真船借箭:盘点行动中攻击者的绝密武器

2019 年 7 月 1 日 黑白之道

文章作者:TOD安全团队

文章来源于微信公众号:黑鸟

近日全国性网络攻防行动结束,无论是攻击方和防守方都尽力拼搏,有坚守到最后的,有一开始就出局的,想祝贺各位,在此先不谈结果如何,即使活动结束,网络攻防依然继续。


如今网络世界不稳定,无论是大国(中美俄等)单边作战,还是小国多国联合作战(德国和荷兰刚建立了第一个联合军事互联网,,该项目被视为未来统一其他北约成员军事网络的试验),未来的网络战场中,作战形式的多样化,越发证明了目前网络战场的激烈。


而所有的防守方务必要从过去一个月的假想敌,转变为防守境外攻击组织的思路,只能说,像过去很多的只为了应急的防守手段,能否敌得过境外攻击组织的连续炮轰一个月,这都是需要考虑。


当然攻击方就不多说了,干就是了。


声明:样本VT都有,意味着样本已经公开,并不存在涉密行为,如有兴趣请手打图片中的Hash进行分析。


下文为来自 中电科网安 TOD安全团队 K  先生过去几次攻击活动中发现的一些工具,无论是对防守方和攻击方,都具有思考价值。


最近在内网中发现了9款攻击者使用的工具,其中6款工具国内的安全软件都无法检测。

 

 1.进程隐藏工具libprocesshider.so

 

此工具作用为劫持系统的readdir64和readdir函数,隐藏”proxy”进程。

核心功能如下图:



当readdir函数被调用时,先调用系统的readdir函数,在readdir返回的进程名字里面去比较进程名字是否含有”proxy”,如果是proxy进程,则不将readdir的结果返回给调用者,以此达到隐藏进程的目的。



根据virustotal信息,此工具国内杀软无检测:

 


2.流量代理工具proxy


Proxy为Dog Tunnel(狗洞),https://github.com/vzex/dog-tunnel/,go语言编写的流量代理工具:


 

根据virustotal信息,该工具无安全软件检测:



3.冰蝎一句话木马AdvanceSearchStyle.jsp

 

作为新型加密网站管理客户端,冰蝎算是作为中国菜刀的替代者。此次发现的样本为冰蝎JSP一句话木马:



冰蝎一句话木马相对于传统的一句话木马的优点是传输内容进行了AES算法加密,使得流量抓取也无法分析攻击者行为。

Virustoal检测结果:

 


冰蝎客户端提供了丰富的shell管理功能:



加密传输的流量样本:



4.JSP WEB后门live_index_bank3.jsp

 

这是一个常规的JAVA WEB后门,通过调用.jsp?nox=”命令”来执行命令

 


Virustoal检测结果:

 



模拟环境中调用如图:



5.Linux辅助提权工具LinEnum.sh

 

LinEnum.sh脚本是一个shell脚本,可以自动执行65个以上的Linux命令,当攻击者尝试提高目标系统上的权限时,这些命令对信息收集可能会非常有用。


该脚本还允许用户在*.conf和* .log文件中搜索关键字。将显示任何匹配项以及标识关键字的完整文件路径和行号。



Virustoal检测结果:



该脚本是一个提权辅助脚本,主要功能是枚举机器信息,发现敏感信息筛选弱点,确定了弱点后还需攻击者寻找匹配的提权工具进行提权,敏感信息将会以黄色字样标出:


 

6.脏牛提权工具c0w64


Cow64是脏牛漏洞提权工具,是一款针对Linux的提权工具,漏洞编号为CVE-2016-5195




这个在linux,有几个部署杀软。



7.内网流量代理工具agent.exe


agent.exe是nps工具(https://github.com/cnlh/nps),

是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端:



攻击者使用命令如下:



安全工具检测情况如下:


 

8  powershell木马


从流量中发现了可疑powershell下载



该脚本主要包含三层静态加密内容:
第一层:


内容首先被 gzip 压缩,再通过 base64 编码

第二层:


第一层解开后的内容如下:



代码的主要作用为将一段加密的字符串通过 base64 解码后,再与’35’进行异或后解密,并在内存 中分配申请一段内存,将解密后的 shellcode 拷贝到新申请的内存中并执行,shellcode 不出现在 任何 PE 文件或者其他常见的攻击文件中,借此绕过杀软。


通过 virustotal 信息可以看到,国内所有杀软对此都无检测。




第三层 shellcode:


通过 virustotal 信息可以看到,国内所有杀软对此shellcode 文件都无检

测:



shellcode 通过读取 peb 中 dll 中的 IAT 地址来实现函数调用:



并且不通过函数名字而通过函数名字 hash 值得的方法来获得函数地址,以避免 函数字符串被轻易发现:



使用工具 jmp2it.exe调试 shellcode


通过动态调试获取shellcode 调用的函数名字:



经过分析,得出此shellcode 功能如下:


 

9 端口扫描工具autoGetv2.exe

 

autoGetv2.exe是一款基于Python脚本的端口扫描工具。

 

逆向发现pe文件中有pyinstaller的字符串



使用pyinstxtractor.py解包得到如下文件:



添加pyc文件头:



再使用easypython decompiler从pyc(pyo)文件得到py文件:



通过日志查询发现攻击者使用了如下的命令:


查杀情况如下:

 

总结


不打不相识



如需认领或进行技术交流,请添加作者个人微信:kfccfkhg


想了解更多,欢迎扫码


登录查看更多
0

相关内容

【元图(Meta-Graph):元学习小样本连接预测】
专知会员服务
64+阅读 · 2020年5月31日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【SIGMOD2020-腾讯】Web规模本体可扩展构建
专知会员服务
29+阅读 · 2020年4月12日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
神器Cobalt Strike3.13破解版
黑白之道
12+阅读 · 2019年3月1日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
考考你的眼力+细心度!
程序猿
11+阅读 · 2019年1月15日
网络安全态势感知
计算机与网络安全
25+阅读 · 2018年10月14日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
33款可用来抓数据的开源爬虫软件工具 (推荐收藏)
数据科学浅谈
7+阅读 · 2017年7月29日
开源巨献:阿里巴巴最热门29款开源项目
算法与数据结构
5+阅读 · 2017年7月14日
Arxiv
35+阅读 · 2019年11月7日
Question Generation by Transformers
Arxiv
5+阅读 · 2019年9月14日
VIP会员
相关资讯
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
神器Cobalt Strike3.13破解版
黑白之道
12+阅读 · 2019年3月1日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
考考你的眼力+细心度!
程序猿
11+阅读 · 2019年1月15日
网络安全态势感知
计算机与网络安全
25+阅读 · 2018年10月14日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
33款可用来抓数据的开源爬虫软件工具 (推荐收藏)
数据科学浅谈
7+阅读 · 2017年7月29日
开源巨献:阿里巴巴最热门29款开源项目
算法与数据结构
5+阅读 · 2017年7月14日
Top
微信扫码咨询专知VIP会员