid
空闲DNS IP = 74125.196.113
派生进程=
%windir%syswow64dllhost.exe
%windir%sysnativedllhost.exe
过程注入配置=
ntdll:RtlUserThreadStart
创建线程
NtQueueApcThread-s
远线程插入
自我删除
7.2功能分析
这次攻击中使用的钴打击支持许多功能,包括:
1.通过注入在目标进程中执行任意代码;
2.在被感染的终端上执行任何命令;
3.下载并上传文件;
4.模拟用户;
5.遍历、复制、删除文件或修改文件时间戳;
6.修改和查询Windows注册表;
7.使用可扩展的jQuery C&C配置文件模拟合法流量。
完整的感染链如下图所示:
文章图片
八.滥用粘贴纸
在这次攻击中,pastebincom网站被滥用来托管MetaSploit下载工具的Shellcode。Pastebin上托管的Shellcode由来宾用户或以下五个注册帐户创建,它们是:
hxxps://pastebincom/u/r _ ajeevshikra
hxxps://pastebincom/u/ra _ jeevshikra
hxxps://pastebincom/u/Raj _ eevshikra
hxxps://pastebincom/u/raje _ evshikra
hxxps://pastebincom/u/rajeev _ Shi kra
攻击者操纵的Pastebin帐户:
Pastebin上托管的Base64编码MetaSploit下载工具Shellcode:
文章图片
九.Python组件
我们还发现一些基于Python的模块被用于这种恶意活动。这些模块以前可能被用于其他恶意活动,或者作为钴打击攻击的一部分进行部署。我们发现的两个Python模块有以下用途:
推荐阅读
- 异性之间发生了身体亲密关系,是否会成为恋人?
- 钓的重点是诱饵
- 异性之间经常对视是偶然还是必然?
- 异性之间,最不能聊的五种话题,尤其是最后一个!
- 异性之间,关系一旦不纯洁了,就会有这五种现象!
- 异性之间,女人对你动了情,十有八九会这样
- 为蚊子准备的甜菜诱饵有用吗?
- 李晨朋友圈截图 勿恶意解读!卜柯文晒李晨朋友圈截图 5:20写下生日祝福
- 豆瓣刷分 《流浪地球》遭恶意刷低分 豆瓣宣布修改评分机制
- 代拍是什么意思 杨幂遭代拍恶意拍摄是怎么回事?什么情况?终于真相了,原来是这样!