1、概述

克日,安天CERT通过网络平安监测发现了一起恶意文档释放Python编写的远控木马事宜。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提醒,安天CERT判断该事宜是一起针对阿塞拜疆共和国国家石油公司举行的定向攻击流动。此次事宜中,攻击者充实行使手艺实现规避反病毒软件查杀,详细为行使了隐写术将远控木马相关文件以压缩包花样存储于恶意文档里的图片中以备后期提取行使。首先将该恶意文档另存为docx文件,该文件花样具备ZIP文件的特征,然后另存为ZIP花样举行解压并获取其中的图片,最后提取图片中的远控木马文件。此远控木马接纳Python语言编写,具备一样平常远控的上传、下载和下令执行等功效。

2、事宜对应的ATT&CK映射图谱

本讲述中涉及事宜为攻击者针对目的系统投放恶意文档,释放并运行远控木马。通过梳理该事宜对应的ATT&CK映射图谱,展现攻击者在该事宜中使用的手艺点,如下图所示:

图 2-1 此次攻击流动的ATT&CK映射图谱

详细的ATT&CK手艺行为形貌如下表所示:

表 2-1 事宜对应的ATT&CK手艺行为形貌表

3、样天职析

3.1 样本标签

表3-1 样本标签

3.2 样本运行流程

当恶意文档中的宏代码运行后,存在两个自动执行函数,在差异状态下触发执行。一个是当文档状态处于打开时触发执行,通过确立目录、拷贝、另存ZIP花样、解压等操作获取嵌入图片中的Python编写的远控木马;另一个是当文档状态处于关闭时执行,挪用shell以隐藏窗口的方式执行bat远控启动剧本,进而运行远控木马剧本,该剧本主要功效为释放vbs剧本文件(内容为挪用bat远控启动剧本),并以该剧本为载体确立设计义务,同时确立循环加载设置文件与C2确立毗邻,获取指令,执行对应操作。

图 3-1 宏代码确立和释放的相关文件

图 3-2 样本运行流程

3.3 恶意文档剖析

样本为一个具有恶意宏代码的Word文档,从内容上看,是以SOCAR公司的名义伪造的一份“关于剖析用催化剂的出口”的文档,同时行使模糊效果和提醒信息的手段,诱骗目的通过点击“启动宏”按钮的方式可查看文档详细内容。SOCAR是阿塞拜疆共和国国家石油公司的简称,连系文档内容,判断这是一起针对阿塞拜疆共和国国家石油公司员工的恶意文档投递流动。

图 3-3 文档内容

通过提取文档中的宏代码剖析,主要有两个触发操作的函数“Document_Open()”和“Document_Close()”,同时该宏代码存在大量混淆,详细是将“rqxjx”、“RXQYE”、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自界说变量和函数中,能够在一定水平上规避反病毒软件和滋扰剖析事情。

图 3-4 自动执行的相关函数

图 3-5 混淆的宏代码

,

USDT线下交易

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

,

解混淆后,从Document_Open()函数中可以看到其中界说了一些文件路径变量,通过MyFunc23函数解密相关路径,依据这些变量确立响应目录和文件,同时提取恶意文档中行使隐写术保留于图片中的远控木马相关文件。

图 3-6 Document_Open函数内容

表3-2变量信息

图 3-7 Python编写的远控相关文件

Document_Close函数功效为以隐藏方式运行远控木马启动剧本,剧本文件即为“C:\Users\MA\AppData\Roaming\nettools48\”目录下的runner.bat文件。该剧本文件初始设置了一准时间的延迟,尔后运行当前文件夹下的远控木马剧本“vabsheche.py”。

图 3-8 运行远控木马启动剧本

剧本内容如下:


远控木马剧本内容主要分为三部门:

3.4 释放的远控木马剖析

第一部门界说了多个系统判断函数,包罗Windows、Linux和Mac OS X,同时读取C2地址设置文件,获取对应域名和端口。从系统判断函数上看,虽然本次发现的剧本中只挪用了Windows系统判断函数,且后续内容只能在Windows系统上执行,然则不清扫攻击者后期会开发针对Linux和Mac OS X系统的剧本。

图 3-9 远控剧本第一部门内容

第二部门界说一个task_registration函数,主要功效为将启动剧本runner.bat的路径写入vbs剧本中,实现vbs剧本挪用运行远控,而vbs的挪用,是通过挪用schtasks下令确立设计义务,实现每三十分钟运行一次vbs剧本。最后以Windows系统判断函数运行效果来触发task_registration函数。

图 3-10 远控剧本第二部门内容

最后一部门功效是C2下令处置历程,详细如下:通过同目录下的证书文件“cert.pem”连系前期获取的域名和端口,同C2确立毗邻,获取C2返回信息。

图 3-11 毗邻C2代码

在整体代码上添加了循环和容错处置,若是毗邻乐成,则剖析C2返回的信息,依据特定数据,执行差其余指令操作;毗邻失败,则延迟120秒,继续实验毗邻C2,连续运行此历程。远控木马C2地址:pook.mywire.org 端口:220。

表3-3 远控木马指令表

4、总结

由于该远控木马是用Python编写,对应文件具备剧本文件特征,实在质文件花样为文本文件,相较于PE文件,这种文件花样在一定水平上能够降低被反病毒软件查杀的可能性,同时连系远控木马VT检测效果,安天CERT以为这种剧本形式的远控木马将会加倍频仍的被攻击者使用,甚至连系混淆编码举行使用。

Max pool官网

Max pool官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

Allbet声明:该文看法仅代表作者自己,与本平台无关。转载请注明:ipfs矿机合租(www.ipfs8.vip):将Python远控隐藏在文档图片中的行动剖析
发布评论

分享到:

收购usdt(www.caibao.it):携程2020年营收183亿,同比下降49%,四季度降幅有所缩窄
2 条回复
  1. 新2手机网址
    新2手机网址
    (2021-08-14 00:01:36) 1#

    原来有这么好的文

    1. 皇冠正网(www.huangguan.us)
      皇冠正网(www.huangguan.us)
      (2021-09-15 13:41:41)     

      biu~爱心发射

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。