欢迎访问本站!

首页科技正文

usdt钱包官方下载(www.caibao.it):对Gootkit加载程序的考察研究

admin2021-03-22192技术

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Gootkit恶意软件自2014年曝光之后,已经延续活跃6年。它行使Node.JS库执行一系列恶意义务,而且通过不停更新代码库多次升级和迭代,运用加密、混淆、反调试等手法对软件举行珍爱,增添其逆向历程中的庞漂亮,而且检测其运行环境,若是碰着可疑环境,沙箱检测则立刻住手运行。依附以上优势,其恶意代码也是在各大杀软平台查杀率最低的恶意软件之一,一度成为现今最活跃和庞大的木马之一。

经太过析,Gootkit与已往的Cobalt Strike以及其他勒索软件攻击有关联。最近的一些受害者厥后遭受了SunCrypt勒索软件的攻击,不外尚不清晰这是由于Gootkit的攻击,照样由于接见权限被卖给了其他攻击者。

自2020年10月以来,我们看到针对德国用户的Gootkit案例数目增添。我们研究了整个开发历程,发现Gootkit加载程序现在能够举行庞大的行为,这使得它能够偷偷地将自己加载到受影响的系统上,从而使得剖析和检测加倍难题。

此功效用于部署DLL文件,已往,Gootkit与Cobalt Strike以及其他勒索软件攻击有关联。最近的一些受害者厥后遭受了SunCrypt勒索软件的攻击,不外尚不清晰这是由于Gootkit的攻击,照样由于接见权限被卖给了其他攻击者。

熏染前言:恶意搜索引擎效果

在我们看到的例子中,Gootkit加载程序最初是通过从网站下载的压缩文件到达的。这些恶意网站可以在恶意搜索引擎的效果中找到,如下所示:

恶意搜索引擎效果

在这个特殊的例子中, fifa manager kostenlos 可以翻译成 fifa manager free。请注重,使用的搜索词可能有很大差异,我们只是用这个搜索词作为例子。我们还遇到了其他情形,其中搜索词是Aldi Talk postident coupon和Control Center 4 download。

点击链接进入正当网站的页面,然则,该网站已被盗用并用于托管恶意页面。上述页面看起来正当:

恶意页面

这看起来像一个正当的论坛,其帖子包罗指向与搜索引擎查询相关的文件的链接。然而,这个特殊的链接比看起来更庞大。实验从统一主机/盘算机从统一URL重新下载相同文件失败,然则,从另一个文件执行此操作会乐成,然则下载的文件具有与原始文件差其余哈希值。这意味着服务器会凭证需要天生该文件,而且每次下载实验都是唯一的。

剖析下载的文件

下载的文件是一个ZIP文件,其中包罗一个经由严酷编码的JS文件,除了扩展名,该文件与ZIP文件共享相同的文件名,我们能够使用JSNice天生人类可读的代码:

混淆的代码

函数“MT71”包罗一个内容很长的变量,实验使用在线运行时(如Ideone)运行剧本失败,并显示以下错误:

错误新闻

通过错误可以显著看出WScript.Shell工具正在实验执行的操作:

部门去混淆和美化的代码

确立一个新工具(“WScript.Shell”),该工具实验读取注册表项" HKCU\SOFTWARE\nTpm\ "。若是这个注册表项不存在,它执行以下操作:

1.空值的项将被写入HKCU\SOFTWARE\nTpm;

2.“bE50”的值将被设置为32;

若是项已经存在,则由于未设置“bE50”,剧本的执行将失败。很显著,此项被用作符号,以检查初始加载程序是否已在受熏染的主机上执行。

为了对此剧本举行沙箱化,我们使用了来自HynekPetrak的malwarei-jail。必须添加一行以将bE50的变量界说为32;否则由于需要接见注册表项,剧本将失败。malware-jail是使用nodejs编写的一个沙盒,现在实现了wscript(Windows剧本宿主)和部门浏览器上的环境。不外至少有一部门恶意软件是通过wscript流传的,通过该沙盒我们可以剖析恶意软件的行为并对其举行监控和查看。

修改后的剧本

然后使用以下下令在malware-jail中运行JS文件:

每当Javascript文件在执行时发送请求时,该下令都市返回一个404错误。它确立了以下输出文件:

testurls.json的内容,显示了恶意代码试图接见的URL

fifa_out.json的部门内容包罗一些有趣的工件

查看输出的JSON文件,可以看到变量“qI27”是一个由三个域组成的数组:

,

usdt支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,
www.adpm.com[.]br
windowp[.]org
www.ai-tech[.]paris

将“qI61”整行转换为可读名堂,将显示以下代码块:

qI61行的内容,依次实验毗邻三个目的域

该代码段界说了以下游程,并针对存储在QI27中的至少一个URL运行以下代码:

1.“Og13”将被设置为一个随机数,最大长度为100;

2.查询内陆用户的DNS域:若是盘算机加入了一个域,“Og13”末尾将添加278146;

3.将使用子参数启动对第1步中选择的URL的web请求:search.php?gqhncrqossifzp={the number in the variable of Og13};

4.它检查web请求a的返回码,若是不是200 (ok),剧本将进入睡眠状态,然后实验下一个URL。

5.若是web请求是200(收到响应),则将响应存储在变量“zI11”中;

6.它检查来自服务器的响应文本是否包罗“Og13”值,若是没有,它将进入睡眠状态,然后实验下一个URL;

7.若是该值在响应中,则从“zI11”中删除“Og13”值;

8.它用变量“KT44”函数的响应替换括号中的两位数,例如(12),这个变量在这个阶段未知;

9.然后它挪用另一个函数“Nm34”(现在还不知道),通报新的“va67”变量。

通过上面的信息,我们现在知道通过在搜索参数的末尾添加“278146”,则这个加载程序在域主机和非域主机之间所差异。

我们可以通过wscript.js文件更改环境变量,由于恶意剧本正在寻找环境变量“ UserDNSDomain”,它被添加到设置中,我们还更改了默认用户名:

修改后的剧本

在更改wscript.js参数以提供域之后,重新运行剧本将显示以下URL的请求:

请求的URL

基于此考察,我们现在可以在不使用--t404选项但使用--down = y选项的情形下运行jailme.js。这使我们能够发送查询并下载任何请求的文件。默认情形下,jailme.js将在60秒后住手执行剧本。现在,查询的URL的效果包罗所有三个已标识的域,如下所示,并包罗响应:

URL和响应

虽然我们收到HTTP 200响应,但这些响应都不包罗剧本继续执行所需的随机字符串。使用我们收到的两个样本都是云云,虽然我们不确定为什么会这样,但可以一定地说的是,若是以这种方式举行剖析,则服务器当前不提供要由Gootkit下载的文件。

注册表剖析

我们可以使用Gootkit已知的注册表项来测试它是否已部署在受影响的系统上。在测试盘算机上,我们能够验证确立的注册表项是否存在:

确立的注册表项

可以将最后一个注册表项中的注册表值合并到PowerShell剧本中:

PowerShell剧本

该剧本大部门已编码;对其举行解码将导致以下效果:

解码后的代码

默认情形下,此代码被加载到内存中。若是将此代码保留到文件中,则证实该文件是.NET DLL文件,此特定文件被检测为Trojan.Win32.DELF.WLDT。

在.NET反编译器中打开这个特定文件会显示它还包罗更多已编码的代码,使用类似的手艺将内容转储到文件中注释这也是一个可执行文件。该文件被检测为Trojan.Win32.MALREP.THJBGBO,我们以为这是该加载程序流传到受影响系统的有用载荷。

总结

这个特殊的攻击突出了当今提供恶意软件的加载程序的庞大性,在没有启用任何平安解决方案的系统中,险些没有任何攻击迹象,这使得剖析和删除加倍难题。

本文翻译自:https://www.trendmicro.com/en_us/research/20/l/investigating-the-gootkit-loader.html:

网友评论