扫码领资料
获网安教程
有些恶意软件可以使用记事本服务来攻击 Windows 和 Linux 等系统,因为记事本是大多数操作系统上广泛使用的应用程序。恶意软件可以利用记事本来利用系统资源和用户权限,从而允许未经授权的访问或执行恶意代码。客户对记事本等知名软件可能携带的未检测到的恶意软件有效负载的合法性的怀疑也较少。
近期ASEC 的安全研究人员发现,威胁攻击者正在使用新的 WogRAT 恶意软件,该恶意软件利用记事本服务来攻击 Windows 和 Linux 系统。
安全研究人员表示,威胁攻击者通过使用 WogRAT 恶意软件,借助记事本来利用系统资源和用户权限,从而获取未经授权的访问权限并执行恶意代码。
WogRAT 恶意软件利用记事本服务
名为 AhnLab的安全研究团队发现了一个通过在线记事本服务aNotepad 传播的后门木马。恶意代码针对Windows(PE格式)和Linux(ELF格式)系统。
该恶意软件因其创建者使用了“WingOfGod”字符串而被为“WogRAT”,并且由于它是一种多平台威胁,因此会带来严重的安全风险。
WogRAT 是一种多平台威胁,对于 Windows,它会伪装成“flashsetup_LL3gjJ7.exe”或“BrowserFixup.exe”等实用软件来引诱受害者。 虽然 Linux 攻击尚未得到证实,但VirusTotal数据表明,香港、新加坡、中国和日本等亚洲国家是这一狡猾的恶意软件活动的主要目标。
安全研究人员通过剖析伪装成 Adobe 工具的 Windows WogRAT 示例,发现了一个基于 .NET 的 Chrome 实用程序,其中隐藏着一个加密的下载程序。
程序执行后,它会自编译并加载一个 DLL,以从记事本中获取字符串并进行 Base64 解码,从而显示缓存在在线记事本服务上的混淆的 .NET 二进制有效负载。从 C&C 下载的命令包含类型、任务 ID 和关联数据等指令。例如,“upldr”任务将读取“C:malware.exe”,然后 FTP 将其上传到服务器。
虽然分析的样本使用缺乏上传功能的测试 URL,但其他 WogRAT 变体可能会利用此文件进一步渗透。
AhnLab 安全研究团队发现了一个 Linux 变体,其 C&C 基础设施与其 Windows 版本相同,尽管 WogRAT 的初始向量尚不清楚。 像 Rekoobe 一样,该病毒利用了开源 Tiny SHell 恶意软件的活动。当它运行时,它会以“[kblockd]”的名称伪装自己,收集系统元数据以进行渗透,并且其行为与 Windows 版本完全相同。Linux 有效负载缺乏下载功能,但会在传输前对 C&C 通信进行加密。Linux WogRAT 不是直接接收命令,而是从 C&C 获取反向 shell 地址并连接以接收指令。
这表明威胁攻击者拥有 Tiny SHell 服务器基础设施,因为 WogRAT 合并了来自该开源恶意软件的例程和 C&C 机制,包括通过 HMAC SHA1 的 AES-128 加密和未更改的 0x10 字节完整性检查。
最后,安全研究人员建议避免使用不受信任的可执行文件并从官方来源获取程序。
原文链接:https://cybersecuritynews.com/wograt-malware-exploits-notepad/
图片来源:https://cybersecuritynews.com/wograt-malware-exploits-notepad/
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
原文始发于微信公众号(掌控安全EDU):WogRAT 恶意软件利用记事本服务攻击 Windows 和 Linux 系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论