澳洲幸运5官网(www.a55555.net)是澳洲幸运5彩票官方网站,开放澳洲幸运5彩票会员开户、澳洲幸运5彩票代理开户、澳洲幸运5彩票线上投注、澳洲幸运5实时开奖服务的平台。
![]()
研〖yan〗究人员最近发现了一个无《wu》文件活动,该活动使用新的 HCrypt 变体在受害者系统中传播大量远程访「fang」问木马 ma[ (RAT),这个新变体还使用了我们本文将详细介绍的更新混淆机制。该活动在 2021 年 8 月中旬达到活动高峰。
HCrypt 是一种加密程序和多级生成器,很难被检测到。它被反病毒软件标识为加「jia」密程序即服务(crypter-as-a-service),由攻击者付费以加载他们选择的 RAT。该活动还展示了新的混淆技术和攻击媒介,与过去观察
Water Basilisk介绍
在我们标记为 Water Basilisk 的活动中,攻击者主要使用公开可用的文件托管服务,例如用“archive.org”、“transfer.sh”和“discord.com”来托管恶意软件,而被黑客攻击的WordPress网站被用来托管钓鱼工具。
恶意文件被隐藏为通过网络钓鱼电子邮件或网站传播的 ISO。该文件{jian}还包含一个经过混淆处理的 VBScript stager,负责将 VBScript 内容的下一阶段下载并执行到受感染的系统内存中。
最后一个阶段是一个经过混淆的 PowerShell 脚本,它包含有效载荷,并负责对它们进行去混淆并将它们注入到指定的进程中。在某些情况下,最后阶段的 PowerShell 脚本包含多达七种不同的 RAT,比较典型的有 NjRat、BitRat、Nanocore RAT、QuasarRat、LimeRat 和 Warzone。
HCrypt 7.8版本
简单地说,Water Basilisk的攻击链《lian》就是VBScript和PowerShell命令的结合。HCrypt创建了各种经《jing》过混淆的 VBScripts 和 PowerShell,以将最(zui)终有效载荷传播或注入到受害者系统中的给定进程中。根据我们在其构建程序和网站中看到的内容,该加密程序的最新版本是 7.8。
HCrypt v7.8 构建程序
HCrypt v7.8 更新还列出了 RAT 变体和购买价格
Sellix 上的 HCrypt v7.8
从上图中可以看出,HCrypt 7.8 的(de)售价为 199 美元。作为更「geng」新的一部分,上图还列出了可以使用我们之前提到的这种变体加载的各种 RAT。
攻击分析
本节将讨论HCrypt 7.8的工作原理。感染链如下:
网络钓鱼电子邮件或网站诱使用户下载并执行包含初始 VBScript stager 的恶意 ISO 文件;
初始 VBScript 通过内存中的 PowerShell 命令下载并执行下一阶段的“de” VBScript 内容;
下载的 VBScript 将负责在受害系统上实现持久化,并通过内存中的 PowerShell 命令下载并执行最后阶段;
最后阶段 PowerShell 负责反混淆并将有效载荷 (RAT) 注入给定进程;
攻击概述
此活动使用两种不同的攻击「ji」媒【mei】介:网络钓鱼网站
我们可以假设这次攻击使用 ISO 文件的两个原因。一是 ISO 映像往往具有更大的文件大小,从而使电子邮件网关扫描程序无法正确扫描 ISO 文件附件。另一个是在新操作系统中双击文件打开 ISO,过程之所以如此简单,是因为它是本机 IOS 安装工具。这提高了受害者打开文件并感染其系统的机会。
现在需要搞清楚,HCrypt开发人员如何【he】托管来自公共文件托管服务(如Transfer.sh和Internet Archive (archive.org))的stagager脚本。打【da】开 ISO 文件后,将从该托管压缩文件下载所需的脚本。下图是用于托管脚本的 archive.org 帐户的示例。
托管加载程序脚本的 archive.org 帐户
托管‘guan’加载程序脚本的 archive.org 帐户
下图显示了一个被黑客攻击的WordPress网站的示例,该网站托管了一个下载“Spectrum Bill.iso”文件“jian”的网络钓鱼「yu」工具包。下图还显示{shi}了攻击者在该网站中添加的恶意内容。
此活动中使用《yong》的钓鱼网站
攻击者上传的恶意内容
“Spectrum Bill.iso”文件包含一个 HCrypt 混淆的 VBScript stager,负责通过 PowerShell 命令下载和执行下一阶段。我们还应注意到,除了用于持久性的第二阶段之外,所有脚本、PowerShell和二进制文件都是无文件的,并在内存中执行。
“Spectrum Bill.iso” 内容
“Spectrum Bill.vbs”内容和清理代码
下载到内存中的内容“bx25.txt”是另一个混淆的HCrypt VBScript。如上所述,此代码用于实现持久性,并且是唯一不在内存中执行的代码。它通过创建文件 C:\Users\Public\Run\Run.vbs,将其添加到启动路径,并在内存中下载并执行最后阶段来实现持久性。
每次受感染的计算机启动时,恶意软件都会从给定的 URL 下载最新的有效载荷。因此,攻击者可以轻松更改最终有效载荷及其命令和控制 (C&C) 服务器,从而减少他们在受感染系统上的指纹。
用于持久化的VBScript的第二阶段bx.25 的清理代码
Run.vbs (“dx25.txt”) 是包含最终有效载荷的最后阶段 PowerShell,这在受感染的系统内存上执行,并负责对给定的硬编码合法进程进行反混淆、加载和注入有效载荷。在某些情况下,恶意软件会在受感染的系统上加载多达七种 RAT。下图中的代码片段演示了恶意软件的这种行为。
PowerShell 加载程序文件 dx25.txt 的代码
在加载的二进制文件中,有一个称为“VBNET”的DLL注入程序,它在选定的 .NET 合法进程中加载 .NET PE 载荷。在上图中,$HH1 是一个 VBNET PE 注入程序 DLL,$HH5 包含一个 PowerShell 命令,用于将最终恶意软件载荷 ($HH3) 传递到给定进程,即“aspnet_regbrowsers.exe”。
为了使最终的有效载荷提取自动化,我们开发了一个 Python 脚本来对最后的 PowerShell 阶段中‘zhong’的有效载荷进行反混淆和提取,该阶段仅接受存储混淆的 PowerShell 脚本的目录和将存储提取的有效载荷的输出目录。可以在此处查(cha)看 Python 脚本。
对比特币和以太坊的劫持攻击
我们还能够在受感染系统中加载的 RAT 中观察到比特币/以太坊地址劫持者二进制文件。这些二进制文件使用正则表达式在受害者的剪贴板内容中搜索(suo)比特币和以太坊地址,然后用攻击者自己的地址替『ti』换它{ta}们。下图显示了可以在 HCrypt 界面中生成二进制文件的位置。
HCrypt 构建程序界面显示开始生成劫持程序二进制文件的位置
默认情况下,HCrypt 窃取程序构建程序显示内置的以太坊和比特币地址,这很可能属于恶意{yi}程序的开发者。
可能属于开发者的内置以太坊和比特币(bi)地址 “HBankers”
使用正则表达式在受害者的剪贴板内容中搜索比特币和以太坊地址
用户(攻击者)只能选择「ze」比特币或以太坊的 HCrypt 构【gou】建程序 xu[
用于劫持的构建程序只会接受来自用户的一种选择,要么是比〖bi〗特币要么是以太坊。如上图中的示例所示,在该示例中,加密地址劫持者会将受害者的以太坊〖fang〗地址替(ti)换为“1111111”,生成有效载荷,并
总结
本文我们介绍了攻〖gong〗击者如何利用加密工具(例「li」如 HCrypt)来动态传播恶意软件。 HCrypt 也显示出其强大的攻击技术迭代能力,其最新的版本涵盖了很多 RAT 变体和更新的混淆算法以逃避检测。
建议用户应【ying】该警惕打开 ISO 文件,尤其是来自可疑来源的文件,因为攻击者之前曾在其活动中使用过图像文件。它们太容易「yi」打开并且可以绕过电子邮件网关扫描程序,让用户很少有机会考虑文件是否是恶意的。IOC详情可以查看这里。
本文翻译自:https://www.trendmicro.com/en_us/research/21/i/Water-Basilisk-Uses-New-HCrypt-Variant-to-Flood-Victims-with-RAT-Payloads.html评论列表 (19条)
2021-10-24 12:05:10
看的人多吗?Allbet Gmaing开户(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。
2021-11-08 06:07:25
剖析指出,此次观察可能对谷歌组成严重威胁。欧盟的罚款以销售额为基础,上限为年收入的10%。此次观察也是欧盟委员会在不到五年的时间里对谷歌的第四次重大观察。在2017、2018、2019年,欧盟委员会先后以滥用购物方面权力、滥用安卓方面权力及滥用广告方面权力对谷歌划分处以27亿、50亿及17亿美元的罚款,累计总罚款超90亿美元。可以再曲折点吗
2021-10-25 00:00:17
无意点开的欧博亚洲客户端(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。
2022-04-13 01:01:37
欢迎进入欧博客户端下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。来来来都来瞧啊
2021-11-18 08:23:56
熬夜追完了USDT跑分(www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
2021-11-22 00:04:17
读书果然有价值USDT跑分平台(www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
2021-12-05 00:04:37
反复看不腻足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。
2022-01-11 00:03:15
新2最新网址(www.22223388.com)实时更“geng”新发布(bu)最新《xin》最快『kuai』最有效的新 xin[2网址(zhi)和〖he〗新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新“xin”2网址大全。
很独特呢
2022-10-12 03:02:04
“Apart from the worsening of global supply chain given the uncertainty from the ongoing war in Ukraine and amid an ongoing shortage of materials and inputs, a possible slowdown in major economies such as the United States and European countries can be a more significant drag to the global growth,” it said in a note.好想知道结局
2022-02-26 00:10:23
(www.x2w888.com)实时更新发布最新最快的2020世界杯南美区赛、2022世界杯会员线路、2022世界杯备用登录网址、2022世界杯手机管理端、2022世界杯手机版登录网址、2022世界杯皇冠登录网址。不行,你要当冠军啊
2022-07-17 00:02:10
除了针对身体行动未便的《de》玩家打造Xbox Adaptive Controller,微软更进一步在Microsoft Store上架游戏标『biao』示相符无障{zhang}碍嬉戏标签,让更多身体未便的玩家更容易找{zhao}到提供字幕可调整巨细、可协助念出选单内容(rong)等功效,或是针对《dui》弱视、色盲旁观需求调『diao』整画面显示模式的游戏内容,让嬉戏游戏体验可以变得更同等。单纯觉得好看
2021-10-20 00:00:11
整体偏好吧(非专业的