会员服务 ·

真船借箭：盘点行动中攻击者的绝密武器

2019 年 7 月 18 日 黑客技术与网络安全

下文为来自中电科网安 TOD安全团队 K 先生过去几次攻击活动中发现的一些工具，无论是对防守方和攻击方，都具有思考价值。

最近在内网中发现了9款攻击者使用的工具，其中6款工具国内的安全软件都无法检测。

1、进程隐藏工具libprocesshider.so

此工具作用为劫持系统的readdir64和readdir函数，隐藏”proxy”进程。

核心功能如下图：

当readdir函数被调用时，先调用系统的readdir函数，在readdir返回的进程名字里面去比较进程名字是否含有”proxy”，如果是proxy进程，则不将readdir的结果返回给调用者，以此达到隐藏进程的目的。

根据virustotal信息，此工具国内杀软无检测：

2、流量代理工具proxy

Proxy为Dog Tunnel(狗洞)，https://github.com/vzex/dog-tunnel/，go语言编写的流量代理工具：

根据virustotal信息，该工具无安全软件检测：

3、冰蝎一句话木马AdvanceSearchStyle.jsp

作为新型加密网站管理客户端，冰蝎算是作为中国菜刀的替代者。此次发现的样本为冰蝎JSP一句话木马：

冰蝎一句话木马相对于传统的一句话木马的优点是传输内容进行了AES算法加密，使得流量抓取也无法分析攻击者行为。

Virustoal检测结果：

冰蝎客户端提供了丰富的shell管理功能：

加密传输的流量样本：

4、JSP WEB后门live_index_bank3.jsp

这是一个常规的JAVA WEB后门，通过调用.jsp?nox=”命令”来执行命令

Virustoal检测结果：

模拟环境中调用如图：

5、Linux辅助提权工具LinEnum.sh

LinEnum.sh脚本是一个shell脚本，可以自动执行65个以上的Linux命令，当攻击者尝试提高目标系统上的权限时，这些命令对信息收集可能会非常有用。

该脚本还允许用户在*.conf和* .log文件中搜索关键字。将显示任何匹配项以及标识关键字的完整文件路径和行号。

Virustoal检测结果：

该脚本是一个提权辅助脚本，主要功能是枚举机器信息，发现敏感信息筛选弱点，确定了弱点后还需攻击者寻找匹配的提权工具进行提权，敏感信息将会以黄色字样标出：

6、脏牛提权工具c0w64

Cow64是脏牛漏洞提权工具，是一款针对Linux的提权工具，漏洞编号为CVE-2016-5195

这个在linux，有几个部署杀软。

7、内网流量代理工具agent.exe

agent.exe是nps工具（https://github.com/cnlh/nps），

是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端：

攻击者使用命令如下：

安全工具检测情况如下：

8、powershell木马

从流量中发现了可疑powershell下载

该脚本主要包含三层静态加密内容:

第一层:
内容首先被 gzip 压缩，再通过 base64 编码

第二层:

第一层解开后的内容如下:

代码的主要作用为将一段加密的字符串通过 base64 解码后，再与’35’进行异或后解密，并在内存中分配申请一段内存，将解密后的 shellcode 拷贝到新申请的内存中并执行，shellcode 不出现在任何 PE 文件或者其他常见的攻击文件中，借此绕过杀软。
通过 virustotal 信息可以看到，国内所有杀软对此都无检测。