首页 科技内容详情
Water Basilisk 使用新的 HCrypt 变体通过 RAT 有效载荷攻击受害者

Water Basilisk 使用新的 HCrypt 变体通过 RAT 有效载荷攻击受害者

分类:科技

网址:

反馈错误: 联络客服

点击直达

澳洲幸运5官网


澳洲幸运5官网www.a55555.net)是澳洲幸运5彩票官方网站,
开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、
澳洲幸运5彩票线上投注、澳洲幸运5实时开奖服务的平台。

06.gif Water Basilisk 使用新的 HCrypt 变体通过 RAT 有效载荷攻击受害者 第1张

研〖yan〗究人员最近发现了一个无《wu》文件活动,该活动使用新的 HCrypt 变体在受害者系统中传播大量远程访「fang」问木马 ma[ (RAT),这个新变体还使用了我们本文将详细介绍的更新混淆机制。该活动在 2021 年 8 月中旬达到活动高峰。

HCrypt 是一种加密程序和多级生成器,很难被检测到。它被反病毒软件标识为加「jia」密程序即服务(crypter-as-a-service),由攻击者付费以加载他们选择的 RAT。该活动还展示了新的混淆技术和攻击媒介,与过去观察到的不同。

Water Basilisk介绍

在我们标记为 Water Basilisk 的活动中,攻击者主要使用公开可用的文件托管服务,例如用“archive.org”、“transfer.sh”和“discord.com”来托管恶意软件,而被黑客攻击的WordPress网站被用来托管钓鱼工具。

恶意文件被隐藏为通过网络钓鱼电子邮件或网站传播的 ISO。该文件{jian}还包含一个经过混淆处理的 VBScript stager,负责将 VBScript 内容的下一阶段下载并执行到受感染的系统内存中。

最后一个阶段是一个经过混淆的 PowerShell 脚本,它包含有效载荷,并负责对它们进行去混淆并将它们注入到指定的进程中。在某些情况下,最后阶段的 PowerShell 脚本包含多达七种不同的 RAT,比较典型的有 NjRat、BitRat、Nanocore RAT、QuasarRat、LimeRat 和 Warzone。

HCrypt 7.8版本

简单地说,Water Basilisk的攻击链《lian》就是VBScript和PowerShell命令的结合。HCrypt创建了各种经《jing》过混淆的 VBScripts 和 PowerShell,以将最(zui)终有效载荷传播或注入到受害者系统中的给定进程中。根据我们在其构建程序和网站中看到的内容,该加密程序的最新版本是 7.8。

HCrypt v7.8 构建程序

HCrypt v7.8 更新还列出了 RAT 变体和购买价格

Sellix 上的 HCrypt v7.8

从上图中可以看出,HCrypt 7.8 的(de)售价为 199 美元。作为更「geng」新的一部分,上图还列出了可以使用我们之前提到的这种变体加载的各种 RAT。

攻击分析

本节将讨论HCrypt 7.8的工作原理。感染链如下:

网络钓鱼电子邮件或网站诱使用户下载并执行包含初始 VBScript stager 的恶意 ISO 文件;

初始 VBScript 通过内存中的 PowerShell 命令下载并执行下一阶段的“de” VBScript 内容;

下载的 VBScript 将负责在受害系统上实现持久化,并通过内存中的 PowerShell 命令下载并执行最后阶段;

最后阶段 PowerShell 负责反混淆并将有效载荷 (RAT) 注入给定进程;


攻击概述

此活动使用两种不同的攻击「ji」媒【mei】介:网络钓鱼网站和电子邮件。两者都有相同的‘de’感染链,如上所述,攻击始于恶意 ISO 映像文件。

我们可以假设这次攻击使用 ISO 文件的两个原因。一是 ISO 映像往往具有更大的文件大小,从而使电子邮件网关扫描程序无法正确扫描 ISO 文件附件。另一个是在新操作系统中双击文件打开 ISO,过程之所以如此简单,是因为它是本机 IOS 安装工具。这提高了受害者打开文件并感染其系统的机会。

现在需要搞清楚,HCrypt开发人员如何【he】托管来自公共文件托管服务(如Transfer.sh和Internet Archive (archive.org))的stagager脚本。打【da】开 ISO 文件后,将从该托管压缩文件下载所需的脚本。下图是用于托管脚本的 archive.org 帐户的示例。

托管加载程序脚本的 archive.org 帐户

托管‘guan’加载程序脚本的 archive.org 帐户

下图显示了一个被黑客攻击的WordPress网站的示例,该网站托管了一个下载“Spectrum Bill.iso”文件“jian”的网络钓鱼「yu」工具包。下图还显示{shi}了攻击者在该网站中添加的恶意内容。

此活动中使用《yong》的钓鱼网站

攻击者上传的恶意内容

“Spectrum Bill.iso”文件包含一个 HCrypt 混淆的 VBScript stager,负责通过 PowerShell 命令下载和执行下一阶段。我们还应注意到,除了用于持久性的第二阶段之外,所有脚本、PowerShell和二进制文件都是无文件的,并在内存中执行。

“Spectrum Bill.iso” 内容

“Spectrum Bill.vbs”内容和清理代码

下载到内存中的内容“bx25.txt”是另一个混淆的HCrypt VBScript。如上所述,此代码用于实现持久性,并且是唯一不在内存中执行的代码。它通过创建文件 C:\Users\Public\Run\Run.vbs,将其添加到启动路径,并在内存中下载并执行最后阶段来实现持久性。

每次受感染的计算机启动时,恶意软件都会从给定的 URL 下载最新的有效载荷。因此,攻击者可以轻松更改最终有效载荷及其命令和控制 (C&C) 服务器,从而减少他们在受感染系统上的指纹。

用于持久化的VBScript的第二阶段bx.25 的清理代码

Run.vbs (“dx25.txt”) 是包含最终有效载荷的最后阶段 PowerShell,这在受感染的系统内存上执行,并负责对给定的硬编码合法进程进行反混淆、加载和注入有效载荷。在某些情况下,恶意软件会在受感染的系统上加载多达七种 RAT。下图中的代码片段演示了恶意软件的这种行为。

PowerShell 加载程序文件 dx25.txt 的代码

在加载的二进制文件中,有一个称为“VBNET”的DLL注入程序,它在选定的 .NET 合法进程中加载 .NET PE 载荷。在上图中,$HH1 是一个 VBNET PE 注入程序 DLL,$HH5 包含一个 PowerShell 命令,用于将最终恶意软件载荷 ($HH3) 传递到给定进程,即“aspnet_regbrowsers.exe”。

为了使最终的有效载荷提取自动化,我们开发了一个 Python 脚本来对最后的 PowerShell 阶段中‘zhong’的有效载荷进行反混淆和提取,该阶段仅接受存储混淆的 PowerShell 脚本的目录和将存储提取的有效载荷的输出目录。可以在此处查(cha)看 Python 脚本。

对比特币和以太坊的劫持攻击

我们还能够在受感染系统中加载的 RAT 中观察到比特币/以太坊地址劫持者二进制文件。这些二进制文件使用正则表达式在受害者的剪贴板内容中搜索(suo)比特币和以太坊地址,然后用攻击者自己的地址替『ti』换它{ta}们。下图显示了可以在 HCrypt 界面中生成二进制文件的位置。

HCrypt 构建程序界面显示开始生成劫持程序二进制文件的位置

默认情况下,HCrypt 窃取程序构建程序显示内置的以太坊和比特币地址,这很可能属于恶意{yi}程序的开发者。

可能属于开发者的内置以太坊和比特币(bi)地址 “HBankers”

使用正则表达式在受害者的剪贴板内容中搜索比特币和以太坊地址

用户(攻击者)只能选择「ze」比特币或以太坊的 HCrypt 构【gou】建程序 xu[

用于劫持的构建程序只会接受来自用户的一种选择,要么是比〖bi〗特币要么是以太坊。如上图中的示例所示,在该示例中,加密地址劫持者会将受害者的以太坊〖fang〗地址替(ti)换为“1111111”,生成有效载荷,并将比特币地址‘zhi’替换为 HCrypt 构建程序开发者(HBankers)的地址。这表明 HCrypt 的开发人员也试图从使用此加载‘zai’程序的攻击中获利。

总结

本文我们介绍了攻〖gong〗击者如何利用加密工具(例「li」如 HCrypt)来动态传播恶意软件。 HCrypt 也显示出其强大的攻击技术迭代能力,其最新的版本涵盖了很多 RAT 变体和更新的混淆算法以逃避检测。

建议用户应【ying】该警惕打开 ISO 文件,尤其是来自可疑来源的文件,因为攻击者之前曾在其活动中使用过图像文件。它们太容易「yi」打开并且可以绕过电子邮件网关扫描程序,让用户很少有机会考虑文件是否是恶意的。IOC详情可以查看这里。

本文翻译自:https://www.trendmicro.com/en_us/research/21/i/Water-Basilisk-Uses-New-HCrypt-Variant-to-Flood-Victims-with-RAT-Payloads.html
  • USDT充值(www.usdt8.vip) @回复Ta

    2021-10-20 00:00:11 

    新2信用平台出租rent.22223388.com

    皇冠运营平台(rent.22223388.com)是皇冠(正网)接入菜宝钱包的TRC20-USDT支付系统,为皇冠代理提供专业的网上运营管理系统。系统实现注册、充值、提现、客服等全自动化功能。采用的USDT匿名支付、阅后即焚的IM客服系统,让皇冠代理的运营更轻松更安全。

    整体偏好吧(非专业的

发布评论