此篇文章发布距今已超过24天,您需要注意文章的内容或图片是否可用!
研究人员在最近整理 HW 期间的样本时发现了一个比较有意思的自写木马osshunter。该木马使用 go 语言编写,伪装成邮件文档进行钓鱼。木马功能较为完善,基本实现了常规木马的所有功能,如执行 shell 命令、下载文件、上传文件、浏览文件目录等。比较新奇的是,该木马使用对象存储服务作为信道,通过对象存储的文件上传和下载实现受控端和控制端的通信,完成整个远程控制的流程。对象存储服务,简单来说就是一种云端存储文件的服务,用户只需提供访问区域(Endpoint)和访问密钥(Accesskey),就可以通过各种接口方便的上传和下载文件。相较于云主机可以自己搭建不同的服务,对象存储服务仅提供存储文件的功能,更具有针对性,更加方便,价格也更低。并且木马使用存储服务时,主机仅会与域名 <Bucketname>.<Endpoint> 通信,且流量特征为对象存储服务通信协议本身的特征,从网络行为上更加不容易引起怀疑。该木马利用对象存储服务实现了较为完整的木马功能,总体通信示意图如下:
木马使用阿里云对象存储(OSS)作为代理,访问密钥和存储空间(Bucket)名称均硬编码在文件中。木马将连接控制端和受控端的中间文件均存储在名为 ”ccb-images” 的存储空间中,通过上传和下载文件实现二者通信(虽然请求时有目录层级形式的路径,但对象存储是没有目录结构的,这是厂商支持的特性)。木马在启动执行后会生成一个 UUID,用来在通信中标识自身,方便控制端区分不同的木马实例。同时会创建互斥体,避免同一主机运行多个实例。木马启动后会判断自身路径是否在 %localappdata%MicrosoftWindows 目录下,从而确定自身是否为用户执行或者自启执行。如果为用户执行,则弹出消息框,提示用户文档异常,否则直接执行木马逻辑。想要获取更详细样本分析?
点击下方链接或者“阅读原文”查看吧!
关于微步在线研究响应团队:
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com
还没有评论,来说两句吧...