钓鱼特辑(二)在红队眼皮底下拆解木马

简介: 一场牵动人心的攻防演练正在如火如荼地开展,红方每天变着花样对目标进行钓鱼攻击,亿格云枢EDR也捕获到诸多木马样本:如XX市场业务部招聘jd&福利“、个人简历docx.rar、VX截图_20240731.exe 、图片文件-XXX公司相关问题咨询20240730.zip....

「攻防的号角已吹响,互联网也成了“新缅北”领域」。


一场牵动人心的攻防演练正在如火如荼地开展,红方每天变着花样对目标进行钓鱼攻击,亿格云枢EDR也捕获到诸多木马样本:如XX市场业务部招聘jd&福利“、个人简历docx.rar、VX截图_20240731.exe 、图片文件-XXX公司相关问题咨询20240730.zip....


有意思的是,亿格云枢EDR最近成功拦截一个钓鱼木马,并跟红队正面“交锋”。事件起因某甲方公司HR收到了一个求职者的热心投递:XX简历.rar。HR不假思索双击文件后,打开显示“文档无权限”。实际上,一个狡猾的木马程序已在其终端上悄悄运行,它轻松地绕过了NDR、防火墙等基于流量端的检测工具,但被亿格云枢EDR“一眼识破”并成功拦截,客户立即寻求亿格云的协助,拆解分析该木马!



亿格云安全团队随即针对该木马程序进行深度解析,在分析的过程中,有趣的事情发生了,我们收到了一条来自红队的亲切“问候”!


efbec7200bf9e8e5e049afef9620d09c.jpg


ac4fc710d17389600f2cf76116d38a0a.png

(气急败坏.jpg)


亿格云发现,该简历压缩包中是一个lnk文件以及一个带有Python库的文件夹。链接文件利用ftp执行WeChatWin.dll,WeChatWin.dll是一个ftp的命令文本文件,压缩包中是一个lnk文件以及一个带有Python库的文件夹。



00cd9fcb2f1ef0ad5f223acd22e2f9f8.png




云枢对此类的LNK会进行识别自动拦截

72180bd2098a285ccd5bda96a43285d9.png



利用FTP执行命令,其中WechatWin.dll 其实是一个命令文本,里面记录了执行的命令:


edcfa221aa6734fd4208d90639ce8ba5.png


关键的命令为!start /b __init__\pythonw.exe __init__\main.pyw

云枢对此类LOLBIN利用会进行识别并上报威胁事件:


922a8eedb718eb85310f67eba74ff82b.png




其中main.pyw中import了action,action.py 在整个执行过程中一共有两部分混淆代码,其中一部分是硬编码。


另一部分,则会调用pickle 进行A类的序列化和反序列化。


fef821ec03ea2c8e7860f3167d04cbbb.png



A类中定义了__reduce__方法会在反序列化时候自动调用,__reduce__会触发调用从oss上拉取的加密后的代码,


进行解密后,我们获得了以下内容:


819ebc03fcc995ab67dd6f7437666ed6.png



从OSS上下载Shellcode进行解密之后,写入自己进程内存中,利用了EnumDateFormatsA 回调触发Shellcode。


其中Shellcode主要是一段额外的自解密代码和Cobalt Strike Reflective Loader。


9e0e98da4bc3f7b02fab9e60d7cc05f1.png



Shellcode一开始由明文代码(入口点)跳转到解密函数1,由解密函数1解密出后面的部分明文代码和解密函数2,之后第二部分明文代码跳转到解密函数2,多次循环完成所有的解密,大致原理如上图所示。


ff87de62f7152559aa0a3778777b5d46.png



Shellcode解密完成后,直接调用CobaltStrike的反射加载入口。

unk_18BBC入口部分代码如下:


4d15d8d12e8568c7dd79d52b64474870.png



解密后的Shellcode会命中云枢EDR的CobaltStrike识别特征。


另外,亿格云团队发现,用一些开源安全工具分析自解密后的文件,可以直接提取到CobaltStrike的配置文件,以下展示一部分该木马对应的配置文件。


9b1d7f471c4162954960664a19be2538.png


至此,该木马程序已被完整剖析!其中恶意的快捷方式、使用Python动态加载内存码都被精准识别。当然,这只展现了亿格云枢EDR能力的冰山一角,对于木马程序,亿格云枢EDR还具备多种能力:


高检出能力:

得益于其先进的云查技术,该技术由安全专家运营,确保了云端病毒查杀引擎的实时更新和对最新威胁情报的快速响应。此外,特有的内存检测引擎显著提升了对新型恶意文件和无执行文件攻击的覆盖度。基于MITRE ATT&CK框架的全面检测策略,我们的检测覆盖率达到了95%以上,确保了对各种威胁的精准识别。


低误报设计:

通过灰度文件的进一步检测机制,有效防止误报警报导致的用户疲劳。实施文件白名单过滤策略,避免了不必要的引擎并发检测,从而降低了误报率。这些措施共同确保了系统在保持高度警觉的同时,也避免对用户的过度干扰。


云端联动与可扩展处置模块:

通过威胁情报与大数据分析技术的结合,实现了对失陷主机和威胁风险的快速定位。云端安全专家运营保证了全网终端病毒库的及时更新,从而提高了整体的响应速度和准确性。此外,处置模块具备动态决策能力,在终端发生安全事件后,能够智能联动其他功能模块,进行灵活而有效的处置。


更值得一提的是,亿格云枢以轻量一体化平台的Agent适配Windows、Linux等终端平台,还可以融合数据防泄漏、桌管、准入等多种安全功能,甚至可通过SDK集成到企业内部办公平台,实现无感知一键覆盖,降低推端阻力,实现全方位的安全防护。


在互联网世界一场场无声的战斗里,亿格云枢EDR也将始终为你加注攻防的“胜利”筹码!

相关文章
|
3月前
|
云安全 监控 安全
钓鱼特辑(一)真假PPT?现实版“狼人杀”钓鱼
“狼人杀"是当今火爆的策略推理游戏,分为狼人和平民两大阵营,通过夜间行动和白天讨论,各自运用策略和口才来识别和排除对方,以达到胜利条件。 众所周知,紧张万分的攻防演练期间,网络安全的战场就像一场没有硝烟的“狼人杀”。红方拼命“刀”平民,蓝方群起而反之。
|
JSON 安全 关系型数据库
实战 | 记一次曲折的钓鱼溯源反制2
实战 | 记一次曲折的钓鱼溯源反制
156 0
|
SQL 前端开发 Linux
实战 | 记一次曲折的钓鱼溯源反制1
实战 | 记一次曲折的钓鱼溯源反制
100 0
|
安全 数据库 Windows
黑客攻击武器“升级换代”,防御方有哪些“应知应会”?
本文从攻击来源、入侵手段、攻击目标三方面对网络攻击行为进行剖析和解读,以期让读者尤其是安全从业人员,能够对网络攻击技术的变化趋势有更深入的了解。
3456 0
|
安全
端午小长假谨防挂马网站 病毒模仿杀软骗取钱财
随着端午小长假的临近,上网人数增加,这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日,瑞星“云安全”系统就从截获的挂马网站中,发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒,并命名为“WINPC 广告病毒(Adware.Win32.Agent.Dbj)”。
1095 0
|
Web App开发 新零售 安全
大型挂马团伙“擒狼”攻击分析及溯源报告
本文讲的是大型挂马团伙“擒狼”攻击分析及溯源报告,7月13日,360安全卫士检测到一起网站广告位挂马事件,大量网络广告出现集体挂马,广告内容以同城交友等诱惑信息为主,预警为“擒狼”木马攻击。我们通过对整个挂马攻击的分析溯源发现,这个木马主要功能是锁定浏览器的主页并带有远程控制后门,作者通过木马谋取暴利,是一起典型的黑产行为。
2305 0